谈数据中心的网络安全建造

    数据中心安全环绕数据为中心，从数据的拜访、运用、损坏、修正、丢掉、走漏等多方面维度打开，一般来说包含以下几个方面：

    ·物理安全：主要指数据中心机房的安全，包含机房的选址，机房场所安全，防电磁辐射走漏，防静电，防火等内容；

    ·网络安全：指数据中心网络自身的规划、构建和运用以及依据网络的各种安全相关的技能和手法，如防火墙，IPS，安全审计等；

    ·体系安全：包含服务器操作体系，数据库，中间件等在内的体系安全，以及为进步这些体系的安全性而运用安全点评办理东西所进行的体系安全剖析和加固；

    ·数据安全：数据的保存以及备份和康复规划；

    ·信息安全：完好的用户身份认证以及安全日志审计盯梢，以及对安全日志和事情的一致剖析和记载；

    抛开物理安全的考虑，网络是数据中心一切体系的根底途径，网络安全然后成为数据中心安全的根底支撑。因而合理的网络安全体系规划、构建安全牢靠的数据中心根底网络途径是进行数据中心安全建造的根本内容。

    数据中心网络安全建造准则

    网络是数据传输的载体，数据中心网络安全建造一般要考虑以下三个方面：

    ·合理规划网络的安全区域以及不同区域之间的拜访权限，确保针对用户或客户机进行通讯供给正确的授权答应，避免不合法的拜访以及恶性的进犯侵略和损坏；

    ·树立高牢靠的网络途径，为数据在网络中传输供给高可用的传输通道，避免数据的丢掉，而且供给相关的安全技能避免数据在传输进程中被读取和改动；

    ·供给对网络途径支撑途径自身的安全维护，确保网络途径能够继续的高牢靠工作；

    归纳以上几点，数据中心的网络安全建造能够参阅以下准则：

    整体性准则：“木桶原理”，单纯一种安全手法不或许处理悉数安全问题；

    多重维护准则：不把整个体系的安全寄托在单一安全办法或安全产品上；

    功用确保准则：安全产品的功用不能成为影响整个网络传输的瓶颈；

    平衡性准则：拟定标准办法，完成维护本钱与被维护信息的价值平衡 ；

    可办理、易操作准则：尽量选用最新的安全技能，完成安全办理的主动化，以减轻安全办理的担负，一起减小由于办理上的遗漏而对体系安全构成的要挟；

    习气性、灵敏性准则：充分考虑往后事务和网络安全协调开展的需求，避免因只满意了体系安全要求，而给事务开展带来妨碍的情况发作；

    高可用准则：安全计划、安全产品也要遵照网络高可用性准则；

    技能与办理偏重准则：“三分技能，七分办理”，从技能视点动身的安全计划的规划必须有与之相习气的办理制度同步拟定，并从办理的视点点评安全规划计划的可操作性

    出资维护准则：要充分发挥现有设备的潜能，避免出资的糟蹋；

    数据中心网络安全体系规划

    模块化功用分区

    为了进行合理的网络安全规划，首要要求对数据中心的根底网络，选用模块化的规划办法，依据数据中心服务器上所布置的运用的用户拜访特性和运用的中心功用，将数据中心区分为不同的功用区域。

    选用模块化的架构规划办法能够在数据中心中明晰差异不同的功用区域，并针对不同功用区域的安全防护要求来进行相应的网络安全规划。这样的架构规划具有很好的伸缩性，依据未来事务开展的需求，能够十分简单的添加新的区域，而不需求对整个架构进行大的修正，具有更好的可扩展性。由于每个区域的安全功用是依据每个区域的特性进行界说，因而能够在不影响其他运用或许整个区域的情况下独自进行安悉数署，关于一次性建造出资或分阶段建造的情况下都能够很好进行网络安全的布局。

    “中心-边际“安全鸿沟界说

    选用模块化的架构规划办法将数据中心分为多个功用区域后，由于不同功用区域之间会有彼此通讯的需求，因而整个网络架构构成“中心-边际”的结构特性，如图1所示，以数据中心中心区为中心，其他功用区域与中心区相连，成为数据中心网络的边际区域。为了更好的确保数据中心的网络功用，数据中心中心区一般只供给高速的数据转发功用，不做安全操控的布置，在这个区域需求关键规划的是中心区的高牢靠和高功用确保。

图1 “中心-边际”安全鸿沟

    在这种“中心-边际”的结构特性下，各功用区域同中心区域相连的接口成为该区域的网络安全鸿沟。从事务和安全操控的视点动身，在各功用区域的鸿沟需求选用必定的技能手法（一般布置防火墙硬件设备）界说成独立的安全区域。不同安全区域之间的网络假如需求彼此拜访，应该遵照有限互通的准则，依照不同功用区域之间安全信任等级的不同，在安全鸿沟上布置不同的拜访操控战略，阻止不同区域之间的网络在不采纳任何安全拜访操控的前提下直接互通。

    “点、线、面”安全布局

    安全鸿沟的界说完成了对不同区域之间彼此拜访的操控，而各个功用区域内依据安全维护等级的要求以及安全拜访的特性，需求别离规划各自的网络安全布局。

    “点、线、面”安全布局的中心思维是以对不同安全区域被拜访主体的拜访操控办理为安全防护主线，结合不同区域的安全等级和运用要求，在安全拜访“线路”上布置不同的安全“点”设备，而且对整个数据中心区域规划一致的安全事情发现、搜集、剖析、处理的机制和技能完成，完成安全“面”的一致办理。

    这儿以互联网模块区对外事务服务器的安全布局为例来阐明“点、线、面”的安全布局办法。

图2 互联网事务区

    对外事务服务器区域需求同Internet互联来供给单位的网上交互事务（如金融单位的网银事务，政府的网上报税事务，企业的电子商务事务等），根本的网络结构如图2所示，经过路由器与Internet相连（一般考虑到事务衔接的牢靠性，会布置多条出口线路），区域的中心交流机别离衔接WEB、APP和DB服务器，而且同数据中心中心区交流机互联。在这个区域的安悉数署考虑如下：

    ·承认对该安全区域内不同服务器的拜访操控战略：Web服务器答应被互联网用户拜访，一起也答应被内网用户和内网服务器拜访；Web服务器答应拜访APP服务器，可是不答应拜访DB服务器；APP服务器智能被WEB服务器拜访，而且答应拜访DB服务器；DB服务器只能被APP服务器拜访。

    ·剖析不同拜访路线上需求重视的安全加固“点”和设备布置考虑，内容如表1：

表1 互联网事务区安全布局剖析

    依据上述的剖析，整个对外事务区的安悉数署结构可如图3所示，在区域内不同方位布置所需求的安全设备，构成功用区域内的网络安全布局。

图3 互联网事务区安全布局

    前面经过对安全“线路”进行剖析，进行安全设备“点”的布置，完成了互联网事务区的网络安全布局，一起，考虑到整个数据中心“面”上的安全一致办理，在归纳办理区布置安全办理中心设备，担任核算、相关剖析内网各类网络事情，从大局视点协助数据中心网络办理人员掌握整个网络中的安全事情，然后完成对数据中心安全拜访“线路”上的安全加固“点”进行愈加合理的布局和后续晋级。

    网络的安全虚拟化

    “点、线、面”的安全布局办法为了完成安全“点”的全面加固，需求布置很多的安全设备，然后会大大添加网络结构上单点毛病的机率；一起为了确保网络结构的牢靠性，所布置的安全设备要都要做牢靠性考虑和相关协议的设置，使网络布置的杂乱度大幅添加，一起增大由于过错装备导致网络牢靠性下降的或许。

    业界现在的数据中心交流机在规划上支撑丰厚类型的安全事务板卡，能够将多种安全设备以板卡的办法装置在网络中的节点交流机上，完成网络的安全虚拟化布置。

    N:1的虚拟化布置

图4 N:1安全虚拟化运用

    选用在数据中心网络节点的交流机上布置安全事务板卡的办法，改动了曩昔在一条线路上布置多个安全设备（就像糖葫芦串相同）的物理结构，将多个安全设备（N）集成在一台数据中心交流机上，使得整个网络线路得到大大的简化，这种布置办法具有以下技能优势：

    ·大大简化了网络安全区域的拓扑结构；

    ·下降了由于安全设备单点毛病对数据中心网络可用性的影响，假如某块安全事务板卡呈现毛病问题，交流时机进行数据转发层面的二层回退，即数据流不再必经经过呈现毛病的安全板卡进行处理，而是直接由交流机进行正常的数据转发，确保整个事务的不中止；

    ·一般独立的安全设备无法供给设备自身的高牢靠确保，而这种布置办法，凭借网络交流机自身的设备牢靠性确保（引擎冗余，电源冗余，电扇冗余等），大大进步了安全设备的牢靠性工作确保；

    ·由于独立的安全设备无法进行功用晋级，跟着数据中心网络功用的进步，安全设备往往会成为整个网络功用的瓶颈，选用事务板卡的布置办法，能够在一台交流机上叠加多块安全板卡，经过添加板卡的数量进步安全防护的功用，有用的维护已有出资，而且习气网络的功用开展。

    依据N:1安全虚拟化的办法，前面举例的对外事务区的网络安全布局能够简化为图5所示，安全加固“点”的设备都集成在网络节点交流机上，整个对外事务区的网络安全拓扑结构得到大大的简化。

图5 N:1虚拟化对网络安全布局的优化

    1:N的虚拟化运用

    图6 1:N安全虚拟化运用

    如图6所示，运用安全板卡的虚拟化特性，能够在一块物理板卡上逻辑虚拟出来多个安全板卡的实例，并能够将不同的实例分配给不同的服务器衔接线路，并独自设定每个实例的安全装备特点。在装备了安全板卡后，交流机的每一个事务接口都能够看成为安全板卡的事务接口，因而依据这种1:N的虚拟化特性和完成机制能够扩展交流机的安全防备规模，便于更翔实的安全分区区分，然后进步网络安悉数署的精密度。

完毕语

    数据中心的网络安全是数据中心安全体系的最根本环节，经过合理的网络安全规划办法能够确保根底网络途径的安全牢靠，并供给继续安全加固的扩展性规划。可是要想构建全面安全的数据中心，还需求数据安全、体系安全、信息安全等方面从其他的安全视点动身进行相应的安全规划，不断完善数据中心的安全防备等级。

中心重视：拓步ERP体系途径是覆盖了很多的事务范畴、职业运用，蕴涵了丰厚的ERP办理思维，集成了乐投letou事务办理理念，功用触及供应链、本钱、制作、CRM、HR等很多事务范畴的办理，全面涵盖了企业重视ERP办理体系的中心范畴，是很多中小企业信息化建造首选的ERP办理软件信任品牌。

转载请注明出处：资讯网http://www.fqxinyiyuan.com/

本文标题：谈数据中心的网络安全建造

本文网址：http://www.fqxinyiyuan.com/html/consultation/1083956711.html