《H3C数据中心安全解决方案》由会员分享,可在线阅读,更多相关《H3C数据中心安全解决方案(36页珍藏版)》请在金锄头文库上搜索。
1、H3C数据中心安全解决方案,日期:2010年1月,密级:机密,杭州华三通信技术有限公司,数据中心安全的需求与挑战 H3C数据中心安全解决方案 H3C数据中心安全成功案例,目录,新一代数据中心的安全要求,传统 可靠性保障机制不足,数据中心缺乏安全防护措施,特别是应用层防护 缺少DDoS有效防御设备,数据中心可用性难以保障,H3C 设备可靠、动态备份,具备完善的27层安全防护解决方案 具备专业流量清洗设备,保障数据中心的可用性,新一代数据中心的可靠性要求,传统 可靠性保障机制不足,H3C 设备可靠、动态备份,采用多重高可靠的安全备份技术 安全设备和网络设备相互配合,采用先进的故障检测及逃生机制,安
2、全设备杂乱,可靠性无保证 仅关注数据中心连通性,缺少备份,H3C 性能优化,全面加速,传统 设备叠加,性能低下,新一代数据中心的高效率要求,安全设备性能低,不适合数据中心部署 服务器利用率低 缺少应用流量管控和动态调整能力,安全设备性能高,构建高端数据中心 网络设备实现负载均衡,充分利用服务器效能 具备一体化全网流量精细管理解决方案,防火墙,新一代数据中心的更灵活要求,传统 设备的无限叠加,H3C 虚拟化融入网络安全,安全设备类型多,品牌多,维护难 网络架构复杂,层次多 访问控制分散,难管理,单台设备虚拟化,一体化解决安全问题 网络结构简单,扁平化 策略集中部署,安全按需引流,灵活管理,新一代
3、数据中心的智能要求,传统 粗放式管理,H3C 一体化安全管理,安全设备类型多,品牌多,维护难 流量复杂, 日志格式差异,监控难 管理缺乏层次,安全策略混杂,管理难,以业务流程为基础,实现多设备分级分域管理 全网流量监控设备部署,实现可视化管理 多设备一体化配置部署,实现全网安全智能管理,数据中心安全的需求与挑战 H3C数据中心安全解决方案 方案设计 方案特点 H3C数据中心安全成功案例,目录,数据中心分区设计思想,分支 机构 接入,企业 城域 网络,数据 中心 互联,广域网区,办公接入区,业务 互联 网区,合作 伙伴 外联,办公 互联 网区,外联网区,生产服务器区,OA服务器区,管理区,测试区
4、,外联汇聚,数据中心核心区,安全控制设备,数据中心安全设计全景图,管理区,业务服务器区,办公服务器区,测试区,业务Internet,外联区,DMZ区,Internet,服务区,外联区,DMZ区,Extranet,服务区,外联Extranet,外联区,DMZ区,Internet,服务区,办公Internet,一级骨干网络,省分行,备份中心间,同城网络,外联网区,广域网区,ECC 办公区,办公接入区,办公区,FW,FW,FW,FW,FW,FW,IPS,IPS,IPS,IPS,AFC,Fw,IPS,LB,数据中心服务器区安全设计,分区间访问控制 F5000防火墙单臂部署在汇聚交换机旁,满足超万兆分区
5、间流量访问控制需求 分区内访问控制 服务器网关设置为F5000防火墙,满足超万兆分区内流量访问控制需求 入侵防护 汇聚交换机部署IPS,选择关键流量进行4-7层安全防护 服务器负载均衡 汇聚交换机部署LB,优化服务器访问流量 网流分析 分区内流量统计分析,WEB,APP,DB,核心层,汇聚层,接入层,FW,IPS,LB,安全服务区,FW,IPS,LB,安全服务区,数据中心外联网区安全设计,外联网区,双层防火墙 外层:外网访问控制 内层:分区间访问控制 入侵防护 病毒、漏洞、木马等应用层攻击综合防护 防拒绝服务攻击 异常流量清洗 网流分析 分区内流量统计分析 VPN安全接入 合作伙伴接入 客户接
6、入 SSL移动办公,业务Internet,外联区,DMZ区,Internet,服务区,外联区,DMZ区,Extranet,服务区,外联Extranet,外联区,DMZ区,Internet,服务区,办公Internet,流量清洗,流量清洗,VPN网关,VPN网关,VPN网关,核心层,汇聚层,网流分析,FW,FW,FW,FW,FW,FW,IPS,IPS,IPS,数据中心安全的需求与挑战 H3C数据中心安全解决方案 方案设计 方案特点 H3C数据中心安全成功案例,目录,汇聚层单臂部署防火墙,状态数据同步,动态负载分担,状态数据同步,防火墙与交换机通过H3C专利技术DFDP(动态流量分发协议)实现动态
7、负载分担,让数据中心更可靠防火墙动态备份,超万兆防火墙单臂部署,链路聚合,业务流动态分担,L3,L2,让数据中心更可靠防火墙动态备份,状态数据同步,普通业务流量,安全业务流量,L3 Interface,Inside VLAN,Outside VLAN,防火墙带外状态同步线,安全业务流量,安全业务路径,数据中心业务流,DFDP下动态业务负载分担 通过DFDP动态流量分发保证业务流负载分担 确保同一条业务流量始终分布在同一台防火墙 DFDP下防火墙主备倒换 交换机与防火墙实时交互控制报文感知防火墙工作状态 防火墙状态同步保证单台设备故障后业务不中断,防火墙状态同步数据,Internet,数据中心出
8、口,行为分析,统计分析,特征分析,专用业务管理平台,H3C AFC,智能模型学习,学习模式,综合策略分析,监控模式,主要优势: 精度高:支持逐包检测,精确性更高 高可靠:旁挂部署,减少故障节点 高性能:可按需扩展,性能最高可达20G,AFC流量 清洗中心,策略下发,策略下发,流量日志上报,攻击告警,业务联动,让数据中心更可靠异常流量清洗,数据中心出口部署万兆流量清洗设备AFC,防止针对数据中心发起DDoS攻击, 确保数据中心的高可靠、不间断服务!,让数据中心更可靠多重可靠的安全设备,关键部件均冗余(引擎、电源) 接口模块热插拔 机箱温度检测 经过严格HALT、HASA检测 高达35万小时的 (
9、MTBF) 分布式硬件转发 Bypass掉电保护,成熟软件平台(在线运行百万台以上) 控制与转发平面分离 安全插卡故障逃生 热补丁技术 NQA(链路故障探测),硬件,软件,部署,丰富路由协议,网络安全融合 多模式双机部署(状态同步),T5000准万兆IPS,F5000-A超万兆FW,超万兆流量清洗AFC,让数据中心更高效超万兆安全设备,超万兆负载均衡设备,FW 、IPS、AFC、LB等数据中心关键安全设备均支持万兆以上性能,保障大型数据中心高效运转,延时减少 10倍!,让数据中心更高效ACL加速,配置 简单,一般数据中心都需要在核心设备上部署超过1万条的ACL,H3C核心防火墙F5000独特的
10、ACL加速功能有效降低ACL匹配延时,全面提升数据中心效率,让数据中心更高效LB提升服务器效率,健康检测:实时检测服务器状态 负载均衡:超过10种负载均衡算法,将数据流动态分发到不同服务器上 会话保持:通过会话保持,确保关联数据发送到同一台服务器,提高效率 应用优化:集成多种应用优化技术,提高数据中心服务器效率 协议支持:完善的网络协议支持能力,满足数据中心复杂组网需求,强大的数据中心应用优化功能:,没有部署LB之前,部署LB之后,2,000,不成功,不稳定,2 秒,15,9,000,稳固,成功,快速,一致,1 秒,5,请求数/秒(TPS),请求数,响应,响应时间,服务器,N:1虚拟化: 基于
11、IRF2技术,实现将多台交换机上的安全插卡虚拟为一台交换机上的插卡 方案优势: 简化网络及安全组网 多块插卡配置同步,大大减少管理工作量,让数据中心更灵活虚拟化,让数据中心更灵活虚拟化,1:N虚拟化:基于虚拟化技术,一台安全设备可以虚拟化成多台逻辑上独立的安全设备 方案优势:通过安全虚拟化,实现不同区域不同的安全策略,实现数据中心端到端虚拟化,让数据中心更灵活按需防护,IPS,LB,分区间访问控制 对于需要防护的流量,引流到安全服务区处理 分区内访问控制 对于VLAN间需要防护的流量,可以引流到安全服务区处理,VLAN1,VLAN2,VLAN3,核心层,汇聚层,接入层,按需防护优势 简化整网安
12、全策略 按需引流,降低安全服务区负载 对于不需安全处理的业务,降低传输时延及被阻断的风险,安全服务区,安全服务区,让数据中心更灵活按需部署,随需而安:根据您的需要,可选用不同部署方式、不同扩容方式!,让数据中心更智能智能水表,检测异常发生告警通知,点击异常流量列表,查询详细信息,通过应用、源、目的等分析,快速定位异常原因,Netstream能够实时监控网络中的流量状况,及时发现网络异常,实现网络资源优化 故障排除更快 利用深入的网络可视化在每主机和每应用检测和排除网络事故,减少解决问题所需时间; 降低成本 准确了解网络使用情况,作出投资决定; 优化性能 确保掌握业务关键性应用服务级别的准确信息
13、; 保护网络 根据流量信息和分析结果控制网络资源,微软正式发布系统漏洞或 漏洞被发现,漏洞补丁发布,黑客攻击,系统被黑,微软提前通知漏洞信息,漏洞补丁发布,系统安全无忧,黑客攻击被阻断,H3C生成特征库 实现防御,微软MAPP认证,H3C IPS与微软、卡巴斯基、 Commtouch 等合作,40多人专业攻防团队支撑,提前提供“漏洞补丁”,避免“零日攻击”; 避免补丁升级带来的服务中断,保障业务连续性;,让数据中心更智能补丁代理,传统攻击过程,H3C IPS保护下的攻击过程,让数据中心更智能管理一体化,iMC,安全威胁的实时监控 网络流量的实时监控 网络拓扑与网元可视化 定位攻击源和攻击路径
14、自动化报表输出,SecCenter,H3C SecCenter提供的一体化管理,可解决数据中心设备之间相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位难等问题。,数据中心安全的需求与挑战 H3C数据中心安全解决方案 H3C数据中心安全成功案例,目录,典型案例:江苏广电数据中心,方案部署: 通过在F5000-A10高端防火墙上部署7块SecBlade FW插卡,实现网络安全防护和流量控制 实施效果: 通过部署高端FW,实现了非法访问控制、DDoS等网络层攻击的防护,满足了大流量情况下的安全保障 方案亮点: 高性能:单台设备提供高达70Gbps吞吐量及2100会话数的处理能力; 易扩展:采用插卡式硬件架构,满足后续扩容需求,江苏广电IDC,Internet,F5000-A10,Core Router,Server区,Core Switch H3C S12508,Core Switch H3C S12508,AFC,业务管理平台,流量清洗中心,方案部署: 在IDC出口路由器侧旁挂AFC流量检测和清洗设备。 实施效果: 通过对出口DDoS攻击的实时检测和清洗,帮助用户实现了7*24小时向全球提供网上贸易实时服务的需要 。 方案亮点: 旁挂部署,高可靠且不影响正常业务流,数据延时更小 支持平滑升级 攻击报表丰富,策略配置灵活,典型案例:淘宝数据中心,Server区,
