雁门关是我国古代重要军事防御关口,具有至关重要的战略地位,敌人一旦攻入雁门关便可长驱直入直捣黄龙,朝廷再无安全可言!
在数据中心网络中的互联网出口区域有着和雁门关同样重要的地位,所有外网信息的出入都会经过互联网出口区域,该区域可以说是保证数据中心安全的边关要塞,因此在该区域的安全顶层设计上要花费大量的精力以达到一夫当关万夫莫开的目的。
数据中心网络是由多个区域组成从网络层面来说可以分为互联网接入区域、核心交换区域、运维管理区域、安全检测区域、DMZ区域、APP区域、DB区域等;从业务层面来说可以分为核心业务区域、支撑业务区域、运营区域、开发测试区域、核心区域、外联区域等。以金融网络为例下图为数据中心逻辑区域组成:
从安全角度来看每个区域都要保证网络安全才能达到预期的信息安全目标,这期我们来重点聊聊互联网接入区域的安全规划顶层设计。
在该区域的在外侧部署抗D设备(主要用于防范分布式拒绝服务的攻击流量),因为DDOS攻击的流量攻击目标时都会有明确的特征,通过专业的抗D产品可以通过该类特征把DDOS攻击的流量检测出来,然后通过抗D产品的流量清洗功能把该攻击流量清洗掉,把正常流量放行。在许多互联网公司(如BAT)的互联网出口区域都会部署抗D设备来抵御DDOS攻击流量。
在部署抗D的同时还要部署全局负载均衡设备,目的是通过解析源IP地址的地理区域从而让访问流量访问就近数据中心的资源,以达到快速响应的目的从而提升用户服务体验。
为了进一步加固安全性能,要部署防火墙(通常是2台墙做HA)来保证各个区域的访问安全,如果对安全性要求更高,还可以部署异构防火墙,即2家不同厂商的墙分为2组,可以避免单厂商防火墙存在漏洞库、特征库不完整的安全局限,通过异构方式来弥补使得安全防护性能大幅提升。
之后就是安全设备的叠加部署了,如IPS和IDS按照“串糖葫芦”的方法部署,IDS可以旁路部署用于检测来往流量是否存在威胁,一旦和内部的特征库匹配便可与直路部署的IPS联动实施阻断操作,从另外一个维度保障信息安全。
通过以上安全设备的组成的组合防御体系可以使得大量攻击流量被拒之门外,从而实现数据中心强安全的战略目标,有读者可能会问,会不会还会有小部分攻击流量进入数据中心内部呢?我们下期来解决这个疑问!