欢迎来到天天文库
浏览记录
ID:58539644
大小:1.50 MB
页数:36页
时间:2020-05-19
《数据中心保护解决方案技术建议书.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、数据中心保护解决方案技术建议书杭州华三通信技术有限公司目录1项目概述41.1项目背景(请根据项目情况做修改)42数据中心面对的安全挑战42.1数据中心安全威胁的层次划分42.2面向应用层的攻击52.3面向网络层的攻击52.4对网络基础设施的攻击53H3C安全解决方案理念53.1智能安全渗透网络——局部安全63.2智能安全渗透网络——全局安全73.3智能安全渗透网络——智能安全74XXX数据中心整体安全规划84.1三重保护,多层防御84.2分区规划,分层部署94.3统一管理、智能联动105基础网络安全设计115.1交换机安全部署11
2、1)数据中心网络架构安全技术112)基于VLAN的端口隔离123)STPRoot/BPDUGuard134)端口安全135)防IP伪装146)路由协议认证155.2端点准入安全部署151)认证需求152)组网部署163)功能描述176网络层安全设计186.1边界安全防火墙181)状态防火墙182)防火墙安全区域管理203)防火墙在数据中心的部署216.2异常流量清洗211)DoS/DdoS攻击212)DoS/DdoS攻击防范描述223)AFC在数据中心的部署237应用层安全设计237.1深度入侵防御IPS231)数据中心应用的威胁
3、232)应用程序防护253)高精度、高效率的入侵检测引擎254)全面、及时的攻击特征库264)IPS在数据中心的部署277.2应用加速ASE281)数据中心面临的可用性威胁282)解决方案介绍285)ASE在数据中心的部署338统一安全管理348.1全局安全管理解决方案341)全局安全管理解决方案概述:342)H3C全局安全管理解决方案的突出特点:363)H3CSecCenter部署方案:37项目概述1.1项目背景(请根据项目情况做修改)安全是所有IT建设最核心的元素之一,对所有的网络来说都是一个主要的考虑事项,它对于XXX来说至
4、关重要,XXX做为一个核心信息交流平台并存储敏感数据,因此会成为来自外部或内部的恶意攻击的目标。安全性的破坏可以源自小范围的侵入,层层渗透后成为严重的、代价高昂且损失惨重的事件。安全性是XXX解决方案中最重要的方面之一。如果没有完善的安全保护,那么内部的机密信息将受到威胁,包括被窃取、篡改、删除的威胁,而可能导致灾难性的后果。数据中心安全解决方案必须为数据中心提供能够全方面保护数据中心业务的安全解决之道。不但需要保护数据中心中关键应用和保密数据;并需要增强数据中心的运营效率,增强业务竞争力,而且具有扩展性以支持随时可能出现的新业务
5、流程。以下讨论主要讨论数据中心会面临的安全威胁以及对应的保护措施,最终目标都是保护数据中心所承载的业务。2数据中心面对的安全挑战2.1数据中心安全威胁的层次划分从安全角度看,数据中心可以被划分为三个主要的层次,通过对层次的划分以及所有安全威胁在层次上的对应,组织可以对安全威胁采用对应的安全解决方案,并对这些解决方案进行统一规划。当在每一层次部署对应安全解决方案时,也非常清晰的定义和确定了将被包含或影响到的业务。数据中心安全性的三个主要的层次是:·IT基础设施和物理安全性:o这一层泛指整个IT基础设施,企业需要IT基础设施来运行有效
6、的业务操作,IT基础设施的弹性将决定业务操作的总体效率和可用性。它也存储所有的数据,这些数据是业务事务和应用处理所生成的结果。o企业安全性这一层的安全性解决方案主要集中于保护技术设施不受物理和逻辑上的攻击,其他主要集中方面是基础设施和应用的监控和管理。·应用和数据安全性:o这一层是指业务应用的安全性,业务应用被内部和外部终端用户实际访问,是处理业务事务的资产,并提供电子商务。o企业安全性这一层的安全性解决方案主要集中于提供对应用的受控访问、验证用户身份、用户的provisioning和授权、审查用户操作,并通过加密来保护数据。·管
7、理安全性o这一层是指业务流程和操作的安全性,当管理团队作出高级策略决定时,管理安全性主要进行基础设施和应用的安全性的实现和配置。企业策略和标准的成功与否取决于如何在这一层上实现和实施级别,这使组织能够运行业务,而不会有意或无意的违背企业策略,并防止业务遇到合法的或其他类型的安全问题。o这一层的安全性解决方案主要包括一些方案或服务,这些方案或服务帮助组织实施并自动操作安全策略和流程,最终用户了解规划并完成企业级安全性的管理和报告。1.1面向应用层的攻击常见的应用攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等,最典型的应用攻击莫过于
8、“蠕虫”。应用攻击的共同特点是利用了软件系统在设计上的缺陷,其传播都基于现有的业务端口,因此应用攻击可以毫不费力的躲过那些传统的或者具有少许深度检测功能的防火墙。1.2面向网络层的攻击除了由于系统漏洞造成的应用攻击外,数据中心还要面对拒绝服务攻击(
此文档下载收益归作者所有