雁門關是我國古代重要軍事防禦關口,具有至關重要的戰略地位,敵人一旦攻入雁門關便可長驅直入直搗黃龍,朝廷再無安全可言!
在資料中心網絡中的網際網路出口區域有着和雁門關同樣重要的地位,所有外網資訊的出入都會經過網際網路出口區域,該區域可以說是保證資料中心安全的邊關要塞,是以在該區域的安全頂層設計上要花費大量的精力以達到一夫當關萬夫莫開的目的。
資料中心網絡是由多個區域組成從網絡層面來說可以分為網際網路接入區域、核心交換區域、運維管理區域、安全檢測區域、DMZ區域、APP區域、DB區域等;從業務層面來說可以分為核心業務區域、支撐業務區域、營運區域、開發測試區域、核心區域、外聯區域等。以金融網絡為例下圖為資料中心邏輯區域組成:
從安全角度來看每個區域都要保證網絡安全才能達到預期的資訊安全目标,這期我們來重點聊聊網際網路接入區域的安全規劃頂層設計。
在該區域的在外側部署抗D裝置(主要用于防範分布式拒絕服務的攻擊流量),因為DDOS攻擊的流量攻擊目标時都會有明确的特征,通過專業的抗D産品可以通過該類特征把DDOS攻擊的流量檢測出來,然後通過抗D産品的流量清洗功能把該攻擊流量清洗掉,把正常流量放行。在許多網際網路公司(如BAT)的網際網路出口區域都會部署抗D裝置來抵禦DDOS攻擊流量。
在部署抗D的同時還要部署全局負載均衡裝置,目的是通過解析源IP位址的地理區域進而讓通路流量通路就近資料中心的資源,以達到快速響應的目的進而提升使用者服務體驗。
為了進一步加強安全性能,要部署防火牆(通常是2台牆做HA)來保證各個區域的通路安全,如果對安全性要求更高,還可以部署異構防火牆,即2家不同廠商的牆分為2組,可以避免單廠商防火牆存在漏洞庫、特征庫不完整的安全局限,通過異構方式來彌補使得安全防護性能大幅提升。
之後就是安全裝置的疊加部署了,如IPS和IDS按照“串糖葫蘆”的方法部署,IDS可以旁路部署用于檢測來往流量是否存在威脅,一旦和内部的特征庫比對便可與直路部署的IPS關聯實施阻斷操作,從另外一個次元保障資訊安全。
通過以上安全裝置的組成的組合防禦體系可以使得大量攻擊流量被拒之門外,進而實作資料中心強安全的戰略目标,有讀者可能會問,會不會還會有小部分攻擊流量進入資料中心内部呢?我們下期來解決這個疑問!