成都天宇华信科技有限公司

servies服务项目

当前位置:首页 > IT类 > 数据安全

 

天宇华信数据中心网络防护安全解决方案遵循模块分区的设计理念。根据企业自身特点,依据业务系统的相关性、数据流的访问要求和系统安全控制的要求等,把数据中心分成外联区(Internet/Extranet外联区)、核心区,外联区的为用户提供web访问接入,核心作为用户业务中心,为租户和WEB服务提供业务支持,数据中心核心区聚集了企业大量生产、办公服务器,地理上一般集中部署在企业总部数据中心机房,安全程度要求更高。通过对数据中心的分析,目前对数据经中心的安全需求基本包括以下方面:

数据中心的发展规模越来越大,业务越来越多,数据中心数据价值也越来越高,各种对数据的攻击也日新月异,攻击呈现持续性、高流量、异变性等,如何防护这些种类繁多的攻击行为要求防护产品的快速反应和高性能的处理能力;信息安全威胁的快速变化,需要网络防护产品能快速的安全能力升级的能力,以及要求安全厂商有更积极的安全产品升级策略;网络安全产品能够感知不同的应用类型,在网络需要时可以对不同的应用给予不同的带宽保障,保障高价值业务的用户体验;以缓和数据中心出口带宽的压力,提升用户体验。

解决方案:

基于以上的考虑,天宇华信推出了高性能安全防护的数据中心网络边界防护解决方案,整个安全解决方案的示意图如下:

 

 

(一)外联区安全防护

天宇华信采用华为高端防火墙部署在大型数据中心出口,为客户提供高性能、高密度、高可用性、高安全的网络安全基础架构。通过部署高性能的高端墙,实现了安全域隔离,将数据中心划分为外链区和核心区,对各个域之间的流量进行安全防护,有效避免网络风暴扩散,保障网络安全,通过配置高性能USG设备,可以实现屏蔽可疑源地址安全策略;配置虚拟防火墙,实现2层到7层的虚拟系统隔离;可以实现配置资源预分配,控制虚拟防火墙的进出流量和会话连接数;配置公网IP限流,防止某个IP占用过量带宽等能力

在外联区部署IPS入侵防御系统,及时判断网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,并在发现威胁的情况进行阻断或告警等措施实现对网络的安全保护。通过在关键业务系统的入口交换机旁路部署NIP系统,对访问系统的网络流量进行实时入侵检测,实现了统计分析、入侵检测与防护、安全审计等功能。

同时在出口部署Anti-DDoS设备,可以有效识别DDoS攻击,减少恶意流量的冲击,实现对DDoS的攻击防护。通过在外联区部署Anti-DDoS设备,还可以采用运营模式,可以给用户提供个性化的安全保护,Anti-DDoS安全运营方案,可以为企业网用户、大客户、政府机关等提供安全防范。该解决方案通过旁路部署专业的Anti-DDoS设备,提供基于大客户的业务配置及管理,包括大客户的信息管理,大客户攻击事件管理,大客户攻击流量呈现管理等。

(二)核心区网络安全解决方案

通过在核心交换机上部署各种安全业务,如防火墙、IPS/IDS等为数据中心的业务提供内部网络安全解决方案。

在核心区部署高性能USG设备,将核心区按照业务模式划分不同的区域,如测试区、托管区、运行管理区等,对不同的区域实现不同的安全策略,为不同的区域提供不同的安全防护能力,同时USG可以支持多实例解决方案,如将一台防火墙从逻辑上划分为多台虚拟防火墙,为多用户提供独立的安全保障。

在核心区部署高性能的IPS设备,以旁路IDS方式部署NIP产品,监控内部的攻击行为,检测异常的数据流量,同时在业务服务器群前,防御DDoS攻击,以及各种黑客攻击行为和蠕虫等,以保护高安全业务区的业务安全。

 

关于我们 | 人才招聘 | 联系我们

Copyright 2010 © tianyuhuaxin All Rights Reserved. 版权所有 蜀ICP备10200302 技术支持:聚和为科技