华为USG6000下一代防火墙在数据中心边界防护应用场景

数据中心边界防护

数据中心(Internet Data Center,IDC),是基于Internet网络提供的一整套设施与相关维护服务体系。它可以实现数据的集中式收集、存储、处理和发送。通常由大型网络服务器提供商建设,为中小型企业或个人客户提供服务器托管、虚拟域名空间等服务。

数据中心的网络结构通常具有以下特征:

  • 主要针对数据中心内的服务器进行保护,使用的安全功能需要根据服务器类型综合考虑。
  • 数据中心可能部署有多家企业的服务器,更容易成为黑客的攻击目标。
  • 数据中心的核心功能是对外提供网络服务,保证外网对数据中心服务器的正常访问极其重要,这不仅要求边界防护设备拥有强大的处理性能和完善的可靠性机制,还可以在发生网络攻击时仍不影响正常的网络访问。
  • 数据中心流量复杂,如果流量可视度不高,则不能进行有针对性的配置调整。

基于以上特征,USG6000作为数据中心的边界网关,典型的应用场景如图2-3所示:

图2-3  数据中心边界防护典型部署
  • 开启流量统计功能,基于IP、用户、应用对流量状况进行长期统计分析,以帮助安全策略的制定。
  • 基于IP地址和应用进行限流,使服务器稳定运行,也避免网络出口拥塞,影响网络服务。
  • 开启入侵防御、反病毒功能,使服务器免受入侵以及蠕虫、木马等病毒危害。
  • 开启DDoS及其他攻击防范功能,避免服务器受到外网攻击导致瘫痪。
  • 开启垃圾邮件过滤功能,保护内网邮件服务器不受垃圾邮件侵扰,也避免其无意中转发垃圾邮件被反垃圾邮件组织列入黑名单,影响正常邮件的发送。
  • 开启文件过滤和内容过滤,避免数据泄露。
  • 部署eSight网管系统(需要单独采购),记录网络运行的日志信息。日志信息可以帮助管理员进行配置调整、风险识别和流量检查。
  • 采用双机热备部署,提高系统可靠性。单机故障时可以将业务流量平滑切换至备机上运行,保证服务器业务持续无间断的运行。