“木桶的装水量取决于最短的木板”，涉及内网安全防护的部件产品非常多，从接入层设备到汇聚层设备再到核心层设备，从服务器到交换机到路由器、防火墙，几乎每台网络设备都将参与到系统安全的建设中，任何部署点安全策略的疏漏都将成为整个安全体系的短木板。

“木桶的装水量还取决于木板间的紧密程度”，一个网络的安全不仅依赖于单个部件产品的安全特性，也依赖于各安全部件之间的紧密协作。一个融合不同工作模式的安全部件产品的无缝安全体系必须可以进行全面、集中的安全监管与维护。

因此，数据中心的安全防护体系不能仅依靠单独的某个安全产品，还要依托整个网络中各部件的安全特性。

2           技术特色

在这种咄咄逼人的安全形势下，数据中心需要一个全方位一体化的安全部署方式。华为3COM数据中心安全解决方案秉承了华为3COM一贯倡导的“安全渗透理念”，将安全部署渗透到整个数据中心的设计、部署、运维中，为数据中心搭建起一个立体的、无缝的安全平台，真正做到了使安全贯穿数据链路层到网络应用层的目标，使安全保护无处不在。

华为3COM数据中心安全解决方案的技术特色可用十二个字概括：三重保护、多层防御；分区规划，分层部署。

2.1         三重保护，多层防御

图3 数据中心三重安全保护

以数据中心服务器资源为核心向外延伸有三重保护功能。依拖具有丰富安全特性的交换机构成数据中心网络的第一重保护；以ASIC、FPGA和NP技术组成的具有高性能精确检测引擎的IPS提供对网络报文深度检测，构成对数据中心网络的第二重保护；第三重保护是凭借高性能硬件防火墙构成的数据中心网络边界。

用一个形象的比喻来说明数据的三重保护。数据中心就像一个欣欣向荣的国家，来往的商客就像访问数据中心的报文；防火墙是驻守在国境线上的军队，一方面担负着守卫国土防御外族攻击（DDOS）的重任，另一方面负责检查来往商客的身份（访问控制）；IPS是国家的警察，随时准备捉拿虽然拥有合法身份，但仍在从事违法乱纪活动的商客（蠕虫病毒），以保卫社会秩序；具有各种安全特性的交换机就像商铺雇佣的保安，提供最基本的安全监管，时刻提防由内部人员造成的破坏（STP 攻击）。