三重保护的同时为数据中心网络提供了从链路层到应用层的多层防御体系，如图。交换机提供的安全特性构成安全数据中心的网络基础，提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上，通过状态防火墙可以把安全信任网络和非安全网络进行隔离，并提供对DDOS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络应用层的保护。

2.2         分区规划，分层部署

在网络中存在不同价值和易受攻击程度不同的设备，按照这些设备的情况制定不同的安全策略和信任模型，将网络划分为不同区域，这就是所谓的分区思想。数据中心网络根据不同的信任级别可以划分为：远程接入区、园区网、Internet服务器区、Extranet服务器区、Intranet服务器区、管理区、核心区，如图。

图5 数据中心分区规划思想

所谓多层思想（n-Tier）不仅体现在传统的网络三层部署（接入－汇聚－核心）上，更应该关注数据中心服务器区（Server Farm）的设计部署上。服务器资源是数据中心的核心，多层架构把应用服务器分解成可管理的、安全的层次。“多层”指数据中心可以有任意数据的层次，但通常是3层。按照功能分层打破了将所有功能都驻留在单一服务器时带来的安全隐患，增强了扩展性和高可用性。

如图，第一层，Web服务器层，直接与接入设备相连，提供面向客户的应用；第二层，即应用层，用来粘合面向用户的应用程序、后端的数据库服务器或存储服务器；第三层，即数据库层，包含了所有的数据库、存储和被不同应用程序共享的原始数据。

图6 数据中心分层部署思想

3           关键技术说明

本节将按照“三重保护、多层防御”的思想，详细说明每种安全技术的应用模式。本节的最后还将介绍另一个不容忽视的问题－“数据中心网络管理安全技术”。

3.1.1       数据中心网络架构安全技术