数据中心解决方案安全技术白皮书(13)

图11 防火墙TCP代理

5.    防火墙在数据中心的部署点

1） ServerFarm 网络边界上的状态防火墙

园区网络通常包括园区核心网、边界网络、内部网络、分支结构网络、数据中心(ServerFarm)网络。核心网络是所有网络区域的中心，内部网络、数据中心、边界网络以星状连接在核心周围，边界网的另一端还与Internet相连，可以为园区提供Internet出口，并且作为分支网络的接入点，如图所示。

图12 防火墙在数据中心的部署点

防火墙应该部署在信任与非信任网络的邻接点上，避免不安全因素的扩散。上述园区网络模型中存在两个这样的邻接点，一是边界网络与Internet的接入点上，这个位置部署放火墙可以隔离来自Internet或外部网络的有害数据；另一个在数据中心（ServerFarm）汇聚交换机与核心网交换机的接的接入点上，在此部署防火墙可避免来自内部网络的威胁，这种威胁可能是内网员工恶意攻击造成的，也可能是一些不恰当的操作对网络造成的。

2） 多层服务器区内部的状态防火墙

在ServerFarm内部多层服务器区的各层之间也可以部署防火墙以增强不同层次之间的安全性，如图。由于web服务器直接面对访问者，通常来说是网络中的薄弱环节，使用分层防御可以将重要的服务器通过防火墙进行保护，即使web服务器被攻陷，也不会造成应用服务器与数据库服务器的进一步破坏。

3.1.3       数据中心应用防护技术

IPS可以针对应用流量做深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。

以下介绍H3C TippingPoint IPS应用防护功能的几项关键技术：

1.    IPS in-line 部署方式

TippingPoint IPS可以被“in-line”地部署到网络当中去，对所有流经的流量进行深度分析与检测，从而具备了实时阻断攻击的能力，同时对正常流量不产生任何影响。基于其高速和可扩展的硬件平台，TippingPoint IPS不断优化检测性能，使其能够达到与交换机同等级别的高吞吐量和低延时，同时可以对所有主要网络应用进行分析，精确鉴别和阻断攻击。TippingPoint IPS的出现使得应用层威胁问题迎刃而解。