电信行业IDC安全防护解决方案浅析

1.1 IDC概述

IDC(Internet Data Center)是伴随着互联网不断发展的需求而发展起来的，可为ICP、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租 用、网络带宽批发以及ASP等业务。对于电信行业来说，IDC是直接面向企业用户最简洁的通道，所以也成为电信行业企业客户市场突破的重要突破口。

伴随着电信行业大力发展IDC业务，IDC逐步发展了众多的业务模式，例如主机托管、空间租赁、主机域名、企业邮箱以及承载WEB、游戏、公司应用 的业务等，也包括一些增值业务比如 在线存储业务等等。这些业务的集中使得IDC具备了重要性、集中性、大带宽、应用多样化、运维复杂性等多种特性。典型的IDC逻辑架构如下图所示：

1.2 IDC安全风险分析

IDC的特性决定了其安全威胁风险的特殊性和复杂性。根据IDC的逻辑架构，其安全风险主要集中在网络层与业务层。

1.2.1 网络层安全风险分析

IDC的网络层由路由器、交换机等数据通信设备和安全设备组成。网络层在整个IDC中属于IT基础架构，是开展IDC业务运营的基础。数据通信设备 在整个IDC运营中起到承上启下作用：一方面，它对外担负着IDC与外界其他网络系统，如互联网等网络的互连互通;另一方面，它对内承载着各种IDC业务 系统。

网络层的安全风险主要是针对网络基础架构的攻击行为，包括：Dos/DDos攻击、来自外部的网络攻击行为、各种僵尸/蠕虫/木马等恶意代码的侵害等等。网络层面的攻击行为往往与特定的应用无关，针对的是网络中的漏洞，具体体现在对IDC网络基础架构的威胁上。

1.2.2 业务层安全风险分析

业务层是IDC的核心要素，也是IDC价值的具体表现形式。它通过市场的需求情况，将IDC内的各种资源进行合理的整合和配置，对外包装出符合市场 需求的可运营产品或服务，并将这些产品和服务销售给IDC客户。业务层按照IDC提供的服务属性可以分为基础类业务和增值类业务两大类。

业务层的安全风险主要是针对后台业务运行的主机以及主机上承载的特定应用。其风险的表现行为包括：垃圾邮件、针对Web/DNS/FTP等服务器的 应用层攻击、针对服务器本身系统级的入侵行为等等。业务层的安全风险主要针对的是IDC托管运行的特定应用，和IDC服务的用户密切相关，需要进行重点的 防护。

1.3 IDC安全防护浅析

对于IDC而言，传统的安全防护解决方案是以IDC自身为主，所有的防护手段围绕着IDC本身的逻辑架构进行建设。例如在互联网边界部署防火墙、 IDS/IPS提高网络层的安全防护能力;在后台主机上部署主机加固、主机IPS等解决方案提高主机的安全防护能力。但是，传统的IDC防护手段属于 IDC单向的投入，并不能为IDC业务带来任何的回报，这显然与IDC的建设初衷相违背。此外，孤立的以IDC自身为主进行安全建设和防护，使得IDC的 安全防护很难跟上国际发展的水平，使得IDC要么安全防护水平落后，要么需要花费大的代价不断升级自身的安全防护系统。这与IDC先进的网络基础构架形成 了鲜明的反差。

现代IDC建设主要目标在于在能够为用户提供高效、稳定的服务的前提下，如何合理、最大化的利用现有资源形成最大的投资回报。基于这个原则，我们提 出IDC建设以用户为导向的差异化安全增值服务的理念。这个理念的核心是IDC在建设安全防护时，可以把相关的安全防护解决方案作为模块化的服务提供给用 户。IDC的用户按照自身安全防护的要求选择对应的安全防护模块，从而形成面相用户的差异化安全防护。而作为IDC运维的电信企业来说，通过为用户提供增 值的安全防护解决方案，能够获得额外的回报，从而把以前单向的安全防护投入转变为能够带来利润的增值服务之一。

对于IDC来说，在提供面相用户的增值安全服务的同时，如何减少自身的投入(包括软硬件投入、运维投入、能耗投入等等)，实现绿色IDC，已经成为 IDC安全建设发展的主流方向，也是其开源节流的重要方式。我们在之前的章节分析过，IDC主要面临的安全风险包括网络层面的风险和业务层面的风险。对于 网络层面的风险，主要是针对IDC基础网络构架的，所以需要在IDC不同的层面部署网络安全防护解决方案，例如防火墙、IDS/IPS等等，并且通过虚拟化等 技术实现差异化的安全增值服务。而对于业务层的风险，主要是针对特定用户的特定应用，不会对IDC的基础网络架构造成损害。IDC可以通过与专业的安全厂 商进行合作，通过云安全技术以及SaaS的模式进行提供差异化的安全防护服务。作为专业的安全厂商，有足够的资源形成云安全服务的汇聚点，而IDC能够通 过聚集用户形成很好的服务提供平台。通过双方的合作，可以将安全厂商的专业云安全服务在IDC形成本地化服务，而SaaS的服务模式前期不需要IDC投入 任何的软硬件资源，即可为用户提供丰富多样的安全防护增值服务，极大的降低了自身的能耗和资源投入，同时也开辟了多样的盈利渠道，符合绿色IDC以及开源 节流的发展趋势。对于用户而言，能够以较低的成本随时选择多种领先的安全防护服务，例如防垃圾邮件、Web安全防护等等。

综上而言，对于IDC来说，IDC的安全防护解决方案的选择需要具备如下条件：

*选择国际化专业的安全厂商。IDC作为电信行业对外的服务窗口，对SLA以及安全防护级别要求非常高。而IDC的防护发展趋势是选择与有成熟云安全技术和虚拟化技术的安全厂商进行合作。这使得IDC在选择安全合作伙伴时，必须选择国际化领先的专业安全厂商;

*选择具有虚拟化技术的网络层安全防护设备。对于IDC来说，网络层的防护需要在IDC的环境中部署产品。而提供以用户为导向的安全增值服务的关键 在于设备本身具有虚拟化的功能。所以在选择网络层安全防护产品，例如防火墙、IDS/IPS时需要选择具有虚拟化技术的安全设备;

*与安全厂商合作，实现SaaS的云安全防护平台。通过提供SaaS的云安全防护模型，IDC能够以很小的代价和资源消耗为用户提供领先、丰富的安全增值服务，实现绿色IDC和最佳投资回报的建设目标。

1.4 McAfee IDC安全防护解决方案介绍

McAfee是 全球最大的专业致力于信息安全产品和服务的厂商，也是全球最有影响力的十大软件公司之一。McAfee拥有世界权威的反病毒紧急事务响应小组 (AVERT)、IntruVert入侵防护响应小组及FoundStone漏洞分析小组，提供7/24的研发和支持服务，并且2006年在中国设立了 NSP研发中心， McAfee密切关注网上安全问题，为组织机构提供整体的安全顾问服务，推出网上诊室，是安全研究联盟SRA的主要成员。

作为全球最大的专业安全厂商，McAfee具有成熟的IDC安全防护解决方案，能够为IDC用户提供基于虚拟化技术的网络层安全防护设备和专业级的基于云安全的SaaS安全解决方案。

1.4.1 McAfee IPS解决方案

McAfee的NSP是全球首个产品化的IPS设备，它能够对已知攻击、未知攻击以及拒绝服务攻击进行检测和防御，满足各种企业网络的安全要求。 McAfee NSP能够通过部署业内最全面、最成熟的网络 IPS 解决方案来降低企业安全风险。 NSP 是基于 ASIC芯片及FPGA的设备，可前瞻性地防护终端和关键网络基础设施不受已知的攻击、Zero-day攻击、DOS/DDOS 攻击和加密攻击的威胁，也不受间谍软件、VoIP 漏洞、botnet、网络蠕虫、恶意软件、网络钓鱼诈骗攻击、木马以及 P2P 等应用程序的威胁。

虚拟化技术的实现

虚拟IPS能够将 NSP 探测器划分为多个虚拟探测器，这些虚拟探测器可以使用不同的探测和防护策略保护不同的VLAN、子网和主机(包括自定义的攻击选择及相关响应措施)。虚拟 IPS可以根据一组 IP 地址、一个或多个 VLAN 标记来定义，也可以通过探测器上的特定端口来定义。

NSP 体系结构的虚拟 IPS 功能可以通过三种方法来实施。第一，将虚拟局域网 (VLAN) 标志分配给一组网络资源;第二，使用无类别域内路由 (CIDR) 标志来保护一组 IP 地址;第三，将 NSP 系统接口专门用于保护特定部门、地区机构或组织职能部门的网络资源。

基于 CIDR 的 VIPS 实施能够使用 /32 掩码具体到单一主机的水平。例如，可以使用单一主机的特有策略来识别 DoS 攻击，并做出响应。

NSP的虚拟IPS功能

对于IDC环境而言，NSP是理想的网路层安全防护解决方案。通过虚拟化技术，能够灵活的实现以用户为导向的安全增值服务理念，从而减少总体拥有成本，扩展盈利模式，同时也提高了安全的总体防护水平。

风险感知能力

作为网络层安全防护产品，最大的局限在于无法感知到后台主机的安全水平，做到有针对性的事件过滤与关联报警。McAfee NSP能够集中应对最有关联的告警和攻击，提供更高的运作效率。NSP允许导入和关联McAfee Foundstone风险评估产品(或其他第三方产品)的信息，实现优先级的风险管理：

*通过具有风险识别功能的入侵防御系统，降低IT成本，并增加操作效率;

*通过识别并阻挡带来最大威胁的攻击，实现最大化安全效果，减少业务风险。

1.4.2 基于云安全的SaaS服务

在上述章节我们分析了IDC使用基于云安全的SaaS服务作为业务安全防护解决方案的各种优势。IDC在选择基于云安全的SaaS服务伙伴时，很重 要的衡量标准就是合作伙伴提供SaaS服务的多样性以及成熟的云安全架构。只有在这两点的基础上，IDC才能够为最终用户提供丰富、专业级的SaaS服 务，从而达到最佳投资回报的目标。

McAfee作为全球最大的专业安全厂商，是最早为用户提供SaaS服务的厂商。目前McAfee提供的SaaS服务包括：

*基于端点安全的SaaS解决方案;

*基Web安全的SaaS解决方案;

*基于邮件安全的SaaS解决方案;

*基于邮件归档的SaaS解决方案;

*基于邮件连续性保障的SaaS解决方案;

*基于Web站点信誉评级的SaaS解决方案;

*基于PCI遵从的SaaS解决方案;

*基于漏洞扫描与风险评估的SaaS解决方案。

可以说，McAfee提供了全球最为丰富的SaaS安全解决方案的种类，为IDC提供了多种选择，从而也为IDC的客户提供了多层防护模块的选择。 在多种SaaS安全解决方案后台，是McAfee成熟的云安全网络的支持。McAfee的云安全网络我们称之为“全球智能威胁威胁分析系统”(GTI)。 GTI兼顾了消息、Web 和网络安全领域的安全性，为 Internet 安全创建了一把多平台保护伞，这正是 Internet 安全领域长期缺失的。GTI从超过100多 个国家的 7000 多台传感器(每月包括超过 1100 亿条消息和数百万个 URL)积累了大量的数据，以便极其准确地创建 Internet 中所有发件人、消息、网站和域活动的档案，然后，GTI 就可以使用这些档案来监视是否存在违反预期的行为，从而精确的提前定义出可能发生的安全风险与威胁。

正是借助了McAfee成熟的云安全网络，使得我们能够与IDC合作，给用户提供专业级的国际领先的安全防护解决方案，从而顺应IDC安全防护发展的潮流和趋势。

1.4.3 总结

IDC的不断发展使得其安全防护的方向和技术一直都是困扰用户的一大难题。McAfee作为全球最大的专业安全厂商，提出以用户为导向的差异化安全增值服务理念。通过在网络层提供具有虚拟化技 术的网络安全防护设备，以及在业务层提供基于云安全的SaaS安全增值服务，能够使得IDC的资源优化达到最佳，实现高效、可靠的安全防护体系。通过与 McAfee合作，IDC能够在降低自身资源消耗、减少投入的情况下实现为用户提供国际领先的差异化安全增值服务的目标。从而在能够为用户提供高效、稳定 的服务的前提下，合理、最大化的利用现有资源形成最大的投资回报，达到绿色IDC与高效IDC的建设目标。

标签： ddos dns idc idc服务 idc运维 idc运营 安全 代码 防火墙 服务器 服务器托管 互联网 机 漏洞 媒体 企业邮箱 数据 通信 网络 网络安

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。