數(shù)據(jù)中心的四道安全防火墻

　　安全性對(duì)于數(shù)據(jù)中心的重要性不言而喻，尤其是人們對(duì)信息安全愈加重視的今天，安全事件無(wú)小事，一旦數(shù)據(jù)中心出現(xiàn)了嚴(yán)重的安全問(wèn)題，對(duì)于數(shù)據(jù)中心造成的損失是無(wú)法估量的。數(shù)據(jù)中心的安全是圍繞數(shù)據(jù)為核心，從數(shù)據(jù)的訪問(wèn)、使用、破壞、修改、丟失、泄漏等多方面維度展開(kāi)，因此也衍生出很多技術(shù)方法。從軟件到硬件，從網(wǎng)絡(luò)邊緣到核心，從數(shù)據(jù)中心入口到出口，只要有數(shù)據(jù)的地方都可以部署安全設(shè)備。不少的數(shù)據(jù)中心安全設(shè)備部署了很多，但是依然會(huì)不斷受到攻擊，原因?yàn)楹?其實(shí)數(shù)據(jù)中心安全是一個(gè)系統(tǒng)工程，不是部署幾臺(tái)防火墻就可以應(yīng)付了，需要進(jìn)行詳細(xì)的安全方案設(shè)計(jì)，讓安全的方案滲透到數(shù)據(jù)中心的每個(gè)環(huán)節(jié)，才能確保數(shù)據(jù)中心的數(shù)據(jù)安全。那么應(yīng)該如何進(jìn)行數(shù)據(jù)中心安全設(shè)計(jì)，本文將揭曉詳細(xì)答案。

　　數(shù)據(jù)中心安全需要從全局和架構(gòu)的高度進(jìn)行統(tǒng)一設(shè)計(jì)，目前國(guó)際上最新的，也是獲得普遍認(rèn)可的是由美國(guó)國(guó)家安全局制定的“信息保障技術(shù)框架IATF”，IATF是由美國(guó)國(guó)家安全局組織專(zhuān)家編寫(xiě)的一個(gè)全面描述信息安全保障體系的框架，提出了信息保障時(shí)代信息基礎(chǔ)設(shè)施的全套安全需求，它提出了一個(gè)通用的框架，為信息數(shù)據(jù)設(shè)計(jì)了四道安全防火墻：網(wǎng)絡(luò)和基礎(chǔ)設(shè)施，對(duì)網(wǎng)絡(luò)和基礎(chǔ)設(shè)計(jì)進(jìn)行防護(hù);飛地邊界，解決邊界保護(hù)問(wèn)題;局域計(jì)算環(huán)境，實(shí)現(xiàn)主機(jī)的計(jì)算環(huán)境保護(hù);支撐性基礎(chǔ)設(shè)施，安全的信息環(huán)境所需要的支撐平臺(tái)。IATF對(duì)于數(shù)據(jù)中心當(dāng)然同樣適用，不過(guò)四道防火墻這樣描述看起來(lái)非常抽象，不好理解，也不知道該具體如何入手，下面將進(jìn)行詳細(xì)講解。

　　首先來(lái)說(shuō)說(shuō)對(duì)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的防護(hù)，這個(gè)指的是數(shù)據(jù)中心的網(wǎng)絡(luò)部分。數(shù)據(jù)中心里有大量的網(wǎng)絡(luò)設(shè)備，這些網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)了所有設(shè)備的互聯(lián)互通，在數(shù)據(jù)中心里起非常大的作用，所有的數(shù)據(jù)都需要經(jīng)過(guò)這些設(shè)備進(jìn)行傳輸，一旦有設(shè)備發(fā)生了數(shù)據(jù)泄露，后果很壞，所以要從數(shù)據(jù)中心網(wǎng)絡(luò)入手，加強(qiáng)對(duì)網(wǎng)絡(luò)中的交換機(jī)、路由器、無(wú)線WiFi等網(wǎng)絡(luò)設(shè)備的防護(hù)。具體的要及時(shí)升級(jí)這些設(shè)備的軟件版本，要和設(shè)備商確認(rèn)設(shè)備軟件系統(tǒng)是否存在安全漏洞，尤其是有些設(shè)備默認(rèn)留一些后門(mén)，隱藏執(zhí)行命令，還有一些服務(wù)端口被默認(rèn)打開(kāi)，這些往往是最容易被入侵的地方，所以一定要了解清楚設(shè)備是否存在這些漏洞，如果存在及時(shí)進(jìn)行軟件更新;周期性地更換這些設(shè)備的訪問(wèn)密碼，避免被盜;定期對(duì)設(shè)備進(jìn)行巡檢，發(fā)現(xiàn)隱患及時(shí)消除，尤其是各種網(wǎng)絡(luò)協(xié)議攻擊，可能會(huì)造成網(wǎng)絡(luò)癱瘓，從而入侵應(yīng)用系統(tǒng)，竊取數(shù)據(jù)。

　　其次是邊界保護(hù)，這是指在數(shù)據(jù)中心的出入口。數(shù)據(jù)中心的數(shù)據(jù)有輸入和輸出兩大出口，一定要做好數(shù)據(jù)過(guò)濾與檢查。具體的技術(shù)實(shí)現(xiàn)有很多，比如防火墻、邊界共享交換、遠(yuǎn)程訪問(wèn)、多域方案、移動(dòng)代碼、安全隔離等等，這些安全技術(shù)主要是通過(guò)硬件設(shè)備實(shí)現(xiàn)，實(shí)現(xiàn)數(shù)據(jù)流量的粗過(guò)濾，主要設(shè)備包括有防火墻、負(fù)載均衡設(shè)備、入侵檢測(cè)設(shè)備、NAT設(shè)備、統(tǒng)一網(wǎng)關(guān)等設(shè)備，這些設(shè)備都需要部署在數(shù)據(jù)中心的數(shù)據(jù)出入口，做好數(shù)據(jù)出入檢查。當(dāng)然有這個(gè)還遠(yuǎn)遠(yuǎn)不夠。我們?cè)谏�活中也看到，很多小區(qū)出入的地方都有保安，可還是不斷發(fā)生各種入室盜竊甚至更為嚴(yán)重的刑事案件，所以數(shù)據(jù)中心也不能完全靠邊界保護(hù)，還需要從內(nèi)容上進(jìn)行保護(hù)，就是主機(jī)的保護(hù)。

　　第三是主機(jī)保護(hù)，這是指從數(shù)據(jù)中心服務(wù)器入手。數(shù)據(jù)中心里所有的應(yīng)用業(yè)務(wù)都是部署在服務(wù)器上的，數(shù)據(jù)中心里的服務(wù)器設(shè)備數(shù)量最多，也是存在系統(tǒng)漏洞最多的地方，很多攻擊都是針對(duì)服務(wù)器發(fā)起的，一旦越過(guò)了邊界和網(wǎng)絡(luò)保護(hù)，那服務(wù)器就危險(xiǎn)了，所以這時(shí)服務(wù)器一定不能裸奔，不然一定會(huì)走光的。服務(wù)器上能做的保護(hù)主要側(cè)重于軟件，比如操作系統(tǒng)的防護(hù)，做生物認(rèn)證，安全Web，令牌，病毒軟件等等，這些技術(shù)都是對(duì)服務(wù)器里的數(shù)據(jù)進(jìn)行保護(hù)的，廣為人知的有360、趨勢(shì)科技、瑞星、諾頓等軟件，這些軟件會(huì)不斷更新病毒庫(kù)，針對(duì)新的病毒類(lèi)型進(jìn)行防護(hù)，服務(wù)器上安裝了這些防護(hù)軟件，就可以實(shí)時(shí)更新軟件包，及時(shí)對(duì)系統(tǒng)進(jìn)行保護(hù)，防止被攻破系統(tǒng)。絕大多數(shù)的攻擊都是針對(duì)系統(tǒng)漏洞實(shí)施的，對(duì)系統(tǒng)漏洞進(jìn)行及時(shí)修復(fù)，并不斷更新安全軟件，就可以有效避免受攻擊。

　　最后是支撐平臺(tái)，這是指要建立完善的準(zhǔn)入系統(tǒng)，對(duì)各種數(shù)據(jù)中心訪問(wèn)進(jìn)行控制和檢查。比如：PKI認(rèn)證、證書(shū)管理、密碼管理等。比如我們?cè)谠L問(wèn)銀行網(wǎng)站的時(shí)候，進(jìn)行網(wǎng)絡(luò)交易時(shí)，都需要下載證書(shū)，這個(gè)就是對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行加密，確保訪問(wèn)是安全的，只有網(wǎng)絡(luò)兩邊的證書(shū)對(duì)上才能進(jìn)行訪問(wèn)，證書(shū)管理都用在銀行的數(shù)據(jù)中心系統(tǒng)中。通過(guò)這些支撐平臺(tái)，對(duì)訪問(wèn)進(jìn)行控制，訪問(wèn)攻擊進(jìn)入，破化系統(tǒng)或者獲取機(jī)密數(shù)據(jù)。如今的各種準(zhǔn)入認(rèn)證技術(shù)已經(jīng)較為成熟，安全漏洞偶有爆出，但一般影響范圍不大，而且這些認(rèn)證技術(shù)也在不斷地完善，在數(shù)據(jù)中心里應(yīng)該大力推廣使用，消除應(yīng)用系統(tǒng)受攻擊的風(fēng)險(xiǎn)。

　　四道安全防火墻涵蓋了數(shù)據(jù)中心安全的方方面面，形成一個(gè)全面的、有針對(duì)性的安全防護(hù)系統(tǒng)。正如IATF技術(shù)解釋說(shuō)明的那樣，它從人、技術(shù)和操作三個(gè)方面共同實(shí)現(xiàn)了信息安全的防護(hù)。通過(guò)部署這四道防火墻，將大大增加數(shù)據(jù)中心的安全防護(hù)能力，目前是數(shù)據(jù)中心安全領(lǐng)域最為普遍的做法，將極大地增強(qiáng)數(shù)據(jù)中心的數(shù)據(jù)安全性。

　　一、網(wǎng)絡(luò)邊界防火墻：第一道 “物理 + 邏輯” 隔離屏障

　　網(wǎng)絡(luò)邊界防火墻是數(shù)據(jù)中心與外部網(wǎng)絡(luò)交互的第一道關(guān)卡，核心作用是阻斷非法訪問(wèn)、過(guò)濾危險(xiǎn)流量，實(shí)現(xiàn) “內(nèi)外隔離” 的基礎(chǔ)防護(hù)。從技術(shù)架構(gòu)來(lái)看，它融合了物理隔離與邏輯防護(hù)雙重屬性：物理層面通過(guò)獨(dú)立的硬件防火墻設(shè)備（如下一代防火墻 NGFW）部署在互聯(lián)網(wǎng)入口、專(zhuān)線接入等關(guān)鍵節(jié)點(diǎn)，與數(shù)據(jù)中心核心網(wǎng)絡(luò)物理分離；邏輯層面則基于 ACL（訪問(wèn)控制列表）、端口映射、協(xié)議過(guò)濾等規(guī)則，對(duì)進(jìn)出流量進(jìn)行精準(zhǔn)管控 —— 例如僅開(kāi)放 80、443 等必要業(yè)務(wù)端口，阻斷黑客常用的高危端口掃描、惡意程序傳輸?shù)刃袨椤?/p>

　　在實(shí)際應(yīng)用中，這道防火墻還具備智能識(shí)別能力：通過(guò)深度包檢測(cè)（DPI）技術(shù)解析流量?jī)?nèi)容，識(shí)別 SQL 注入、跨站腳本（XSS）等應(yīng)用層攻擊，同時(shí)結(jié)合威脅情報(bào)庫(kù)實(shí)時(shí)更新，攔截已知惡意 IP、僵尸網(wǎng)絡(luò)通信等風(fēng)險(xiǎn)流量。它就像數(shù)據(jù)中心的 “大門(mén)守衛(wèi)”，既允許合法業(yè)務(wù)數(shù)據(jù)順暢通行，又將絕大多數(shù)外部攻擊擋在門(mén)外，為后續(xù)防護(hù)層級(jí)奠定基礎(chǔ)。

　　二、主機(jī)與系統(tǒng)防火墻：第二道 “終端級(jí)” 深度防御

　　如果說(shuō)網(wǎng)絡(luò)邊界防火墻是 “大門(mén)”，主機(jī)與系統(tǒng)防火墻就是數(shù)據(jù)中心內(nèi)部服務(wù)器、核心設(shè)備的 “房門(mén)鎖”，聚焦終端層面的精準(zhǔn)防護(hù)。這道防火墻主要部署在物理服務(wù)器、虛擬機(jī)、存儲(chǔ)設(shè)備等核心節(jié)點(diǎn)，分為操作系統(tǒng)自帶防火墻（如 Linux iptables、Windows 防火墻）與第三方主機(jī)防護(hù)軟件兩類(lèi)，核心目標(biāo)是阻斷內(nèi)部橫向攻擊與非法終端接入。

　　其防護(hù)邏輯圍繞 “最小權(quán)限原則” 展開(kāi)：一方面，針對(duì)不同主機(jī)的業(yè)務(wù)屬性定制防護(hù)規(guī)則，例如數(shù)據(jù)庫(kù)服務(wù)器僅允許應(yīng)用服務(wù)器的特定 IP 訪問(wèn) 3306、1433 等數(shù)據(jù)庫(kù)端口，禁止其他終端直接連接；另一方面，實(shí)時(shí)監(jiān)控主機(jī)進(jìn)程、端口占用狀態(tài)，攔截未授權(quán)程序啟動(dòng)、異常端口監(jiān)聽(tīng)等行為 —— 例如當(dāng)黑客突破邊界防護(hù)后，試圖通過(guò)漏洞入侵內(nèi)部主機(jī)時(shí)，主機(jī)防火墻會(huì)及時(shí)阻斷其提權(quán)操作與惡意進(jìn)程執(zhí)行，避免攻擊范圍擴(kuò)大。此外，該層級(jí)還會(huì)與漏洞掃描、補(bǔ)丁管理系統(tǒng)聯(lián)動(dòng)，及時(shí)修復(fù)系統(tǒng)漏洞，減少防護(hù)短板。

　　三、數(shù)據(jù)安全防火墻：第三道 “核心資產(chǎn)” 守護(hù)屏障

　　數(shù)據(jù)作為數(shù)據(jù)中心的核心資產(chǎn)，需要專(zhuān)門(mén)的 “數(shù)據(jù)安全防火墻” 實(shí)現(xiàn)全生命周期防護(hù)，這道防火墻聚焦 “數(shù)據(jù)本身”，而非網(wǎng)絡(luò)或終端層面。其核心技術(shù)包括數(shù)據(jù)加密、訪問(wèn)控制、數(shù)據(jù)脫敏三大模塊：在數(shù)據(jù)傳輸階段，通過(guò) SSL/TLS 加密等技術(shù)保障數(shù)據(jù)在內(nèi)外網(wǎng)、跨數(shù)據(jù)中心傳輸時(shí)不被竊取或篡改；在數(shù)據(jù)存儲(chǔ)階段，采用分區(qū)加密、加密存儲(chǔ)等方式，即使存儲(chǔ)設(shè)備被盜，也無(wú)法破解數(shù)據(jù)內(nèi)容；在數(shù)據(jù)訪問(wèn)階段，通過(guò)多因素認(rèn)證（MFA）、權(quán)限分級(jí)管控等機(jī)制，確保只有授權(quán)人員才能訪問(wèn)敏感數(shù)據(jù)，且操作行為全程可審計(jì)。

　　同時(shí)，數(shù)據(jù)安全防火墻還具備動(dòng)態(tài)防護(hù)能力：通過(guò)數(shù)據(jù)泄露防護(hù)（DLP）技術(shù)識(shí)別敏感數(shù)據(jù)流轉(zhuǎn)路徑，攔截違規(guī)拷貝、外發(fā)等行為；針對(duì)數(shù)據(jù)庫(kù)等核心存儲(chǔ)系統(tǒng)，部署數(shù)據(jù)庫(kù)防火墻，實(shí)時(shí)攔截 SQL 注入、批量導(dǎo)出等高危操作，防止數(shù)據(jù)被非法竊取或破壞。這道防火墻直接守護(hù)數(shù)據(jù)資產(chǎn)的完整性、保密性與可用性，是抵御數(shù)據(jù)泄露、篡改等核心風(fēng)險(xiǎn)的關(guān)鍵防線。

　　四、應(yīng)用與行為防火墻：第四道 “智能自適應(yīng)” 防護(hù)屏障

　　隨著云計(jì)算、虛擬化技術(shù)的普及，數(shù)據(jù)中心應(yīng)用場(chǎng)景愈發(fā)復(fù)雜，傳統(tǒng)靜態(tài)防護(hù)已難以應(yīng)對(duì)未知威脅，應(yīng)用與行為防火墻作為第四道防線，以 “智能自適應(yīng)” 為核心，聚焦應(yīng)用層攻擊與異常行為識(shí)別。這道防火墻融合了 WAF（Web 應(yīng)用防火墻）、行為審計(jì)、威脅感知等技術(shù)，直接作用于業(yè)務(wù)應(yīng)用與用戶(hù)行為層面。

　　在應(yīng)用防護(hù)方面，WAF 針對(duì) Web 應(yīng)用、API 接口等高頻攻擊目標(biāo)，通過(guò)特征識(shí)別與機(jī)器學(xué)習(xí)，精準(zhǔn)攔截 SQL 注入、命令執(zhí)行、路徑遍歷等應(yīng)用層漏洞攻擊，同時(shí)防護(hù)爬蟲(chóng)惡意抓取、DDoS 攻擊等業(yè)務(wù)干擾行為；在行為防護(hù)方面，通過(guò)建立正常用戶(hù)行為基線，實(shí)時(shí)監(jiān)測(cè)異常操作 —— 例如同一賬號(hào)短時(shí)間內(nèi)異地登錄、批量查詢(xún)敏感數(shù)據(jù)、權(quán)限越級(jí)操作等，一旦發(fā)現(xiàn)異常，立即觸發(fā)告警并采取阻斷措施。此外，該層級(jí)還會(huì)與安全運(yùn)營(yíng)中心（SOC）聯(lián)動(dòng)，通過(guò)大數(shù)據(jù)分析實(shí)現(xiàn)威脅溯源與閉環(huán)處置，形成 “識(shí)別 - 告警 - 阻斷 - 溯源” 的全流程防護(hù)，應(yīng)對(duì)不斷演變的新型網(wǎng)絡(luò)威脅。

　　四道防火墻的協(xié)同防護(hù)邏輯

　　數(shù)據(jù)中心的四道安全防火墻并非孤立存在，而是形成 “層層遞進(jìn)、相互補(bǔ)位” 的協(xié)同防護(hù)體系：網(wǎng)絡(luò)邊界防火墻阻斷外部大部分非法流量，減少后續(xù)層級(jí)的防護(hù)壓力；主機(jī)與系統(tǒng)防火墻防范內(nèi)部橫向攻擊，避免單點(diǎn)突破引發(fā)連鎖反應(yīng)；數(shù)據(jù)安全防火墻聚焦核心資產(chǎn)，確保數(shù)據(jù)全生命周期安全；應(yīng)用與行為防火墻應(yīng)對(duì)未知威脅與精準(zhǔn)攻擊，彌補(bǔ)前序防線的防護(hù)盲區(qū)。通過(guò)四道防線的協(xié)同運(yùn)作，數(shù)據(jù)中心實(shí)現(xiàn)了 “外部隔離 - 終端加固 - 數(shù)據(jù)守護(hù) - 智能預(yù)警” 的全方位防護(hù)，為數(shù)字資產(chǎn)構(gòu)建起堅(jiān)不可摧的安全屏障。

【數(shù)據(jù)中心的四道安全防火墻】相關(guān)文章：

Linux防火墻iptables設(shè)置05-29

怎么解除防火墻限制06-18

win7防火墻關(guān)閉06-28

數(shù)據(jù)中心空調(diào)系統(tǒng)節(jié)能措施05-15

思科數(shù)據(jù)中心認(rèn)證項(xiàng)目簡(jiǎn)介07-30

思科CCT數(shù)據(jù)中心認(rèn)證側(cè)05-22

思科ASA防火墻基本配置08-18

左右企業(yè)發(fā)展的四道”坎”07-17

數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化技術(shù)概要06-26