企業(yè)網(wǎng)D1Net  4月25日 任何事物都是對立存在的，我們一方面享受著信息技術(shù)給生活、工作帶來的便利，另一方面也被各種病毒、黑客攻擊、系統(tǒng)漏洞、惡意破壞等麻煩困擾著。隨著便攜機(jī)大量普及，Home/Hotel land office移動(dòng)接入大量普及，移動(dòng)辦公的普及，極大地增加了數(shù)據(jù)中心的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。信息技術(shù)的高速發(fā)展也讓這些惡意攻擊的手段越來越高明，承載著重要信息數(shù)據(jù)的數(shù)據(jù)中心正承受著前所未有的巨大風(fēng)險(xiǎn)。俗話說“魔高一尺，道高一丈”，勝利應(yīng)永遠(yuǎn)屬于那些正義的行為，所以為了應(yīng)對這些攻擊，數(shù)據(jù)中心也有自己的一套防護(hù)網(wǎng)。數(shù)據(jù)中心的安全技術(shù)含義非常廣泛，比如包括物理安全技術(shù)，主要指數(shù)據(jù)中心機(jī)房的建筑安全、防電磁輻射、防靜電、防火等等；數(shù)據(jù)安全技術(shù)，主要指數(shù)據(jù)的保存、備份技術(shù)；信息安全技術(shù)，主要指訪問用戶身份認(rèn)證、記錄、加密等技術(shù)；還有就是網(wǎng)絡(luò)安全技術(shù)，主要指數(shù)據(jù)中心基于網(wǎng)絡(luò)達(dá)到數(shù)據(jù)安全的目的。網(wǎng)絡(luò)安全是數(shù)據(jù)中心的重要組成部分，任何一個(gè)數(shù)據(jù)中心都需要部署網(wǎng)絡(luò)安全技術(shù)，從而防止數(shù)據(jù)中心的數(shù)據(jù)系統(tǒng)遭到泄露或破壞，本文就從數(shù)據(jù)中心網(wǎng)絡(luò)安全說起。

數(shù)據(jù)中心的網(wǎng)絡(luò)安全要防護(hù)什么呢？答案很簡單，就是防護(hù)我們俗稱的病毒，病毒也是人為產(chǎn)生的，這就好比在世界上從古至今總是在重復(fù)上演著警察與小偷的故事，病毒也是一些利欲熏心的人利用信息技術(shù)產(chǎn)生的。隨著技術(shù)的積累，時(shí)間的推移，病毒手段也越來越高明。從80年代病毒出現(xiàn)到現(xiàn)在，大體可以分為四代。表1正是近幾十年病毒發(fā)展的精準(zhǔn)對比和總結(jié)。

　　　　　　　　　　　　　表1：病毒的發(fā)展過程

從表１的對比不難看出，病毒的擴(kuò)散速度越來越快，影響范圍越來越廣。針對病毒的這些類型和特點(diǎn)，數(shù)據(jù)中心也擁有了一些有針對性的防護(hù)利器，比如通過防火墻和路由器的訪問控制列表完成基本訪問流量控制，通過網(wǎng)絡(luò)入侵檢測發(fā)現(xiàn)應(yīng)用層威脅，通過AAA認(rèn)證完成訪問用戶的身份識別，通過加密和虛擬專網(wǎng)完成數(shù)據(jù)的安全運(yùn)輸，這些安全技術(shù)逐漸衍生出了具有安全防護(hù)功能的三大利器：防火墻、IDS、IPS。

防火墻英文名叫Firewall，當(dāng)然具體功能并不是要防火。這是由Check Point 創(chuàng)立者Gil Shwed于1993年發(fā)明并引入到網(wǎng)絡(luò)中使用的信息安全防護(hù)設(shè)備。防火墻可分為軟件防火墻和硬件防火墻，軟件防火墻常見是安裝到服務(wù)器和PC上的，比如360、瑞星、諾頓等，針對應(yīng)用層進(jìn)行安全防御，而硬件防火墻是基于網(wǎng)絡(luò)三四層安全防御的設(shè)備。數(shù)據(jù)中心由于設(shè)備數(shù)量多，網(wǎng)絡(luò)容量特別大，所以一般需要多層防護(hù)。那么防火墻一般都會被部署在數(shù)據(jù)中心的邊界、入口的位置，做第一層的安全防護(hù)。不過硬件防火墻無法抵御各種應(yīng)用層的威脅，而如今的數(shù)據(jù)中心安全問題已不再主要是網(wǎng)絡(luò)隔離和訪問控制，越來越多的安全問題來源自操作系統(tǒng)和應(yīng)用的漏洞，比如：緩沖區(qū)溢出攻擊，非法的P2P流量，針對系統(tǒng)漏洞的攻擊，BackOffice、Dos、SYN Flood等等，這些惡意流量都可以穿過防火墻，達(dá)到攻擊的目的。因此數(shù)據(jù)中心的安全重心將不會再防火墻，而是IDS和IPS。 

IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統(tǒng)”，IDS工作在七層，可以對應(yīng)用層進(jìn)行深度解析，對高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視，發(fā)現(xiàn)異常及時(shí)發(fā)出告警。IDS是旁路監(jiān)聽設(shè)備，只需要將網(wǎng)絡(luò)流量復(fù)制一份到IDS設(shè)備上就可以完成檢測。

IPS是英文“Intrusion Prevention System”的縮寫，中文意思是入侵防御系統(tǒng)。和IDS相同，IPS也是工作在網(wǎng)絡(luò)應(yīng)用層，不過IPS屬于工作模式是在線而不是旁路。IPS可以深度感知并檢測流經(jīng)的數(shù)據(jù)流量，對惡意報(bào)文進(jìn)行丟棄和阻斷，對濫用報(bào)文進(jìn)行限流，從而保護(hù)數(shù)據(jù)中心網(wǎng)絡(luò)帶寬資源。

防火墻、IDS、IPS是數(shù)據(jù)中心網(wǎng)絡(luò)安全的三種使用最廣的安全防御設(shè)備。簡單講，防火墻就是數(shù)據(jù)中心的大門，而IDS是視頻監(jiān)控系統(tǒng)，IPS是安檢系統(tǒng)。IDS/IPS是“深度檢測防火墻”是“內(nèi)置了IDS/IPS功能”的防火墻。通過防火墻可以智能解決數(shù)據(jù)中心20%的安全威脅問題，而另外的80%則要靠IDS/IPS來完成。防火墻和IDS/IPS往往是一前一后配合使用，防火墻做“網(wǎng)絡(luò)隔離和訪問控制”，IDS/IPS做應(yīng)用層威脅抵御，它們可以很好地防護(hù)寬帶濫用，蠕蟲病毒，Dos/DDos，間諜軟件，網(wǎng)絡(luò)釣魚，垃圾郵件等各種類型的攻擊。IPS和IDS基本上是互相替代的產(chǎn)品，IPS相比IDS關(guān)注的不僅是監(jiān)視與告警，還有消除危險(xiǎn)的動(dòng)作，可以對流量進(jìn)行深度分析及安全策略的實(shí)施，完成對黑客行為進(jìn)行阻擊，IPS正是數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)的終極產(chǎn)品。

黑客與防火墻、IDS、IPS，一方要攻，一方要防，都在玩著命的擴(kuò)展自己的武器裝備。在這個(gè)斗爭的過程中，兩者都在不斷地發(fā)展。雖然我們厭惡那些黑客攻擊的行為，但是這些行為往往背后有著巨大的利益誘惑，所以只要數(shù)據(jù)中心存在一天，這些黑客就不會放棄攻擊，我們需要防火墻/IDS/IPS發(fā)揮更大的正能量，守護(hù)我們美好的信息化生活。防火墻、IDS、IPS這數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)的三大利器將會面臨更大挑戰(zhàn)，但同樣也會發(fā)揮更大的作用。