一体化打造安全性数据中心-一体化安全引擎

如何正确合理的发展新一代数据中心，成为了IT管理员们时下必须要解决的问题。对于传统数据中心来说，已经不能再适应如今成指数及增长的数据所带来的压力，这种压力造成了其安全性的下降。

传统数据中心的改造之苦

今天，WEB2.0大潮开始涌现，如Flickr、YouTuBe、BLOG、WIKI、PODCAST，互联网在第一次泡沫迸裂后又重现生机。这些新应用的背后英雄就是WEB技术，如果讲WEB1.0解决的是“人机交互界面的标准化”问题，WEB2.0则更进一步解决了“应用数据交互的标准化”问题，而WEB2.0的技术基础是XML协议和一系列相关WEB技术。

Web 2.0时代的最大特点是每个人可成为数据的提供者。在今后的几年内，WEB应用的普及必将带来另外一个新的标准化，那就是基于WEB技术的应用标准化，如果用OSI的模型来描述的话，则是会话层和表示层的标准化。“一旦标准化，即可网络化”意味着这些标准化的应用处理功能将集成到网络设备中，新的业务呼唤新的应用智能网络。

企业业务和数据从分散部署走向大集中，数据中心的数据量急剧膨胀，数据中心的重要性受到空前的重视，应用优化、网络安全、应用安全设备大规模部署，融合了应用安全、应用优化能力的应用智能数据中心越来越受到用户的欢迎。所以可以肯定的说，目前用户对于网络服务的要求已经大大提高了，不但要求满足大流量的数据传输，还要求网络不能出现中断或故障。要想把安全技术融于网络，安全技术必须和高速的网络设施相匹配；同时，还要简化网络拓扑，简化对网络的管理，方便网络用户的使用，以确保应用和互联的网络安全。

通过近几年对网络安全的研究，我们不难发现，网络的安全风险问题，归结起来主要在四个环节上：

• 内部网络与外界的接口，如通过Internet的互联，在接入口处从外面引入的安全网络风险问题；

• 在内网各节点之间的互联，容易造成区域的安全风险问题；

• 通过Wlan、VPN等多种非传统接入手段接入到内部网络中所带来的安全风险问题；

• 关键的数据中心或服务器区，容易遭受的有目的的攻击。

当然，网络中的安全风险问题不止这些，还有像安全接入、安全隔离、安全过滤和安全管理等方面的问题。对于进入万兆时代的网络应用而言，如何规避这些来自安全的风险，无疑是一种挑战。

在传统的数据中心建设中，为了应对以上我们讲到的种种安全威胁和信息泄漏，更多采用的方法是在原有数据中心的网络上进行修修补补，遇到什么问题就部署对应的安全设备进行防护，这虽然可以解决出现的安全问题，可是随之而来的却是维护、可靠性、性能等更加棘手的问题。随着网络威胁的不断增加，不同功能的安全设备逐一部署到数据中心中，到最后我们看到的网络更像是一个“糖葫芦串”，这种串行网络给数据中心带来了巨大
的“麻烦”：

• 新安全设备的加入需要足够的空间，然而在已经规划有序的数据中心中，空间已经非常紧凑，所以维护人员不得不在本来就狭小的空间内再“挤”出一定空间去容纳新增的设备；

• 新设备的加入，必然需要与原有网络设备进行连接，对一个事先没有充分规划和对未来没有充分考虑的数据中心，不可能有多余的线缆资源来衔接新的网络资源，那么就需要重新部署线缆，使得数据中心的“复杂度”进一步恶化；

• 串行结构的部署虽然可以解决所有的安全问题，但是却带来了更大的可靠性威胁，在这种网络结构中，任何一点都可能成为数据中心的性能瓶颈，任何一点的故障都可能引起业务的中断，数据中心的可靠性正面临着更大的威胁。

针对传统数据中心面临的问题，为了建设一个智能的数据中心，H3C通过一体化的融合网络来帮助企业完成数据中心发展过程中的平滑蜕变。H3C基于多年来在网络产品和安全产品研发方面的深厚积累和先进技术，创新性的在高性能的万兆核心交换机中实现了包括FW（防火墙）模块、IPS（入侵防御）模块、LB（负载均衡）模块等7种业务模块，在网络基础平台上实现高性能的安全保障和应用优化。彻底解决了传统数据中心在部署安全策略和应用优化时的各种问题。

一体化的融合网络

一体化的融合网络涵盖：

应用安全：

应用层认证、授权和审计

应用层加密（SSL)和集中PKI部署

应用层防火墙（HTTP/XML防火墙，SAML安全断言标记语言）

应用层内容安全：病毒、入侵等等

应用优化：

应用负载均衡

基于硬件的应用缓存、压缩和交换

应用协议优化（HTTP/TCP协议优化）

#p#

一体化之应用安全

数据中心承载着用户的核心业务和机密数据，同时为内部、外部、合作伙伴等客户提供业务交互和数据交换，因此数据中心的安全必须与业务系统实现融合，并且能够平滑的部署在网络中。

在高性能的万兆核心交换机中直接嵌入安全模块的做法，这对于H3C来说，不仅是一种安全理念，更是从核心交换去实施安全措施的一种创新。创新之处在于：要想把安全技术融于网络，安全技术必须和高速的网络设备相匹配；同时，还要简化网络拓扑，简化对网络的管理，方便网络用户的使用，以确保应用和互联的网络安全。

高性能的万兆核心交换机

在H3C的一体化融合网络中，所有的安全业务模块都采用了业界最领先的多核CPU+ASIC+FPGA的高性能硬件架构。这种分布式的硬件架构保证了所有的业务能在第一时间进行并行处理。

对于现在大量的应用层安全攻击，由于需要进行深入的报文分析，只有这种多核CPU的硬件架构才能真正实现对数据报文的实时处理，不会造成传输延迟。除此之外，由于交换机对数据报文采用分布式转发的模式，这样安全模块就能巧妙地利用H3C高端交换机的背板总线技术，确保安全插卡也能实现与万兆网络设备的无缝对接。

基于交换机的无阻塞技术，各种插卡通过背板总线进行数据交换。任何一个模块出现故障，通过H3C专利的ACFP技术，能够确保流量都会自动避开它，通过Bypass方式保证业务正常运行。真正在实现了数据中心安全的同时，又保证了业务连续性。

一体化安全在数据中心的部署实施，可以灵活的进行数据中心的模块化设计。用户可以根据需求任意选择所需的业务模块，实现安全功能的平滑升级。

一体化安全在数据中心的部署实施

相对一般独立式安全设备而言，一体化的部署方式可以充分利用交换机的接口资源。同时，通过安全模块的虚拟化技术，可以将同一块物理业务板卡在逻辑上划分为相互独立的多个板卡，每个逻辑板卡拥有完全独立的资源和策略，可以更充分的利用现有的IT资源，提供更加精确的实施控制策略。

目前H3C的一体化安全模块包括万兆防火墙模块、IPS入侵防御模块、ACG应用控制网关、AFC流量清洗模块等。已经具备了专业DDoS攻击防御、2~7层深度安全防护，覆盖了整个主流的网络安全需求，能为数据中心提供最全面的安全保护。

通过一体化安全的部署方式，能够使得数据中心的网络真正成为一个健壮的网络，满足客户对于网络应用最苛刻的要求。

#p#

一体化之应用优化

作为业务网络的心脏，数据中心面临着众多的挑战。扩展性、灵活性、高性能、可靠性和安全性，无一不是对数据中心的要求。尤其重要的一点是：在访问请求急剧增长的时候，服务器仍要保证快速、稳定的传送应用到客户端，而其中最重要的一个技术保障就是负载均衡。

如果不在数据中心配置负载均衡，将会导致服务器负载不均，部分负载很重的机器仍然不断的处理新来的业务请求，出现性能下降、响应时间变慢，甚至出现宕机。而其它的服务器可能长期处于轻载或空闲状态，导致数据中心整体性能不高、资源利用率不高、整体投资得不到保证。

配置负载均衡后，将解决服务器任务调度和资源占用不均衡的状态，提高性能的同时提高业务系统的健壮性。

一体化应用优化模块是一款高性能负载均衡产品，该业务模块创新性地实现了应用优化与网络交换设备的完美融合。具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。

一体化应用优化模块

通过对各种应用进行识别和区分，并对服务器、防火墙进行健康检测和性能检测，采用自适应智能算法将各种应用访问请求均衡分发至不同设备上。极大地提高了应用访问速度，为数据中心提供了一个高性能、经济高效的负载均衡解决方案。

【编辑推荐】