数据中心解决方案安全技术白皮书 1 前言

    数据集中是管理集约化、精细化的必然要求，是企业优化业务流程、管理流程的的必要手段。目前，数据集中已经成为国内电子政务、企业信息化建设的发展趋势。数据中心的建设已成为数据大集中趋势下的必然要求。做为网络中数据交换最频繁、资源最密集的地方，数据中心无疑是个充满着巨大的诱惑的数字城堡，任何防护上的疏漏必将会导致不可估量的损失，因此构筑一道安全地防御体系将是这座数字城堡首先面对的问题。

    2 数据中心面对的安全挑战

    随着Internet应用日益深化，数据中心运行环境正从传统客户机/服务器向网络连接的中央服务器转型，受其影响，基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素，一些未实施正确安全策略的数据中心，黑客和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害，而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备，但对于日趋成熟和危险的各类攻击手段，这些传统的防御措施仍然显现的力不从心。

    以下是当前数据中心面对的一些主要安全挑战。

    2.1 面向应用层的攻击

    常见的应用攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等，最典型的应用攻击莫过于“蠕虫”。蠕虫是指'通过计算机网络进行自我复制的恶意程序，泛滥时可以导致网络阻塞和瘫痪'。从本质上讲，蠕虫和病毒的最大的区别在于蠕虫是通过网络进行主动传播的，而病毒需要人的手工干预？如各种外部存储介质的读写？。蠕虫有多种形式，包括系统漏洞型蠕虫、群发邮件型蠕虫、共享型

    蠕虫、寄生型蠕虫和混和型蠕虫。其中最常见，变种最多的蠕虫是群发邮件型蠕虫，它是通过EMAIL进行传播的，著名的例子包括'求职信'、'网络天空NetSky'、'雏鹰 BBeagle'等，2005年11月爆发的'Sober'蠕虫，是一个非常典型的群发邮件型蠕虫。而传播最快，范围最广、危害最大是系统漏洞型蠕虫，例如利用TCP 445端口进行传播的windows PnP服务漏洞到2006年第一季度还在肆虐它的余威。

    图1 应用协议攻击穿透防火墙

    应用攻击的共同特点是利用了软件系统在设计上的缺陷，并且他们的传播都基于现有的业务端口，因此应用攻击可以毫不费力的躲过那些传统的或者具有少许深度检测功能的防火墙。国际计算机安全协会 ICSA 实验室调查的结果显示，2005年病毒攻击范围提高了39%，重度被感染者提高了18%，造成的经济损失提高了31%，尤为引人注意的是，跨防火墙的应用层(ISO 7层)攻击提高了278%，即使在2004年，这一数字也高达249%。

    摆在我们面前的大量证据表明，针对系统缺陷的应用攻击已成为数据中心面

    。 临的主要威胁

    造成应用攻击的根本原因在于软件开发人员编写程序时没有充分考虑异常情况的处理过程，当系统处理处理某些特定输入时引起内存溢出或流程异常，因此形成了系统漏洞。黑客利用系统漏洞可以获得对系统非授权资源的访问。来自CERT？计算机紧急事件相应组？报告指出，从1995年开到2004年已有超过12，000个漏洞被报告，而且自1999年以来，每年的数量都翻翻，增长如此迅猛，

如下图所示，

    图2 1995！2005 CERT/CC统计发现的漏洞

    如此多的漏洞，对数据中心意味着什么；系统安全小组必须及时采取行动获得补丁程序、测试、最后将其部署在服务器上，为什么不直接给服务器打补丁呢；因为不能保证补丁对应用系统没有影响，为了以防万一，必须对补丁程序进行测试和验证，然后才允许将其投入生产系统。从补丁程序获得、测试和验证，再到最终的部署，完成这一系列任务需要多长时间；答案是，可能需要几个小时到几天，而在此期间攻击可能已经发生，损失已无法挽回。这也就是所谓的“零时差攻击”。如下表所示，从系统漏洞被发现到产生针对性应用攻击的时间已从以年计算降至以天，以小时计算。

    表1 系统漏洞与应用攻击爆发速度关系:

    应用攻击 系统漏洞与应用攻击爆发周期

    MS05-039 24 小时

    Witty 48小时 ？2天？

    Blast 1个月 ？26天？

    Slammer 6个月 ？185天？

    Nimida 11个月 ？336天？

    试想一下，这是一个何等恐怖的情况，数据中心庞大的服务器群还未来得及做出任何反应即遭到黑客发动的“闪击战”，大量敏感数据被盗用、网络险入瘫痪 …|…。

    因此，数据中心面临的另一个严峻问题是如何应对由应用攻击造成的“零时”效应。 差

    2.2 面向网络层的攻击

    除了由于系统漏洞造成的应用攻击外，数据中心还要面对拒绝服务攻击？DoS？和分布式拒绝服务攻击？DDoS？的挑战。DOS/DDOS是一种传统的网络攻击方式，然而其破坏力却十分强劲。据2004 美国CSI/FBI的计算机犯罪和安全调研分析，DOS和DDOS攻击已成为对企业损害最大的犯罪行为，超出其他各种犯罪类型两倍。

    常见的DDOS攻击方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。已发现的DOS攻击程序有ICMP Smurf、UDP 反弹，而典型的DDOS攻击程序有Zombie、TFN2K、Trinoo 和 Stacheldraht等。DOS/DDoS攻击大行其道的原因主要是利用了TCP/IP的开放性原则，从任意源地址向任意目标地址都可以发送数据包。DOS/DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源，从而使合法用户无法得到服务的响应。早期的DOS攻击由单机发起，在攻击目标的CPU速度不高、内存有限、网络带宽窄的情况下效果是明显的。随着网络和系统性能的大幅提高，CPU的主频已达数G，服务器的内存通常在2G以上，此外网络的吞吐能力已达万兆，单机发起的DoS攻击好比孤狼斗猛虎，没有什么威胁。狼的习性是群居，一只固然势单力薄，但如果群起而攻之，恐怕猛虎也难抵挡，这就是分布式拒绝服务攻击的原理。用一台攻击机来攻击不再起作用的话，攻击者使用10台攻击机、100台呢共同发起攻击呢；DDoS就是利用大量的傀儡机来发起攻击，积少成多超过网络和系统的能力的极限，最终击溃高性能的网络和系统。

    数据中心绝不允许DOS/DDOS垃圾报文肆虐于网络之中，因此如何实施边

    “拒敌于国门之外”将是数据中心面临的又一个挑战。 界安全策略，如何

2.3 对网络基础设施的攻击

    数据中心象一座拥有巨大财富的城堡，然而坚固的堡垒最容易从内部被攻破，来自数据中心内部的攻击也更具破坏性。隐藏在企业内部的黑客不仅可以通过应用攻击技术绕过防火墙，对数据中心的网络造成损害，还可以凭借其网络构架的充分了解，通过违规访问、嗅探网络系统、攻击路由器/交换机设备等手段，访问非授权资源，这些行将对企业造成更大的损失。

    “木桶的装水量取决于最短的木板”，涉及内网安全防护的部件产品非常多，从接入层设备到汇聚层设备再到核心层设备，从服务器到交换机到路由器、防火墙，几乎每台网络设备都将参与到系统安全的建设中，任何部署点安全策略的疏漏都将成为整个安全体系的短木板。

    “木桶的装水量还取决于木板间的紧密程度”，一个网络的安全不仅依赖于单个部件产品的安全特性，也依赖于各安全部件之间的紧密协作。一个融合不同工作模式的安全部件产品的无缝安全体系必须可以进行全面、集中的安全监管与维护。

    因此，数据中心的安全防护体系不能仅依靠单独的某个安全产品，还要依托

     整个网络中各部件的安全特性。

    3 技术特色

    在这种咄咄逼人的安全形势下，数据中心需要一个全方位一体化的安全部署方式。H3C数据中心安全解决方案秉承了H3C一贯倡导的“安全渗透理念”，将安全部署渗透到整个数据中心的设计、部署、运维中，为数据中心搭建起一个立体的、无缝的安全平台，真正做到了使安全贯穿数据链路层到网络应用层的目标，使安全保护无处不在。

    H3C数据中心安全解决方案的技术特色可用十二个字概括，三重保护、多

     层防御(分区规划，分层部署。