資料中心的四道安全防火牆

安全性對於資料中心的重要性不言而喻，尤其是人們對資訊保安愈加重視的今天，安全事件無小事，一旦資料中心出現了嚴重的安全問題，對於資料中心造成的損失是無法估量的。資料中心的安全是圍繞資料為核心，從資料的訪問、使用、破壞、修改、丟失、洩漏等多方面維度展開，因此也衍生出很多技術方法。從軟體到硬體，從網路邊緣到核心，從資料中心入口到出口，只要有資料的地方都可以部署安全裝置。不少的資料中心安全裝置部署了很多，但是依然會不斷受到攻擊，原因為何?其實資料中心安全是一個系統工程，不是部署幾臺防火牆就可以應付了，需要進行詳細的安全方案設計，讓安全的方案滲透到資料中心的每個環節，才能確保資料中心的資料安全。那麼應該如何進行資料中心安全設計，本文將揭曉詳細答案。

資料中心安全需要從全域性和架構的高度進行統一設計，目前國際上最新的，也是獲得普遍認可的是由美國國家安全域性制定的“資訊保障技術框架IATF”，IATF是由美國國家安全域性組織專家編寫的一個全面描述資訊保安保障體系的框架，提出了資訊保障時代資訊基礎設施的全套安全需求，它提出了一個通用的框架，為資訊資料設計了四道安全防火牆：網路和基礎設施，對網路和基礎設計進行防護;飛地邊界，解決邊界保護問題;局域計算環境，實現主機的計算環境保護;支撐性基礎設施，安全的資訊環境所需要的支撐平臺。IATF對於資料中心當然同樣適用，不過四道防火牆這樣描述看起來非常抽象，不好理解，也不知道該具體如何入手，下面將進行詳細講解。

首先來說說對網路和基礎設施的防護，這個指的是資料中心的網路部分。資料中心裡有大量的網路裝置，這些網路裝置實現了所有裝置的互聯互通，在資料中心裡起非常大的作用，所有的資料都需要經過這些裝置進行傳輸，一旦有裝置發生了資料洩露，後果很壞，所以要從資料中心網路入手，加強對網路中的交換機、路由器、無線WiFi等網路裝置的防護。具體的要及時升級這些裝置的軟體版本，要和裝置商確認裝置軟體系統是否存在安全漏洞，尤其是有些裝置預設留一些後門，隱藏執行命令，還有一些服務埠被預設開啟，這些往往是最容易被入侵的地方，所以一定要了解清楚裝置是否存在這些漏洞，如果存在及時進行軟體更新;週期性地更換這些裝置的訪問密碼，避免被盜;定期對裝置進行巡檢，發現隱患及時消除，尤其是各種網路協議攻擊，可能會造成網路癱瘓，從而入侵應用系統，竊取資料。

其次是邊界保護，這是指在資料中心的出入口。資料中心的資料有輸入和輸出兩大出口，一定要做好資料過濾與檢查。具體的技術實現有很多，比如防火牆、VPN、邊界共享交換、遠端訪問、多域方案、移動程式碼、安全隔離等等，這些安全技術主要是通過硬體裝置實現，實現資料流量的粗過濾，主要裝置包括有防火牆、負載均衡裝置、入侵檢測裝置、NAT裝置、統一閘道器等裝置，這些裝置都需要部署在資料中心的資料出入口，做好資料出入檢查。當然有這個還遠遠不夠。我們在生活中也看到，很多小區出入的地方都有保安，可還是不斷髮生各種入室盜竊甚至更為嚴重的刑事案件，所以資料中心也不能完全靠邊界保護，還需要從內容上進行保護，就是主機的保護。

第三是主機保護，這是指從資料中心伺服器入手。資料中心裡所有的應用業務都是部署在伺服器上的，資料中心裡的伺服器裝置數量最多，也是存在系統漏洞最多的`地方，很多攻擊都是針對伺服器發起的，一旦越過了邊界和網路保護，那伺服器就危險了，所以這時伺服器一定不能裸奔，不然一定會走光的。伺服器上能做的保護主要側重於軟體，比如作業系統的防護，做生物認證，安全Web，令牌，病毒軟體等等，這些技術都是對伺服器裡的資料進行保護的，廣為人知的有360、趨勢科技、瑞星、諾頓等軟體，這些軟體會不斷更新病毒庫，針對新的病毒型別進行防護，伺服器上安裝了這些防護軟體，就可以實時更新軟體包，及時對系統進行保護，防止被攻破系統。絕大多數的攻擊都是針對系統漏洞實施的，對系統漏洞進行及時修復，並不斷更新安全軟體，就可以有效避免受攻擊。

最後是支撐平臺，這是指要建立完善的准入系統，對各種資料中心訪問進行控制和檢查。比如：PKI認證、證書管理、密碼管理等。比如我們在訪問銀行網站的時候，進行網路交易時，都需要下載證書，這個就是對網路訪問進行加密，確保訪問是安全的，只有網路兩邊的證書對上才能進行訪問，證書管理都用在銀行的資料中心繫統中。通過這些支撐平臺，對訪問進行控制，訪問攻擊進入，破化系統或者獲取機密資料。如今的各種准入認證技術已經較為成熟，安全漏洞偶有爆出，但一般影響範圍不大，而且這些認證技術也在不斷地完善，在資料中心裡應該大力推廣使用，消除應用系統受攻擊的風險。

四道安全防火牆涵蓋了資料中心安全的方方面面，形成一個全面的、有針對性的安全防護系統。正如IATF技術解釋說明的那樣，它從人、技術和操作三個方面共同實現了資訊保安的防護。通過部署這四道防火牆，將大大增加資料中心的安全防護能力，目前是資料中心安全領域最為普遍的做法，將極大地增強資料中心的資料安全性。