大厦网络运营方案讲解

泰安云中心网络安全解决方案

版本：V1.0

Hillstone Networks Inc.

2014年9月

目录

1泰安云中心安全需求分析 (3)

1.1大并发访问量特点 (3)

1.2多业务并存的特点 (3)

1.3面向网络的安全威胁 (4)

1.4面向应用的攻击行为 (4)

1.5需求总结 (4)

2泰安云中心网络安全设计 (7)

2.1互联网M8860网关部署方案 (8)

2.2云中心M7360网关部署方案 (12)

2.3山石网科HSM集中管理平台部署方案 (14)

2.4360天眼新一代威胁感知系统（TSS）、360防病毒软件部署署方案 (15)

3产品报价 (16)

4部分产品简介 (18)

4.1山石SG6000-M8860 (18)

4.2山石SG6000-M7360 (20)

4.3360天眼系统 (22)

1泰安云中心安全需求分析

1.1大并发访问量特点

由于泰安云中心实现了业务和数据的大集中，因此对于用户而言，其所有的业务都要通过远程访问数据中的资源，这就使得数据中心往往面对众多的远程访问请求。

并且由于业务的需要，这些远程请求的并发量、吞吐量很高，比如泰安目前数据中心的访问量可能要并发1万人以上，按照经验值，一个IP用户预留1000个并发，4M吞吐量，设备出口需要承担1000万以上并发，40G以上的吞吐量。

在访问高峰期，各个分支节点及远程移动办公人员的业务互动都要通过调用数据中心的资源来完成，高并发请求一方面使得数据中心的出口流量高，另一方面也需要数据中心对的业务处理能力高，同时在业务活动过程中的关键数据都存储在数据中心，也使得数据中心往往需要较大容量的存储系统。

大并发访问量的特点，也使得在进行网络边界安全设计中，对设备的选型有较高的要求，要求设备具有良好的并发维护能力，有较高的吞吐量，能够在提供防护的同时不影响数据中心正常的业务处理效率。

1.2多业务并存的特点

数据中心是基于业务大集中模式建设的，因此数据中心先天具有多业务并存的特点，由于不同业务的重要性不同，因此在资源分配上应当有级差性，即不同业务需要分配不同的资源来保障。这种资源即包括服务器资源，也包含了出口链路带宽资源。

对此要求有很好的资源控制手段，对于网络边界，常见的手段就是带宽控制，根据业务级别进

行出口链路带宽的二次分配。

1.3面向网络的安全威胁

由于云中心的开放性，使得云中心往往面临着黑客的攻击，这种攻击轻者引起访问业务中断，严重的将造成重要信息的泄露，并且由于云中心集中了用户最重要的信息资产，一旦发生安全事件将对用户的正常业务造成极大的损失，因此必要采取必要的安全防护手段进行保护。

最典型就是拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS），常见的DDOS攻击方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。攻击者通过恶意抢占网络资源，使云中心无法正常运行，导致其他访问用户无法正常访问云中心，无法开展正常的业务活动。

1.4面向应用的攻击行为

该类攻击具有更大的破坏性和隐蔽性，攻击的手段也很多样化，典型的有端口扫描、字典破解、缓冲区溢出、中间人攻击等，此类攻击行为的典型过程是：先通过扫描收集系统存在的漏洞，包括网络设备的配置漏洞、或者是操作系统的软件漏洞、应用软件的设计缺陷等，然后攻击者根据收集到的漏洞，采取相应的手段进行攻击，最终非法侵入云中心网络。由于这种攻击行为的针对性很强，所以其后果都比较严重，而云中心的开放性也为此类攻击行为提供了先决条件，对此需要在网络边界，对访问数据包进行深度检测，从而发掘闭关杜绝此类攻击行为。

1.5需求总结

泰安云中心互联网出口及云中心内部防护需求：

一、防火墙功能

在本次解决方案中，防火墙功能是整个网络的基础安全建设，是必须要考虑的。

二、流量控制建设

本次流量控制建设可以为业务流量提供足够的保证，能够保证服务的可用性，能够有效管理带宽资源和区分网络应用的优先级。在本方案中，流量控制功能是必须考虑。

三、防病毒网关建设

因对于现在网络病毒泛滥，防毒墙必须部署的，可以有效减少内网用户感染病毒的机率，它可以针对主要的网络协议进行病毒查杀，在本方案中建议使用防毒墙功能和360企业版防病毒软件形成互补的解决方案。

四、IPS功能建设

准确监测网络异常流量，自动对各类攻击性的流量，尤其是对泰安云中心应用层的威胁进行实时阻断，而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了acl访问控制等产品的不足，提供动态的、深度的、主动的安全防御，为泰安云中心提供了一个全新的安全解决方案。必须以全面深入的协议分析技术为基础，协议识别、协议异常检测、关联分析为核心的新一代入侵保护引擎，能够基于深度应用识别，积极防范复杂应用攻击;基于多核Plus G2构架满足深度应用分析、入侵防御功能的高CPU和高内存资源需求，基于深度应用原理、攻击原理的入侵防御解决方案。

五、负载均衡建设

不同链路的成本不同，将低价值应用的流量从低成本的链路转发，高价值的应用从高成本的链路转发，才能做到链路资源使用的最优化。内网和外网之间存在多条链路时，通过负载均衡功能安全网关的出站动态探测功能，内网访问的流量可以在多条链路上实现智能分担。

六、安全审计建设

按照公安部82号令要求，系统提供不少于60天上网行为日志留存，对网络行为日志进行查询统计与审计分析，从而为工作人员的决策和管理提供重要的数据依据。对全网络内所有人员的计算机实名登记，针对上网行为如网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛博客微薄发帖等各种网络行为进行全面控制管理，并记录其行为，以备后查。需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录。