企業數據中心安全云防護技術應用研究

陳興軍+王健

摘 要： 隨著互聯網和信息技術的發展，網絡安全問題日益突出，特別是針對網站系統的多點掃描攻擊、利用最新漏洞0day攻擊等網絡攻擊行為日益嚴重。為保障政府、企業等各類組織網站系統的長效安全運行，筆者通過對當前先進、集約的安全云防護技術進行了應用研究和實踐，并對企業數據中心基于“云端”+“防御節點”方式的進行了實際部署和應用，較好地防止了系統“上云”導致企業內部敏感數據泄露和在第三方商業機構云端殘留核心數據的問題。通過以上安全云防護技術部署，既彌補了當前傳統安全防護系統弱點，增強了網絡安全防護層級，又強化了網絡安全防護縱深，可有效降低網站系統受攻擊的風險，提升整體安全防護能力和水平。

關鍵詞： 數據中心； 安全云防護； 網站安全； 云防護技術

中圖分類號：TP309 文獻標志碼：A 文章編號：1006-8228（2017）11-43-03

Research on application of secured cloud protection technology in enterprise data center

Chen Xingjun， Wang Jian

（Zhejiang Economic Information Center， Hangzhou， Zhejiang 310006， China）

Abstract： With the development of the Internet and information technology， network security problem has become increasingly prominent. Network attacks， especially the multi-point scanning attacks on the website system and 0day attacks of using the latest loopholes， are becoming increasingly serious. For the long-term safe operation of web site systems of governments， enterprises and other organizations， the author researches and practices on the application of current advanced， integrated secured cloud protection technology， and practically deploys the enterprise data center with the "cloud" + "defense node" mode， to effectively prevent the systems "on cloud" from resulting in leakage of internal sensitive data and residues of core data in the third party's clouds. Above deployment of secured cloud protection technology， makes up for the current traditional security protection system weaknesses， strengthens the network security protection level and depth， and can effectively reduce the risk of website system being attacked， and enhance the overall safety protection ability and level.

Key words： data center； secured cloud protection； website security； cloud protection technology

0 引言

如今網絡安全問題日益突出，能否及時發現并成功阻止黑客的入侵和攻擊、并保證互聯網系統的安全和正常運行已成為政府、企業等各類組織所面臨的重要問題。特別是從當前信息安全攻擊態勢（主要特點：多點掃描攻擊、利用最新漏洞0day攻擊等）分析，原有傳統的安全防御設施已無法適應新的安全需求。因此，利用新技術（云防護技術），增加安全防護層級，強化安全防護縱深，來加強防御多點掃描攻擊、利用最新漏洞0day攻擊等能力越來越迫切。

1 安全云防護技術的應用

安全云防護技術是利用云計算技術和傳統防御體系相結合，基于互聯網方式，為目標網絡提供安全檢測、攻擊過濾等服務的網絡安全防護技術。通過將目標網絡訪問流量引導到云端（即安全云平臺）進行檢測，清洗和阻斷網絡攻擊或非法訪問后，再通過云端將流量重定向到目標網絡，以此確保目標網絡不受攻擊。云端（安全云防護平臺）通過互聯網海量攻擊特征大數據分析，能夠快速有效的識別和處理最新的SQL注入攻擊、文件包含攻擊、命令注入、跨站腳本攻擊等應用層面攻擊行為，再是基于“云計算”海量計算能力和超大帶寬容量，能對CC攻擊、DDOS攻擊（大規模掃描攻擊）起到較好的垃圾流量清洗效果[1]。

2 企業級數據中心云防護技術應用架構

2.1 云防護部署網絡架構

數據中心運行了大量網站和匯集了企業數據，安全云防護技術應用不僅需要考慮網站運行安全，還要顧及企業內部數據傳輸和存儲安全，需要防止“上云”導致企業內部敏感數據泄露或在第三方商業機構云端上殘留數據[2]。鑒于以上安全顧慮，企業級數據中心云防護技術應用可基于“云端”+“防御節點”模式進行部署，“云端”負責收集和進行互聯網海量攻擊特征大數據分析，控制云防護體系的安全策略動態更新和智能管理（即智能DNS功能、智能調節防御節點策略等），“防御節點”負責具體策略的實施控制和對數據流量過濾（即承擔監測、監測、阻斷、隔離等），實行本地部署，防止企業內部數據流出數據中心范圍，滿足數據可控性要求[3]。endprint

2.2 云防護系統軟件架構

云防護系統軟件，主要包括：智能DNS系統、數據分析處理系統、配置管理系統、防護系統等軟件模塊組成，功能邏輯框架見圖2。

智能DNS系統 依托于云端，提供DNS解析服務。通過域名CNAME記錄對目標網站系統進行流量牽引，將互聯網流量引導到云防護體系；通過智能DNS探查功能，實現對防御節點運行狀態監測（包括：CPU、內存、磁盤占用、Load狀態、內外網流量、HTTP訪問的QPS等）[4]，在防御節點負載過重或突發故障時，流量智能調度和引導到目標網站，防止因其異常導致系統服務中斷等。

數據分析處理系統 依托于云端，提供收集和進行互聯網海量攻擊特征大數據分析服務。通過對防御節點回傳的異常訪問特征進行大數據分析，形成最新的攻擊特征庫，為云端安全策略提供依據；通過對防御節點回傳的有關日志進行大數據分析，形成網站系統安全態勢情況等。

配置管理系統 依托于云端，提供防御節點安全策略配置管理（包括：最新規則庫實時更新、高危IP信息、分類安全策略庫等）和目標網站系統策略應用管理和有關配置。

防護系統 部署在本地，對網絡流量進行清洗和安全檢查過濾等。防護系統由惡意請求攔截引擎和緩存組成，通過讀取配置信息，惡意請求攔截引擎會調用相應的檢測模塊（例如CC攻擊檢測、規則檢測、智能攻擊識別、各類訪問控制模塊等）對請求進行過濾，同時，還會依據配置信息判斷是否將請求轉入緩存響應，提高請求響應效率。防護原理見圖3。

3 結束語

在數據中心應用云防護技術，可強化數據中心網絡安全防護縱深，增強安全防護層級，有效降低目標網站系統受攻擊的風險，提升整體安全防護能力和水平。但數據中心部署云防護涉及到云防護體系平臺建設、云防護軟件研發、安全防御規則長期研發和更新，需大規模投入。企業數據中心在建設和應用云防護技術時，如何結合自身互聯網線路資源和專業機房優勢，整合專業安全云防護技術服務商技術資源，“聯合共建、共享共用”方式為依托于數據中心運行的各網站系統提供更優質的網絡安全增值服務，保障數據中心安全運行，有待進一步實踐。

參考文獻（References）：

[1] 周漢辰，周北望.網絡安全縱深防御體系技術研究[J].有線電

視技術，2015.4：16

[2] 鄭長亮.基于云計算的網絡安全防御技術研究[J].數字技術

與應用，2014.5：201

[3] 廖堅.云計算環境下租戶數據安全與隱私保護機制研究[J].

數字技術與應用，2014.5：192

[4] 李文正.基于智能DNS的網絡負載均衡的研究[J].食品科學

技術學報，2008.26：57

[5] 王慶波，金涬.虛擬化與云計算[M].電子工業出版社，2011.endprint