云數(shù)據(jù)中心網(wǎng)絡安全設備部署研究

魏喜蓮

在信息化快速發(fā)展的時代，網(wǎng)絡技術(shù)的應用越來越廣泛和深入，同時伴隨著不斷出現(xiàn)的網(wǎng)絡安全問題，這就使網(wǎng)絡安全技術(shù)的重要性更加突出。我國非常重視網(wǎng)絡安全問題，從法律、管理、技術(shù)等方面采取了切實可行的有效措施，2017 年正式頒布實施《網(wǎng)絡安全法》，2019 年正式頒布實施《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》（GB∕T 22239—2019）。

隨著云計算技術(shù)的日趨成熟，數(shù)據(jù)中心無論是在技術(shù)上還是在部署上都得到了快速發(fā)展，以利用資源虛擬化和服務動態(tài)管理為手段，增加資源共享利用率和資源部署靈活度的云數(shù)據(jù)中心也越來越多。因此，其安全性正越來越成為企業(yè)考慮云平臺的重要指標之一。本文研究了云數(shù)據(jù)中心的建設模式，探討了云數(shù)據(jù)中心網(wǎng)絡安全設備的部署。

1 云數(shù)據(jù)中心網(wǎng)絡安全建設模式

與傳統(tǒng)數(shù)據(jù)中心相比，云數(shù)據(jù)中心網(wǎng)絡安全設備部署的原則仍然是：分區(qū)規(guī)劃、分層部署。

由于不同的應用或業(yè)務單元在網(wǎng)絡中的存在價值和易受攻擊程度是不同的，應按照其具體情況制定不同的安全策略和信任模型，再將網(wǎng)絡劃分為不同區(qū)域，以滿足業(yè)務需求、數(shù)據(jù)流需求、應用邏輯功能需求和IT 安全需求，這就是分層規(guī)劃［1］。

在將網(wǎng)絡劃分為不同區(qū)域的基礎上，按照網(wǎng)絡安全防護的部署要求，根據(jù)實際情況，在每個區(qū)域的邊界處部署相應的網(wǎng)絡安全設備，這就是分層部署［2］。

在云環(huán)境下，云數(shù)據(jù)中心最顯著的特征是大數(shù)據(jù)和資源共享，較為典型的安全問題為侵入供給、拒絕服務攻擊DoS 以及分布式拒絕服務攻擊DDoS、蠕蟲病毒等。這些安全問題主要通過廣泛傳播，或者對網(wǎng)絡資源非法占用的方式來阻礙網(wǎng)絡環(huán)境中的安全設備正常工作。為了保護云數(shù)據(jù)中心的安全，需要部署各種網(wǎng)絡安全設備，不同的網(wǎng)絡安全設備相互配合形成一個統(tǒng)一、有效的整體，共同構(gòu)建起一套完整的安全防御體系。本文從以下4 個方面對云數(shù)據(jù)中心網(wǎng)絡安全設備的部署進行研究：①網(wǎng)絡邊界安全設備的部署研究；②應用安全設備的部署研究；③管理與運維安全設備的部署研究；④主機安全設備的部署研究。

2 網(wǎng)絡邊界安全設備的部署研究

網(wǎng)絡邊界安全設備一般采用防火墻（FW）和防DDoS 網(wǎng)絡安全設備。

2.1 防火墻（FW）部署研究

2.1.1 主要功能

防火墻主要根據(jù)數(shù)據(jù)包的源地址、目的地址、端口、通信協(xié)議、流量、用戶、通信時間等信息，實現(xiàn)網(wǎng)絡隔離、網(wǎng)絡訪問管控、多種安全引擎，以及安全可視化等功能。

2.1.2 部署模式

防火墻的部署模式分為串聯(lián)和旁掛2 種模式。串聯(lián)部署模式的優(yōu)點是流量部署清晰，缺點是對防火墻的性能要求高；而旁掛部署模式的優(yōu)點是可以通過采取策略使部分流量不經(jīng)過防火墻，缺點是交換機的策略較復雜。

2.1.3 工作模式

防火墻常見的工作模式為：路由模式、透明模式和混合模式。

路由模式的特點是防火墻所有的接口都需配置IP 地址，采用三層路由模式，防火墻表現(xiàn)為一個路由器。與路由器的不同之處是：防火墻的報文在三層區(qū)域的接口間進行轉(zhuǎn)發(fā)時，還需要送到上層進行過濾等相關處理，由上層來確定是否允許該報文通過。采用路由模式的防火墻還支持ACL 規(guī)則檢查、ASPF 狀態(tài)過濾、流量監(jiān)控等功能。

透明模式的特點是防火墻所有的接口都不用配置IP 地址，采用二層透明模式，防火墻表現(xiàn)為一個透明網(wǎng)橋。與透明網(wǎng)橋的不同之處是：防火墻中IP 報文還需要送到上層進行過濾等相關處理，通過檢查ACL 規(guī)則或會話表，以確定是否允許該報文通過。采用透明模式的防火墻支持ACL 規(guī)則檢查、ASPF 狀態(tài)過濾、流量監(jiān)控等功能。

混合模式則是路由模式與透明模式的組合。混合模式的特點是僅有部分接口配置IP 地址。配置IP 地址的接口工作在三層區(qū)域；而未配置IP 地址的接口，與透明模式的工作過程完全相同。

2.1.4 典型部署場景

在實際的云平臺建設過程中，分支機構(gòu)/合作伙伴、互聯(lián)網(wǎng)接入?yún)^(qū)、WAN 專網(wǎng)接入廣域網(wǎng)時，一般按照串接的方式分別部署2 臺工作在透明模式下的防火墻，防止被入侵，保護南/北向數(shù)據(jù)業(yè)務安全。在云數(shù)據(jù)中心內(nèi)部各區(qū)域間一般按照旁掛的方式部署2 臺工作在混合模式下的防火墻，保護東/西向數(shù)據(jù)業(yè)務安全。在核心業(yè)務區(qū)（數(shù)據(jù)庫、存儲區(qū)、服務器區(qū)等） 部署具有虛擬功能的防火墻，應對虛擬化安全風險，如非授權(quán)訪問、惡意攻擊和VM 間的病毒感染，以及VM 無縫遷移等。常用的部署場景見圖1。

圖1 云數(shù)據(jù)中心防火墻的典型部署

2.2 防DDoS 部署研究

2.2.1 防DDoS 部署的必要性

根據(jù)國家互聯(lián)網(wǎng)應急中心監(jiān)測數(shù)據(jù)，發(fā)生在我國主流云平臺上的各類網(wǎng)絡安全事件數(shù)量占比仍然較高，其中云平臺上遭受DDoS 攻擊次數(shù)占境內(nèi)目標被攻擊次數(shù)的69.6%，被植入后門鏈接數(shù)量占境內(nèi)全部被植入后門鏈接數(shù)量的63.1%，被篡改網(wǎng)頁數(shù)量占境內(nèi)被篡改網(wǎng)頁數(shù)量的62.5%。所以，云數(shù)據(jù)中心防DDoS 攻擊非常重要。

DDoS 攻擊就是用海量數(shù)據(jù)包消耗被攻擊目標的可用系統(tǒng)和帶寬資源，導致網(wǎng)絡服務癱瘓的一種攻擊手段，利用自身的資源，通過一種放大或不對等的方式來達到消耗對方資源的目的。

為了防止DDoS 攻擊，保證云數(shù)據(jù)中心的安全，在云數(shù)據(jù)中心的出口部署Anti-DDoS 系統(tǒng)，流量完全鏡像到檢測中心進行檢測，檢測結(jié)果上報ATIC 管理中心，管理中心根據(jù)策略對攻擊流量進行清洗。

2.2.2 Anti-DDoS 系統(tǒng)組成

Anti-DDoS 系統(tǒng)主要由ATIC 管理中心、檢測中心和清洗中心3部分組成［3］。其系統(tǒng)組成見圖2。

2.2.3 Anti-DDoS 系統(tǒng)部署模式

Anti-DDoS 系統(tǒng)的部署模式分為直路和旁路2 種模式，其中旁路模式又分為清洗設備獨立部署和檢測清洗設備聯(lián)動部署2 種方式。

圖2 Anti-DDoS 系統(tǒng)組成

直路部署模式的優(yōu)點為組網(wǎng)簡單，不需要額外增加接口，可以實時監(jiān)控雙向流量，在個別攻擊防護上要優(yōu)于旁路部署；缺點是為了避免單點故障并減少算法上的誤判，必須具有Bypass 功能。

旁路部署模式的優(yōu)點是能夠避免Anti-DDoS防護設備對所有流量進行處理而耗費大量的轉(zhuǎn)發(fā)性能，從而導致投資上升，以及設備直路部署可能帶來的鏈路短時中斷；缺點是組網(wǎng)略復雜。

2.2.4 云數(shù)據(jù)中心Anti-DDoS 典型部署場景

因云數(shù)據(jù)中心出口帶寬流量較大，業(yè)務類型較多，可靠性要求較高，容易遭受Flood 類攻擊和新型應用層攻擊［4］，故在云數(shù)據(jù)中心實際建設過程中一般采用檢測、清洗設備聯(lián)動的旁路模式部署1 套Anti-DDoS 設備，其典型部署見圖3。

圖3 云數(shù)據(jù)中心Anti-DDOS 的典型部署

3 應用安全設備的部署研究

應用安全設備一般采用部署入侵防御系統(tǒng)（IPS）、Web 應用防火墻（WAF）、安全沙箱等網(wǎng)絡安全設備。

3.1 入侵防御系統(tǒng)部署研究

3.1.1 入侵防御系統(tǒng)部署的必要性

防火墻可以根據(jù)IP 地址（IP-Addresses） 或服務端口（Ports）過濾數(shù)據(jù)包，但由于防火墻很難深入檢查數(shù)據(jù)包內(nèi)容，只能攔截低層攻擊行為，因此無法檢測到利用合法IP 地址和端口進行的破壞活動的攻擊，對應用層的深層攻擊行為無能為力。入侵檢測系統(tǒng)（IDS）可以檢測到穿透防火墻的深層攻擊行為，但是無法及時阻斷。雖然IDS與防火墻可以相互配合工作，IDS 檢測到穿透防火墻的深層攻擊行為，然后通知防火墻進行阻斷，但是因為防火墻與IDS 之間沒有統(tǒng)一的接口規(guī)范，且現(xiàn)在“瞬間攻擊”越來越頻發(fā)，所以在實際的工程應用中采用IDS 與防火墻聯(lián)動部署方案的效果并不明顯。在這種情況下，就迫切需要一款既可以及時檢測到穿透防火墻的深層攻擊行為，又能對其進行實時阻斷的網(wǎng)絡安全設備——入侵防御系統(tǒng)（IPS）。

3.1.2 入侵防御系統(tǒng)部署模式

IPS 的部署模式分為直路和旁路2 種。其中，最常用的部署模式是旁路模式。需要注意的是，直路部署的IPS 必須具有Bypass 功能。

3.1.3 云數(shù)據(jù)中心入侵防御系統(tǒng)典型部署場景

在云數(shù)據(jù)中心的實際建設中，IPS 的部署一般分為2 種情況。為了防御各種黑客攻擊行為和蠕蟲病毒等，一般在業(yè)務服務器群前直路部署IPS 產(chǎn)品，以保護高安全業(yè)務區(qū)安全；為了監(jiān)控內(nèi)部的攻擊行為，檢測異常的數(shù)據(jù)流量，在數(shù)據(jù)中心內(nèi)部旁路部署IPS 產(chǎn)品。云數(shù)據(jù)中心入侵防御系統(tǒng)（IPS）典型部署見圖4。

3.2 Web 應用安全設備部署研究

3.2.1 Web 應用安全設備部署的必要性

隨著網(wǎng)絡的快速發(fā)展，Web 應用也日益豐富，Web 服務器因其計算能力強大、處理性能極高、數(shù)據(jù)價值較高，逐漸成為黑客攻擊的主要目標［5］，頻繁發(fā)生SQL 注入攻擊、命令注入攻擊、網(wǎng)頁掛馬、網(wǎng)頁篡改等安全事件［6］，因此需要部署一款用來解決諸如防火墻等傳統(tǒng)設備束手無策的Web 應用安全問題的安全設備——Web 應用防火墻（WAF）。

圖4 云數(shù)據(jù)中心入侵防御系統(tǒng)（IPS）典型部署

3.2.2 Web 應用防火墻的主要功能

WAF 與傳統(tǒng)防火墻相比，不同之處在于WAF 工作在應用層，因此對Web 應用防護具有先天的技術(shù)優(yōu)勢，檢測和驗證來自Web 應用程序客戶端的各種請求，以確保其安全性與合法性，實時阻斷不合法的請求，從而有效保護網(wǎng)站站點。

WAF 主要功能包括：對HTTP 的請求進行異常檢測，拒絕不符合HTTP 標準的請求；有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡入侵行為，從而減小Web 服務器被攻擊的可能性；及時補丁，只要得到全面的漏洞信息，WAF 就能在1 h 內(nèi)屏蔽掉相關漏洞；基于Web 應用的安全規(guī)則庫實時更新，用戶可以按照這些規(guī)則對應用進行全方面檢測；WAF 能夠判斷用戶是否是第一次訪問，將請求重定向到默認登錄頁面并記錄事件，通過檢測用戶的整個操作行為而更容易識別攻擊；能夠檢測出異常事件，并且在達到極限值時進行處理，這對暴力攻擊的識別和響應是十分有利的；另外，WAF 還具有應用負載均衡、Web 應用加速、Bypass 和HA 等 功 能。

3.2.3 Web 應用防火墻部署模式

WAF 部署模式分為透明代理和反向代理2 種模式。

1）透明代理模式。

透明代理部署模式應用于透明串接部署方式，如圖5 所示。將WAF 串接在用戶網(wǎng)絡中，網(wǎng)絡設備與服務器配置都不需要更改。優(yōu)點是部署簡單易用，適用于大部分用戶網(wǎng)絡；不需要更改數(shù)據(jù)包內(nèi)容，對于用戶網(wǎng)絡是透明的；防護能力強，可支持WAF 絕大部分功能防護；故障恢復快，可支持Bypass功能。

WAF 采用透明代理模式部署的前提條件：WAF 設備開機后正常運行；物理直通模式/網(wǎng)橋直通模式下，Web 服務器可達。

2）反向代理模式。

反向代理模式為旁路部署，適用于網(wǎng)絡結(jié)構(gòu)復雜的環(huán)境中。部署時需要在用戶網(wǎng)絡設備上將域名解析到設備上或?qū)⒌刂酚成涞皆O備上。反向代理模式部署拓撲結(jié)構(gòu)見圖6。

WAF 反向代理模式的特點：對于用戶網(wǎng)絡不透明；訪問時需要先訪問WAF 配置的業(yè)務口地址；故障恢復時，需要重新將域名或地址映射到原服務器，恢復時間慢；支持多臺WAF 設備VRRP冗余和集群部署，不支持Bypass 功能。

WAF 反向代理模式部署的前提條件：WAF設備開機后正常運行；WAF 配置的業(yè)務口IP 與保護站點通信正常。

3.2.4 云數(shù)據(jù)中心Web 應用防火墻典型部署場景

WAF 的部署一般采用側(cè)掛在數(shù)據(jù)中心服務區(qū)的核心交換機上［7］，主要有以下2 種部署模式：①網(wǎng)關模式：WAF 需要配置IP 地址，且Web 服務器的網(wǎng)關地址為Web 應用防火墻的IP 地址，在這種模式下，后端的多臺Web 服務器可以做負載均衡；②旁路監(jiān)控模式：通過交換機做鏡像流量到WAF，WAF 對鏡像流量進行檢測分析，分析業(yè)務流量的安全狀況。

云數(shù)據(jù)中心Web 應用防火墻（WAF）典型部署場景見圖7。

圖5 Web 應用防火墻（WAF）透明代理模式

圖6 Web 應用防火墻（WAF）反向代理模式

圖7 云數(shù)據(jù)中心Web 應用防火墻（WAF）典型部署

3.3 未知威脅防護部署研究

3.3.1 未知威脅防護部署的必要性

防火墻、Anti-DDoS、入侵防御系統(tǒng)、WAF這些安全設備都是基于特征的檢測技術(shù)，無法識別未知的惡意軟件；而這些未知惡意軟件的隱蔽性高，使用了高級逃逸技術(shù)，行為難以追蹤，這就需要部署一款針對未知威脅的防護設備——安全沙箱。

3.3.2 安全沙箱的檢測機制

安全沙箱的檢測機制就是用虛擬化技術(shù)構(gòu)建操作系統(tǒng)環(huán)境以及各種軟件環(huán)境，在該環(huán)境中充分運行檢測文檔和可執(zhí)行程序，實時分析可執(zhí)行程序以及文檔在運行過程中的行為，與防火墻進行聯(lián)動，快速攔截未知惡意攻擊。

3.3.3 云數(shù)據(jù)中心安全沙箱的典型部署

在云數(shù)據(jù)中心一般采用集群部署、統(tǒng)一管理，將安全沙箱部署在現(xiàn)有安全設備之后，檢測繞過FW、IPS 和SMG 的惡意軟件、基于0-Day 漏洞的威脅和定向型APT威脅等。安全沙箱典型部署場景見圖8。

圖8 云數(shù)據(jù)中心安全沙箱典型部署

4 管理與運維安全設備部署研究

云數(shù)據(jù)中心管理與運維安全的解決方案一般是采用部署堡壘機、日志審計系統(tǒng)、大數(shù)據(jù)安全態(tài)勢感知系統(tǒng)等網(wǎng)絡安全設備。

4.1 堡壘機的部署研究

4.1.1 堡壘機部署的必要性

云數(shù)據(jù)中心因設備眾多、用戶眾多，一般存在人員入口比較分散、集中管理困難、運維人員權(quán)限控制難等問題，所有維護人員直接登錄到各個網(wǎng)元設備或服務器進行操作，缺少統(tǒng)一的審計溯源方案，無法集中監(jiān)控和審計，對行政管理手段要求高。為了解決這些問題，需要部署一款既可以解決運維人員權(quán)限控制難的問題，又可控制和審計違規(guī)操作，且本身不會產(chǎn)生大規(guī)模的流量，不會成為影響網(wǎng)絡性能瓶頸的安全設備——堡壘機。

4.1.2 堡壘機的主要功能

堡壘機的主要功能包括：提供設備統(tǒng)一運維入口；對云數(shù)據(jù)中心的各種設備的運維管理賬號進行集中管理、集中認證和授權(quán)；提供內(nèi)建本地賬號和與第三方賬號的聯(lián)動，包括AD 賬號和LDAP 賬號；記錄操作全過程及日志，以視頻的形式保留操作信息，方便事后審計和定期問題審查。

4.1.3 堡壘機的典型部署

在云數(shù)據(jù)中心部署堡壘機可以實現(xiàn)統(tǒng)一訪問入口、集中權(quán)限控制、運維操作的規(guī)范化管理，完善組織的內(nèi)部控制與審計體系，提供精準的責任鑒定和事件追溯［8］。云數(shù)據(jù)中心堡壘機典型部署場景見圖9。

圖9 云數(shù)據(jù)中心堡壘機典型部署

4.2 日志審計系統(tǒng)部署研究

4.2.1 日志審計系統(tǒng)部署的必要性

云數(shù)據(jù)中心面臨網(wǎng)元類型多樣，日志格式不統(tǒng)一、可讀性差、海量日志存儲困難、日志難于統(tǒng)一管理等問題，因此需要部署一套日志審計系統(tǒng)。

4.2.2 日志審計系統(tǒng)的主要功能

日志審計系統(tǒng)全面涵蓋服務器主機審計、網(wǎng)絡（安全）設備審計、數(shù)據(jù)庫系統(tǒng)及行為審計、網(wǎng)絡訪問行為審計、應用（業(yè)務） 系統(tǒng)審計等多個層面，為用戶提供日志全生命周期管理和極簡的可視化安全審計服務，并對系統(tǒng)和應用軟件日志、各種網(wǎng)絡操作行為進行第三方的實時分析與記錄。

4.2.3 云數(shù)據(jù)中心日志審計系統(tǒng)典型部署

云數(shù)據(jù)中心網(wǎng)絡設備、服務器主機設備、數(shù)據(jù)庫設備眾多，具有用戶數(shù)量多等特點，故云數(shù)據(jù)中心一般采用旁路部署的模式部署1套分布式的日志審計系統(tǒng)。云數(shù)據(jù)中心日志審計系統(tǒng)典型部署場景見圖10。

4.3 大數(shù)據(jù)安全態(tài)勢感知系統(tǒng)部署研究

4.3.1 大數(shù)據(jù)安全態(tài)勢感知系統(tǒng)部署的必要性

隨著大數(shù)據(jù)時代的到來，各類應用系統(tǒng)也越來越多，各類安全信息的規(guī)模變得非常龐大、種類變得非常繁多［9］，這使安全信息的采集規(guī)模也日益龐大，而傳統(tǒng)日志安全中心已無法適應海量數(shù)據(jù)的存儲和安全事件的處理，使傳統(tǒng)日志安全中心的分析能力變?nèi)酢⒄{(diào)查效率變低，安全數(shù)據(jù)的存儲和管理也變得困難，因此就需要部署一款新一代的日志審計系統(tǒng)——大數(shù)據(jù)安全態(tài)勢感知系統(tǒng)。

圖10 云數(shù)據(jù)中心日志審計系統(tǒng)典型部署

4.3.2 大數(shù)據(jù)安全態(tài)勢感知系統(tǒng)的主要功能

大數(shù)據(jù)安全態(tài)勢感知系統(tǒng)集中處理數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻、數(shù)據(jù)加密、數(shù)據(jù)脫敏等各種數(shù)據(jù)安全產(chǎn)品采集的信息，將不同類型的數(shù)據(jù)進行匯總，在此基礎上進行關聯(lián)分析，動態(tài)展示數(shù)據(jù)資產(chǎn)分布狀況和敏感數(shù)據(jù)的訪問行為，并預測數(shù)據(jù)資產(chǎn)可能面臨的泄露風險。

4.3.3 云數(shù)據(jù)中心大數(shù)據(jù)安全態(tài)勢感知系統(tǒng)的典型部署

由于云數(shù)據(jù)中心網(wǎng)絡環(huán)境復雜，存在大量安全設備，一般采用集中部署模式。根據(jù)網(wǎng)絡劃分多個區(qū)域，每個分區(qū)內(nèi)部部署一套采集組件，實現(xiàn)本分區(qū)內(nèi)的信息收集和處理，在中心區(qū)域部署1 套安全審計系統(tǒng)，通過與各類事件組件或安全設備通信，實現(xiàn)整個網(wǎng)絡的全局管理。云數(shù)據(jù)中心大數(shù)據(jù)安全態(tài)勢感知系統(tǒng)典型部署見圖11。

圖11 云數(shù)據(jù)中心大數(shù)據(jù)安全態(tài)勢感知系統(tǒng)典型部署

5 主機安全部署研究

云數(shù)據(jù)中心主機一般部署具有虛擬功能的防火墻（VFW）、終端準入控制系統(tǒng)等網(wǎng)絡安全設備。

5.1 主機安全部署的必要性

云數(shù)據(jù)中心部署防火墻、Anti-DDoS、IPS、安全沙箱等安全設備都是針對數(shù)據(jù)中心物理網(wǎng)絡的防護。云數(shù)據(jù)中心是基于云計算的虛擬環(huán)境，安裝傳統(tǒng)的安全設備或殺毒軟件并不能保護虛擬設備，因此云數(shù)據(jù)中心需要部署能夠保護云主機安全的網(wǎng)絡安全設備。

5.2 主機安全部署方案研究

5.2.1 具有虛擬功能的防火墻（VFW）部署研究

防火墻的部署模式及工作模式詳見防火墻章節(jié)。

為了保護云數(shù)據(jù)中心云主機的網(wǎng)絡安全，一般采用在核心業(yè)務區(qū)（數(shù)據(jù)庫、存儲區(qū)、服務器區(qū)等）集中部署具有虛擬功能的防火墻，應對虛擬化安全風險，如非授權(quán)訪問、惡意攻擊、VM 之間的隔離和防攻擊，以及VM 無縫遷移等。

5.2.2 終端準入控制系統(tǒng)部署研究

云數(shù)據(jù)網(wǎng)絡中包含各種各樣的終端，不僅有臺式機、筆記本電腦、服務器等固定終端，還包含智能手機、平板電腦、電子閱讀器等移動終端，甚至還包含網(wǎng)絡中的打印機、IP 電話等“啞終端”。網(wǎng)絡中的這些終端數(shù)量和種類多、接入方式多，是網(wǎng)絡中訪問各種應用系統(tǒng)并獲取數(shù)據(jù)的源頭，也是病毒傳播、內(nèi)部惡意攻擊和數(shù)據(jù)失竊的起點［10］。故為了保護云數(shù)據(jù)網(wǎng)絡中云主機的安全，一般采用旁路模式部署一套用來進行終端身份識別和接入控制的網(wǎng)絡安全設備——終端控制準入系統(tǒng)。

6 結(jié)束語

在云數(shù)據(jù)中心建設時，應根據(jù)實際情況選擇契合度高的網(wǎng)絡安全設備和部署模式，云數(shù)據(jù)中心網(wǎng)絡安全應當是諸多網(wǎng)絡安全設備協(xié)同工作形成的一個綜合性的整體。

在云數(shù)據(jù)中心，除了部署一系列的網(wǎng)絡安全設備外，還應對云數(shù)據(jù)中心云化后網(wǎng)絡安全技術(shù)進行研究。云數(shù)據(jù)中心依靠虛擬化技術(shù)，通過一虛多的方式進一步提高硬件資源的利用率，云數(shù)據(jù)中心可以按照用戶的實際需求進行動態(tài)的資源分配，云數(shù)據(jù)中心用戶的網(wǎng)絡也就隨之動態(tài)變化，這對云數(shù)據(jù)中心的運維安全提出了非常高的要求。將控制面和數(shù)據(jù)面進行分離，對云數(shù)據(jù)中心的網(wǎng)絡進行靈活細粒度的管理和控制，這是云數(shù)據(jù)中心網(wǎng)絡安全研究的重點和方向。