任何事物都是对立存在的,我们一方面享受着信息技术给生活、工作带来的便利,另一方面也被各种病毒、黑客攻击、系统漏洞、恶意破坏等麻烦困扰着。随着便携机大量普及,Home/Hotel land office移动接入大量普及,移动办公的普及,极大地增加了数据中心的网络安全风险。信息技术的高速发展也让这些恶意攻击的手段越来越高明,承载着重要信息数据的数据中心正承受着前所未有的巨大风险。俗话说“魔高一尺,道高一丈”,胜利应永远属于那些正义的行为,所以为了应对这些攻击,数据中心也有自己的一套防护网。数据中心的安全技术含义非常广泛,比如包括物理安全技术,主要指数据中心机房的建筑安全、防电磁辐射、防静电、防火等等;数据安全技术,主要指数据的保存、备份技术;信息安全技术,主要指访问用户身份认证、记录、加密等技术;还有就是网络安全技术,主要指数据中心基于网络达到数据安全的目的。网络安全是数据中心的重要组成部分,任何一个数据中心都需要部署网络安全技术,从而防止数据中心的数据系统遭到泄露或破坏,本文就从数据中心网络安全说起。
数据中心的网络安全要防护什么呢?答案很简单,就是防护我们俗称的病毒,病毒也是人为产生的,这就好比在世界上从古至今总是在重复上演着警察与小偷的故事,病毒也是一些利欲熏心的人利用信息技术产生的。随着技术的积累,时间的推移,病毒手段也越来越高明。从80年代病毒出现到现在,大体可以分为四代。表1正是近几十年病毒发展的精准对比和总结。
表1:病毒的发展过程
从表1的对比不难看出,病毒的扩散速度越来越快,影响范围越来越广。针对病毒的这些类型和特点,数据中心也拥有了一些有针对性的防护利器,比如通过防火墙和路由器的访问控制列表完成基本访问流量控制,通过网络入侵检测发现应用层威胁,通过AAA认证完成访问用户的身份识别,通过加密和虚拟专网完成数据的安全运输,这些安全技术逐渐衍生出了具有安全防护功能的三大利器:防火墙、IDS、IPS.
防火墙英文名叫Firewall,当然具体功能并不是要防火。这是由Check Point 创立者Gil Shwed于1993年发明并引入到网络中使用的信息安全防护设备。防火墙可分为软件防火墙和硬件防火墙,软件防火墙常见是安装到服务器和PC上的,比如360、瑞星、诺顿等,针对应用层进行安全防御,而硬件防火墙是基于网络三四层安全防御的设备。数据中心由于设备数量多,网络容量特别大,所以一般需要多层防护。那么防火墙一般都会被部署在数据中心的边界、入口的位置,做第一层的安全防护。不过硬件防火墙无法抵御各种应用层的威胁,而如今的数据中心安全问题已不再主要是网络隔离和访问控制,越来越多的安全问题来源自操作系统和应用的漏洞,比如:缓冲区溢出攻击,非法的P2P流量,针对系统漏洞的攻击,BackOffice、Dos、SYN Flood等等,这些恶意流量都可以穿过防火墙,达到攻击的目的。因此数据中心的安全重心将不会再防火墙,而是IDS和IPS.
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”,IDS工作在七层,可以对应用层进行深度解析,对高危网络区域的访问流量和需要进行统计、监视,发现异常及时发出告警。IDS是旁路监听设备,只需要将网络流量复制一份到IDS设备上就可以完成检测。
IPS是英文“Intrusion Prevention System”的缩写,中文意思是入侵防御系统。和IDS相同,IPS也是工作在网络应用层,不过IPS属于工作模式是在线而不是旁路。IPS可以深度感知并检测流经的数据流量,对恶意报文进行丢弃和阻断,对滥用报文进行限流,从而保护数据中心网络带宽资源。
防火墙、IDS、IPS是数据中心网络安全的三种使用广的安全防御设备。简单讲,防火墙就是数据中心的大门,而IDS是视频监控系统,IPS是安检系统。IDS/IPS是“深度检测防火墙”是“内置了IDS/IPS功能”的防火墙。通过防火墙可以智能解决数据中心20%的安全威胁问题,而另外的80%则要靠IDS/IPS来完成。防火墙和IDS/IPS往往是一前一后配合使用,防火墙做“网络隔离和访问控制”,IDS/IPS做应用层威胁抵御,它们可以很好地防护宽带滥用,蠕虫病毒,Dos/DDos,间谍软件,网络钓鱼,垃圾邮件等各种类型的攻击。IPS和IDS基本上是互相替代的产品,IPS相比IDS关注的不仅是监视与告警,还有消除危险的动作,可以对流量进行深度分析及安全策略的实施,完成对黑客行为进行阻击,IPS正是数据中心网络安全防护的终极产品。
黑客与防火墙、IDS、IPS,一方要攻,一方要防,都在玩着命的扩展自己的武器装备。在这个斗争的过程中,两者都在不断地发展。虽然我们厌恶那些黑客攻击的行为,但是这些行为往往背后有着巨大的利益诱惑,所以只要数据中心存在一天,这些黑客就不会放弃攻击,我们需要防火墙/IDS/IPS发挥更大的正能量,守护我们美好的信息化生活。防火墙、IDS、IPS这数据中心网络安全防护的三大利器将会面临更大挑战,但同样也会发挥更大的作用。