客戶需求分析
企業(yè)數(shù)據(jù)中心承載著公司核心業(yè)務(wù)系統(tǒng)����,如:OA系統(tǒng)���、HR系統(tǒng)�����、生產(chǎn)系統(tǒng)���、財務(wù)系統(tǒng)等多項關(guān)鍵應(yīng)用系統(tǒng)�����。數(shù)據(jù)中心網(wǎng)絡(luò)作為企
業(yè)內(nèi)部網(wǎng)的重要組成部分,為各項應(yīng)用系統(tǒng)提供數(shù)據(jù)交換和共享平臺���,為核心業(yè)務(wù)系統(tǒng)服務(wù)器和存儲設(shè)備提供安全可靠的網(wǎng)絡(luò)接入平臺�。
企業(yè)數(shù)據(jù)中心安全建設(shè)所需要達(dá)到的安全性�����、高可用性��、擴(kuò)展性和靈活性等需求可以簡單概括如下:
◆ 高可用性���。企業(yè)關(guān)鍵業(yè)務(wù)應(yīng)用的可用性與性能要求比任何時候都更為重要����,如果客戶與員工不能訪問關(guān)鍵性應(yīng)用�,業(yè)務(wù)將遭受無法
挽回的利潤損失。安全作為數(shù)據(jù)中心的重要組成部分����,充分考慮系統(tǒng)的應(yīng)變能力、容錯能力和糾錯能力����,確保整個基礎(chǔ)平臺運(yùn)行穩(wěn)
定���、可靠。
◆ 高安全性����。涉及到企業(yè)的核心數(shù)據(jù)安全,應(yīng)按照業(yè)務(wù)端到端安全交付��、網(wǎng)絡(luò)L2-L7層安全兩個維度對安全體系進(jìn)行設(shè)計規(guī)劃��,將安
全理念滲透到整個數(shù)據(jù)中心平臺中����。
◆ 可擴(kuò)展性和靈活性。數(shù)據(jù)中心作為承載業(yè)務(wù)數(shù)據(jù)核心平臺�,必須能夠隨著應(yīng)用系統(tǒng)的變化而進(jìn)行自由縮放,所以平臺必須具備良好
的靈活性及可擴(kuò)展性��,能夠滿足不斷變化的應(yīng)用需求��。
解決方案
齊杉科技企業(yè)數(shù)據(jù)中心安全解決方案:
◆ 在企業(yè)內(nèi)部局域網(wǎng)與數(shù)據(jù)中心間部署齊杉Cedar NGFW產(chǎn)品�,對訪問數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行深度安全檢測,安全控制����,安全過濾等。
◆ 在數(shù)據(jù)中心部署齊杉Cedar ADC產(chǎn)品�,對關(guān)鍵服務(wù)器流量進(jìn)行高可用調(diào)度、應(yīng)用優(yōu)化與加速�,保障業(yè)務(wù)可持續(xù)服務(wù)的同時,提升用
戶的訪問體驗�。
◆ 在數(shù)據(jù)中心部署齊杉Cedar WAF產(chǎn)品,負(fù)責(zé)處理訪問流量中攜帶的基于Web層的攻擊威脅��。
■虛擬化技術(shù)
業(yè)務(wù)系統(tǒng)是數(shù)據(jù)中心的核心命脈����,為保證部署的Cedar系列安全設(shè)備穩(wěn)定性、可靠性�����、高性能�����,在方案中����,齊杉科技Cedar系列安全
產(chǎn)品通過虛擬化進(jìn)行部署, 可根據(jù)用戶的需要靈活地將多臺物理Cedar系列安全設(shè)備虛擬成一臺邏輯設(shè)備,也可以將一臺物理Cedar系列
安全設(shè)備虛擬成多臺虛擬安全設(shè)備��,當(dāng)其中任意一臺物理或虛擬安全設(shè)備出現(xiàn)故障時�����,能夠?qū)崿F(xiàn)業(yè)務(wù)系統(tǒng)無縫切換�,同時可實現(xiàn)與業(yè)務(wù)
系統(tǒng)的虛擬化進(jìn)行無縫對接,有效提供運(yùn)維效率�����,也方便了用戶業(yè)務(wù)的靈活擴(kuò)展��。
■全面安全防御技術(shù)
通過Cedar NGFW把數(shù)據(jù)中心與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離�����,通過基于狀態(tài)的包過濾技術(shù)����,根據(jù)設(shè)定的安全策略,過濾位于TCP/IP協(xié)議棧數(shù)據(jù)
鏈路層����、網(wǎng)絡(luò)層��、應(yīng)用層中隱藏的安全威脅����。Cedar NGFW可以根據(jù)每個數(shù)據(jù)包的源MAC地址�����、目的MAC地址��、源IP地址��、目的IP地址�����、
協(xié)議�、源端口���、目的端口�、時間����、安全特征庫等為過濾依據(jù)�����,決定是否對這個數(shù)據(jù)包給予放行或阻斷���。
■Web應(yīng)用深度檢測
通過Cedar WAF的完整TCP協(xié)議棧解析引擎,可以準(zhǔn)確的對TCP/IP棧數(shù)據(jù)包進(jìn)行重組還原�����,能完整識別HTTP協(xié)議框架, 實現(xiàn)HTTP/
HTTPS協(xié)議完整解析和還原���,從根源上避免繞過及穿透攻擊���。通過指紋識別及行為分析引擎,能對TCP協(xié)議掃描��、UDP協(xié)議掃描�、Ping掃
描和異常探測行為及時發(fā)現(xiàn)并進(jìn)行及時阻斷。通過特有的并行流過濾處理引擎����,滿足在靈活定制各種復(fù)雜WEB防護(hù)策略、開啟各種WEB
行為攻擊檢測的同時�����,實現(xiàn)萬兆高并發(fā)低延遲處理。通過敏感信息檢測引擎����,對服務(wù)器返回信息的HTTP頭域、URI字段��、Cookie����、服務(wù)
器信息等進(jìn)行有效識別�,完成對敏感信息泄露過濾。
Cedar WAF針對SQL注入攻擊����、跨站攻擊、腳本木馬�����、緩沖區(qū)溢出�、信息泄露、CC攻擊等攻擊全面防御���,讓對門戶網(wǎng)站系統(tǒng)的信息
泄露�����、偽造和破壞風(fēng)險降到最低�,IT人員針對Web系統(tǒng)的安全憂慮迎刃而解。
■豐富的調(diào)度算法
Cedar ADC通過多種靜態(tài)和動態(tài)調(diào)度算法��,確保訪問數(shù)據(jù)中心服務(wù)器的流量智能的分發(fā)給最佳服務(wù)成員�����。
◆ 輪詢:把來自用戶的請求輪流分配給內(nèi)部的服務(wù)器:從服務(wù)器1開始��,直到服務(wù)器N����,然后重新開始循環(huán)。
◆ 加權(quán)輪詢:根據(jù)服務(wù)器的不同處理能力���,給每個服務(wù)器分配不同的權(quán)值���,使其能夠接受相應(yīng)權(quán)值數(shù)的服務(wù)請求。
◆ 最小連接:根據(jù)當(dāng)前各服務(wù)器或鏈路的連接數(shù)來估計服務(wù)器或鏈路的負(fù)載情況����,把新的連接分配給連接數(shù)最小的服務(wù)器或鏈路���。
◆ 加權(quán)最小連接:調(diào)度新連接時盡可能使服務(wù)器或鏈路的已建立活動連接數(shù)和服務(wù)器或鏈路權(quán)值成比例,權(quán)值表明了服務(wù)器處理性能
或鏈路實際帶寬��。
◆ 動態(tài)反饋:設(shè)備根據(jù)不同鏈路的實際剩余帶寬及權(quán)值���,將新連接分發(fā)到剩余帶寬最大的鏈路上�����。
◆ 源IP哈希:通過一個散列(Hash)函數(shù)將來自同一個源IP的請求映射到一臺服務(wù)器或鏈路上。
◆ 源和端口IP哈希:通過一個散列函數(shù)將來自同一個源IP和源端口號的請求映射到一臺服務(wù)器或鏈路上����。
◆ 基于目的IP哈希:通過一個散列函數(shù)將去往同一個目的IP的請求映射到一臺服務(wù)器或鏈路上
◆ 最快響應(yīng)時間:設(shè)備根據(jù)不同鏈路或服務(wù)器的實際響應(yīng)時間,將新連接分發(fā)到響應(yīng)時間最短的鏈路或服務(wù)器上�����。
■完善的會話保持策略
基于源IP地址的會話保持功能
◆ 基于源IP地址的持續(xù)性功能常用于應(yīng)用調(diào)度中�����,用以確保同一個客戶端的業(yè)務(wù)能分配到同一個服務(wù)器中。
Cedar ADC接收到某一客戶端的某一業(yè)務(wù)的首次請求時�����,建立持續(xù)性表項���,記錄為該客戶分配的服務(wù)器情況�����,在會話表項生存周期
內(nèi)�,后續(xù)相同源IP地址的業(yè)務(wù)報文都將發(fā)往該服務(wù)器處理���。
◆ 基于目的IP地址的會話保持功能
基于目的IP地址的持續(xù)性功能常用于鏈路調(diào)度應(yīng)用中�����,用以確保去往同一個目的地址的業(yè)務(wù)能分配到同一條鏈路上����。Cedar ADC接
收到某一客戶端的某一業(yè)務(wù)的首次請求時�,建立持續(xù)性表項,記錄為該客戶分配的鏈路情況,在會話表項生存周期內(nèi)��,后續(xù)相同目
的IP地址的業(yè)務(wù)報文都將分發(fā)到該鏈路轉(zhuǎn)發(fā)���。
◆ 基于Cookie��、頭域����、Session的會話保持功能常用于web服務(wù)器需要用戶攜帶私有信息或某些特定信息的應(yīng)用調(diào)度中����,用來確保同一
個用戶能夠去往同一個目的地址。Cookie支持4種持續(xù)性方式�����,包括插入模式�����,重寫模式�����,被動模式�,HASH模式。
■多種健康檢查方法
所謂健康檢測��,就是Cedar ADC定期對真實服務(wù)器服務(wù)狀態(tài)進(jìn)行探測���,收集相應(yīng)信息����,及時隔離工作異常的服務(wù)器成員�����。Cedar ADC
設(shè)備通過17種健康檢測的結(jié)果標(biāo)識服務(wù)器健康情況�����,統(tǒng)計出服務(wù)器的響應(yīng)時間����,作為選擇服務(wù)器的依據(jù)。
■多種應(yīng)用優(yōu)化技術(shù)
通過Cedar ADC的連接復(fù)用���、SSL卸載�、緩存、內(nèi)容壓縮等優(yōu)化技術(shù)�����,為數(shù)據(jù)中心業(yè)務(wù)訪問提速�。連接復(fù)用就是將多個連接合并為
一個連接來與服務(wù)器進(jìn)行通信,減少與服務(wù)器三次握手的次數(shù)���,提交數(shù)據(jù)交換的效率��,達(dá)到提升用戶訪問的效果�。SSL卸載是通過高性
能硬件加速芯片����,對SSL協(xié)議進(jìn)行加解密處理,從而減輕服務(wù)器的壓力�,提升服務(wù)器對請求的響應(yīng)速度。緩存是通過緩存空間將一些常
被訪問的靜態(tài)文件�����,如圖片��、文檔����、視頻等進(jìn)行本地緩存,客戶請求時����,直接由Cedar ADC設(shè)備進(jìn)行響應(yīng),提升請求響應(yīng)效能����。壓縮是
通過HTTP壓縮算法,提升帶寬利用率�,縮短下載時間,從而提升用戶體驗��。
客戶價值
◆ 安全性:實現(xiàn)L2~7層的立體安全防護(hù)��,讓數(shù)據(jù)中心固若金湯���。
◆ 高可靠:關(guān)鍵業(yè)務(wù)7*24的可持續(xù)性提升服務(wù)�,并同時升級用戶的訪問體驗�����。
◆ 虛擬化:業(yè)務(wù)級虛擬化�,提升數(shù)據(jù)中心安全的同時��,讓業(yè)務(wù)擴(kuò)展�����、性能提升更靈活性�。
◆ 高可用:提升用戶安全體驗的同時���,提升了故障的自愈能力��,大大提升用戶的滿意度����。
