【文章內(nèi)容簡介】 性受到空前的重視，應(yīng)用優(yōu)化、網(wǎng)絡(luò)安全、應(yīng)用安全設(shè)備大規(guī)模部署，融合了應(yīng)用安全、應(yīng)用優(yōu)化能力的應(yīng)用智能數(shù)據(jù)中心越來越受到用戶的歡迎。順應(yīng)潮流的發(fā)展，多業(yè)務(wù)集成交換機(jī)成為數(shù)據(jù)中心建設(shè)的必備組件。 應(yīng)用安全涵蓋： ?? 應(yīng)用層認(rèn)證、授權(quán)和審計(jì) ?? 應(yīng)用層加密（SSL)和集中PKI部署 ?? 應(yīng)用層防火墻（HTTP/XML防火墻，SAML安全斷言標(biāo)記語言） ?? 應(yīng)用層內(nèi)容安全：病毒、入侵等等 應(yīng)用優(yōu)化涵蓋： H3C 數(shù)據(jù)中心解決方案 ?? 應(yīng)用負(fù)載均衡 ?? 基于硬件的應(yīng)用緩存、壓縮和交換 ?? 應(yīng)用協(xié)議優(yōu)化（HTTP/TCP協(xié)議優(yōu)化） 融合應(yīng)用安全、應(yīng)用優(yōu)化的應(yīng)用智能數(shù)據(jù)中心模型： 應(yīng)用智能之安全 數(shù)據(jù)中心承載著用戶的核心業(yè)務(wù)和機(jī)密數(shù)據(jù)，同時(shí)為內(nèi)部、外部、合作伙伴等客戶提供業(yè)務(wù)交互和數(shù)據(jù)交換，因此數(shù)據(jù)中心的安全必須與業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)融合，并且能夠平滑的部署在網(wǎng)絡(luò)中。數(shù)據(jù)中心的安全建設(shè)中的主要思想之一就是層次化的分級安全，把IT的安全分成多個(gè)等級，劃分不同的安全域，這與數(shù)據(jù)中心對安全的內(nèi)在要求是相輔相成的。 在深入分析IT安全形勢的基礎(chǔ)上，H3C提出基于狀態(tài)演進(jìn)的安全模型，把IT的安全分成： ?? 單機(jī)安全：單機(jī)安全強(qiáng)調(diào)權(quán)限管理、病毒防護(hù)、數(shù)據(jù)備份 ?? 局部安全：局部安全強(qiáng)調(diào)遠(yuǎn)程接入、入侵檢測、安全融合、安全協(xié)作 ?? 深度安全：深度安全強(qiáng)調(diào)容災(zāi)備份、深度抵御、安全審計(jì)、流量分析 ?? 統(tǒng)一安全：統(tǒng)一安全強(qiáng)調(diào)風(fēng)險(xiǎn)管理、企業(yè)內(nèi)控、統(tǒng)一規(guī)劃、統(tǒng)一管理 網(wǎng)絡(luò)產(chǎn)品部 H3C 數(shù)據(jù)中心解決方案 網(wǎng)絡(luò)產(chǎn)品部 隨著安全狀態(tài)的演進(jìn)，安全向著應(yīng)用智能的安全方向發(fā)展。 在任何情況下，信息只存在于三種狀態(tài)之一： ?? 計(jì)算：計(jì)算是信息被創(chuàng)建、修改、刪除、查詢以及深度處理的過程。 ?? 通訊：通訊是信息在不同的環(huán)境之間以及環(huán)境內(nèi)部傳遞的過程。 ?? 存儲(chǔ)：信息被以某種形式臨時(shí)或者永久性保存的過程。 安全的目標(biāo)就是在保證數(shù)據(jù)在這三種狀態(tài)下的安全。 信息的安全狀態(tài)決定安全的策略，對于數(shù)據(jù)中心來講，信息的安全策略包括訪問控制策略、補(bǔ)丁管理策略、攻擊抵御策略、滲透抵御策略、病毒控制策略、流量控制策略、風(fēng)險(xiǎn)管理策略。 安全分區(qū) 安全策略的基礎(chǔ)是基于業(yè)務(wù)的邏輯分區(qū)和安全域劃分，數(shù)據(jù)中心業(yè)務(wù)安全分區(qū)的優(yōu)勢： ?? 增加新功能區(qū)更容易 ?? 不同區(qū)域可實(shí)施不同的安全策略 ?? 每個(gè)分區(qū)按照需求可獨(dú)立的擴(kuò)展 ?? 發(fā)生故障易定位易恢復(fù)等優(yōu)點(diǎn)。 因此，按照分區(qū)的思想，數(shù)據(jù)中心按照業(yè)務(wù)類型分為不同的邏輯區(qū)域，每個(gè)分區(qū)制定不 同的安全策略和信任模型，劃分為不同安全級別的安全域。從實(shí)際部署上看，又分成： ?? 邊界訪問控制 ?? 深度智能防御 ?? 智能安全管理 1）邊界訪問控制 邊界控制對數(shù)據(jù)中心是最基本的要求，控制各類用戶對數(shù)據(jù)中心的訪問。隨著安全狀態(tài)的演進(jìn)，安全向著應(yīng)用智能的安全方向發(fā)展。H3C SecBlade II萬兆防火墻與核心、匯聚交換機(jī)實(shí)現(xiàn)多業(yè)務(wù)集成，數(shù)據(jù)交互通過背板直接進(jìn)行，具有高性能和高可靠的雙重優(yōu)勢，避免交換機(jī)在線部署的性能瓶頸和單點(diǎn)故障；與防火墻旁掛部署方式相比，又具有配置策略簡單、不改變數(shù)據(jù)轉(zhuǎn)發(fā)路徑、流量轉(zhuǎn)發(fā)過程清晰、部署維護(hù)簡單等諸多優(yōu)點(diǎn)。 2）深度智能防御 針對數(shù)據(jù)中心的各類DDoS攻擊、木馬、黑客入侵層出不窮，傳統(tǒng)的IDS產(chǎn)品只能對部分事件進(jìn)行檢測，無法做到實(shí)時(shí)分析和防御，H3C IPS業(yè)界領(lǐng)先，以在線或者旁路的方式H3C 數(shù)據(jù)中心解決方案 部署在客戶網(wǎng)絡(luò)的關(guān)鍵路徑上（可以實(shí)現(xiàn)在線防御，也可配置Layer2back二層回退），通過對流經(jīng)該關(guān)鍵路徑上的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行2到7層的深度分析，能精確、實(shí)時(shí)地識(shí)別并阻斷或限制黑客、蠕蟲、病毒、木馬、DoS/DDoS、掃描、間諜軟件、協(xié)議異常、網(wǎng)絡(luò)釣魚、P2P、IM、網(wǎng)游等網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)濫用，從而可為客戶網(wǎng)絡(luò)提供三大保護(hù)功能：保護(hù)網(wǎng)絡(luò)應(yīng)用、保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、保護(hù)網(wǎng)絡(luò)性能。 H3C IPS系列產(chǎn)品還具有強(qiáng)大、實(shí)用的帶寬管理和URL過濾功能，可為客戶帶來IPS之外的更高附加價(jià)值。 3）智能安全管理 數(shù)據(jù)中心除了大量的網(wǎng)絡(luò)設(shè)備在運(yùn)行外，更多是各類服務(wù)器、操作系統(tǒng)之間的業(yè)務(wù)交互，海量的告警、監(jiān)控、SNMP、WMI等消息不斷的在網(wǎng)絡(luò)中傳播，必須要要對這些安全事件、網(wǎng)絡(luò)事件、系統(tǒng)事件、應(yīng)用事件進(jìn)行統(tǒng)一的收集和管理，并通智能化的分析把原始數(shù)據(jù)轉(zhuǎn)換、篩選為智能安全的有效信息。H3C SecCenter可管理近100家主流廠家的安全與網(wǎng)絡(luò)產(chǎn)品、1000+種報(bào)表的自動(dòng)或手工生成、流量與攻擊的實(shí)時(shí)監(jiān)控、海量事件關(guān)聯(lián)和威脅分析、安全審計(jì)分析與追蹤溯源。 總之，H3C通訊安全目標(biāo)是提供面向業(yè)務(wù)的端到端的安全保障，覆蓋客戶端、網(wǎng)絡(luò)和數(shù)據(jù)中心的服務(wù)器和存儲(chǔ)系統(tǒng)。 網(wǎng)絡(luò)產(chǎn)品部 H3C 數(shù)據(jù)中心解決方案 應(yīng)用智能之優(yōu)化 隨著Internet和用戶業(yè)務(wù)的不斷發(fā)展，Web應(yīng)用已經(jīng)成為服務(wù)器主要的數(shù)據(jù)處理任務(wù)。HTTP協(xié)議用于在服務(wù)器和客戶端之間傳輸基于Web的數(shù)據(jù)。TCP協(xié)議則為HTTP提供有保障的連接和糾錯(cuò)功能。TCP雖然是非常理想的傳輸機(jī)制，但它也存在缺點(diǎn)，在傳輸Web數(shù)據(jù)時(shí)，TCP協(xié)議消耗了大量的資源，導(dǎo)致服務(wù)器性能不佳。數(shù)據(jù)中心的性能瓶頸日趨凸現(xiàn)，為了解決諸如此類的性能問題，出現(xiàn)了流量管理產(chǎn)品，比如能夠深度識(shí)別和管理的P2P流量的路由器，產(chǎn)品工作在網(wǎng)絡(luò)層解決數(shù)據(jù)傳輸中的應(yīng)用優(yōu)化問題；負(fù)載均衡設(shè)備，產(chǎn)品的目標(biāo)是解決服務(wù)器訪問的瓶頸問題，但是這些產(chǎn)品不足以解決數(shù)據(jù)中心應(yīng)用層的性能問題，因此H3C應(yīng)用優(yōu)化設(shè)備應(yīng)運(yùn)而生，它采用先進(jìn)的連接管理技術(shù)進(jìn)行TCP 卸載和傳輸層端到端優(yōu)化，考慮到SSL、壓縮、加密等更多并發(fā)處理，極大的提高了數(shù)據(jù)中心的數(shù)據(jù)訪問性能。 GET A。GET B。GET CGET A。GET B。GET DGET C。GET D。GET EGET B。GET A。GET DGET C。GET D。GET EGET