【正文】 與網(wǎng)絡(luò)層的安全上，通過(guò)狀態(tài)防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離，并提供對(duì)DDOS和多種畸形報(bào)文攻擊的防御。圖4 數(shù)據(jù)中心多層安全防御三重保護(hù)的同時(shí)為數(shù)據(jù)中心網(wǎng)絡(luò)提供了從鏈路層到應(yīng)用層的多層防御體系，如圖。用一個(gè)形象的比喻來(lái)說(shuō)明數(shù)據(jù)的三重保護(hù)。 三重保護(hù)，多層防御圖3 數(shù)據(jù)中心三重安全保護(hù)以數(shù)據(jù)中心服務(wù)器資源為核心向外延伸有三重保護(hù)功能。H3C數(shù)據(jù)中心安全解決方案秉承了H3C一貫倡導(dǎo)的“安全滲透理念”，將安全部署滲透到整個(gè)數(shù)據(jù)中心的設(shè)計(jì)、部署、運(yùn)維中，為數(shù)據(jù)中心搭建起一個(gè)立體的、無(wú)縫的安全平臺(tái)，真正做到了使安全貫穿數(shù)據(jù)鏈路層到網(wǎng)絡(luò)應(yīng)用層的目標(biāo)，使安全保護(hù)無(wú)處不在。因此，數(shù)據(jù)中心的安全防護(hù)體系不能僅依靠單獨(dú)的某個(gè)安全產(chǎn)品，還要依托整個(gè)網(wǎng)絡(luò)中各部件的安全特性?！澳就暗难b水量還取決于木板間的緊密程度”，一個(gè)網(wǎng)絡(luò)的安全不僅依賴于單個(gè)部件產(chǎn)品的安全特性，也依賴于各安全部件之間的緊密協(xié)作。隱藏在企業(yè)內(nèi)部的黑客不僅可以通過(guò)應(yīng)用攻擊技術(shù)繞過(guò)防火墻，對(duì)數(shù)據(jù)中心的網(wǎng)絡(luò)造成損害，還可以憑借其網(wǎng)絡(luò)構(gòu)架的充分了解，通過(guò)違規(guī)訪問(wèn)、嗅探網(wǎng)絡(luò)系統(tǒng)、攻擊路由器/交換機(jī)設(shè)備等手段，訪問(wèn)非授權(quán)資源，這些行將對(duì)企業(yè)造成更大的損失。數(shù)據(jù)中心絕不允許DOS/DDOS垃圾報(bào)文肆虐于網(wǎng)絡(luò)之中，因此如何實(shí)施邊界安全策略，如何“拒敵于國(guó)門之外”將是數(shù)據(jù)中心面臨的又一個(gè)挑戰(zhàn)。狼的習(xí)性是群居，一只固然勢(shì)單力薄，但如果群起而攻之，恐怕猛虎也難抵擋，這就是分布式拒絕服務(wù)攻擊的原理。早期的DOS攻擊由單機(jī)發(fā)起，在攻擊目標(biāo)的CPU速度不高、內(nèi)存有限、網(wǎng)絡(luò)帶寬窄的情況下效果是明顯的。DOS/DDoS攻擊大行其道的原因主要是利用了TCP/IP的開放性原則，從任意源地址向任意目標(biāo)地址都可以發(fā)送數(shù)據(jù)包。常見(jiàn)的DDOS攻擊方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。DOS/DDOS是一種傳統(tǒng)的網(wǎng)絡(luò)攻擊方式，然而其破壞力卻十分強(qiáng)勁。因此，數(shù)據(jù)中心面臨的另一個(gè)嚴(yán)峻問(wèn)題是如何應(yīng)對(duì)由應(yīng)用攻擊造成的“零時(shí)差”效應(yīng)。 （185天）Nimida11個(gè)月表1 系統(tǒng)漏洞與應(yīng)用攻擊爆發(fā)速度關(guān)系:應(yīng)用攻擊系統(tǒng)漏洞與應(yīng)用攻擊爆發(fā)周期MS0503924 小時(shí)Witty48小時(shí)這也就是所謂的“零時(shí)差攻擊”。圖2 1995－2005 CERT/CC統(tǒng)計(jì)發(fā)現(xiàn)的漏洞如此多的漏洞，對(duì)數(shù)據(jù)中心意味著什么？系統(tǒng)安全小組必須及時(shí)采取行動(dòng)獲得補(bǔ)丁程序、測(cè)試、最后將其部署在服務(wù)器上，為什么不直接給服務(wù)器打補(bǔ)丁呢？因?yàn)椴荒鼙ＷC補(bǔ)丁對(duì)應(yīng)用系統(tǒng)沒(méi)有影響，為了以防萬(wàn)一，必須對(duì)補(bǔ)丁程序進(jìn)行測(cè)試和驗(yàn)證，然后才允許將其投入生產(chǎn)系統(tǒng)。黑客利用系統(tǒng)漏洞可以獲得對(duì)系統(tǒng)非授權(quán)資源的訪問(wèn)。擺在我們面前的大量證據(jù)表明，針對(duì)系統(tǒng)缺陷的應(yīng)用攻擊已成為數(shù)據(jù)中心面臨的主要威脅。圖1 應(yīng)用協(xié)議攻擊穿透防火墻應(yīng)用攻擊的共同特點(diǎn)是利用了軟件系統(tǒng)在設(shè)計(jì)上的缺陷，并且他們的傳播都基于現(xiàn)有的業(yè)務(wù)端口，因此應(yīng)用攻擊可以毫不費(fèi)力的躲過(guò)那些傳統(tǒng)的或者具有少許深度檢測(cè)功能的防火墻。其中最常見(jiàn)，變種最多的蠕蟲是群發(fā)郵件型蠕蟲，它是通過(guò)EMAIL進(jìn)行傳播的，著名的例子包括求職信、網(wǎng)絡(luò)天空NetSky、雛鷹 BBeagle等，2005年11月爆發(fā)的Sober蠕蟲，是一個(gè)非常典型的群發(fā)郵件型蠕蟲。從本質(zhì)上講，蠕蟲和病毒的最大的區(qū)別在于蠕蟲是通過(guò)網(wǎng)絡(luò)進(jìn)行主動(dòng)傳播的，而病毒需要人的手工干預(yù)（如各種外部存儲(chǔ)介質(zhì)的讀寫）。 面向應(yīng)用層的攻擊常見(jiàn)的應(yīng)用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等，最典型的應(yīng)用攻擊莫過(guò)于“蠕蟲”。盡管大多數(shù)系統(tǒng)管理員已經(jīng)認(rèn)識(shí)到來(lái)自網(wǎng)絡(luò)的惡意行為對(duì)數(shù)據(jù)中心造成的嚴(yán)重?fù)p害，而且許多數(shù)據(jù)中心已經(jīng)部署了依靠訪問(wèn)控制防御來(lái)獲得安全性的設(shè)備，但對(duì)于日趨成熟和危險(xiǎn)的各類攻擊手段，這些傳統(tǒng)的防御措施仍然顯現(xiàn)的力不從心。2 數(shù)據(jù)中心面對(duì)的安全挑戰(zhàn)隨著Internet應(yīng)用日益深化，數(shù)據(jù)中心運(yùn)行環(huán)境正從傳統(tǒng)客戶機(jī)/服務(wù)器向網(wǎng)絡(luò)連接的中央服務(wù)器轉(zhuǎn)型，受其影響，基礎(chǔ)設(shè)施框架下多層應(yīng)用程序與硬件、網(wǎng)絡(luò)、操作系統(tǒng)的關(guān)系變得愈加復(fù)雜。數(shù)據(jù)中心的建設(shè)已成為數(shù)據(jù)大集中趨勢(shì)下的必然要求。1 前言數(shù)據(jù)集中是管理集約化、精細(xì)化的必然要求，是企業(yè)優(yōu)化業(yè)務(wù)流程、管理流程的的必要手段。目前，數(shù)據(jù)集中已經(jīng)成為國(guó)內(nèi)電子政務(wù)、企業(yè)信息化建設(shè)的發(fā)展趨勢(shì)。做為網(wǎng)絡(luò)中數(shù)據(jù)交換最頻繁、資源最密集的地方，數(shù)據(jù)中心無(wú)疑是個(gè)充滿著巨大的誘惑的數(shù)字城堡，任何防護(hù)上的疏漏必將會(huì)導(dǎo)致不可估量的損失，因此構(gòu)筑一道安全地防御體系將是這座數(shù)字城堡首先面對(duì)的問(wèn)題。這種復(fù)雜性也為數(shù)據(jù)中心的安全體系引入許多不確定因素，一些未實(shí)施正確安全策略的數(shù)據(jù)中心，黑客和蠕蟲將順勢(shì)而入。以下是當(dāng)前數(shù)據(jù)中心面對(duì)的一些主要安全挑戰(zhàn)。蠕蟲是指通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序，泛濫時(shí)可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓。蠕蟲有多種形式，包括系統(tǒng)漏洞型蠕蟲、群發(fā)郵件型蠕蟲、共享型蠕蟲、寄生型蠕蟲和混和型蠕蟲。而傳播最快，范圍最廣、危害最大是系統(tǒng)漏洞型蠕蟲，例如利用TCP 445端口進(jìn)行傳播的windows PnP服務(wù)漏洞到2006年第一季度還在肆虐它的余威。國(guó)際計(jì)算機(jī)安全協(xié)會(huì) ICSA 實(shí)驗(yàn)室調(diào)查的結(jié)果顯示，2005年病毒攻擊范圍提高了39%，重度被感染者提高了18%，造成的經(jīng)濟(jì)損失提高了31%，尤為引人注意的是，跨防火墻的應(yīng)用層(ISO 7層)攻擊提高了278%，即使在2004年，這一數(shù)字也高達(dá)249%。造成應(yīng)用攻擊的根本原因在于軟件開發(fā)人員編寫程序時(shí)沒(méi)有充分考慮異常情況的處理過(guò)程，當(dāng)系統(tǒng)處理處理某些特定輸入時(shí)引起內(nèi)存溢出或流程異常，因此形成了系統(tǒng)漏洞。來(lái)自CERT（計(jì)算機(jī)緊急事件相應(yīng)組）報(bào)告指出，從1995年開到2004年已有超過(guò)12，000個(gè)漏洞被報(bào)告，而且自1999年以來(lái)，每年的數(shù)量都翻翻，增長(zhǎng)如此