H3C银行数据中心安全防护与应用优化

银行数据中心需求概述

数据大集中的安全性问题是现在银行信息化面临的最为严峻的挑战。一旦总行数据中心发生网络安全事故,受到影响的将是全国范围的分支机构和几乎所有业务。因此,数据中心的网络安全保护工作也就显得尤为重要。

金融数据中心网络安全面临以下问题:

Ø 数据大集中,中心的网络流量骤升,安全设备性能能否承受巨大的性能压力

Ø 来自内网和外网的攻击,包括:DDoS攻击、木马、病毒、蠕虫、SQL注入等

Ø 服务器面临巨大的性能压力,如何保证服务器稳定可靠工作

Ø 如何在服务器间合理分配负载,充分利用服务器资源

Ø 如何实现网络、安全设备的统一管理,实时掌握网络安全状态

针对以上客户需求,H3C提供完整的银行数据中心安全防护与应用优化解决方案。

银行数据中心安全防护与应用优化解决方案

H3C公司凭借完善的安全产品和解决方案,以及对金融数据中心的深刻理解,为银行数据中心提供从性能保护、攻击防护、负载均衡、应用优化,到安全管理的全方位安全保障。典型组网图如下所示:

银行数据中心安全防护与应用优化解决方案

安全防护的功能模块与产品的对应关系如下图所示:

数据中心之性能保护

针对银行数据中心业务流量大、性能要求高的特点,H3C提供全系列的万兆安全产品,从容应对数据中心的高性能要求,使安全产品不再成为数据中心性能瓶颈。

H3C基于业界先进的多核硬件平台,开发出全系列万兆安全产品:万兆防火墙、万兆IPS、万兆AFC(异常流量清洗)、万兆ACG(应用控制网关)、万兆业务模块等。

H3C数据中心安全方案的另一个重要特色是SecBlade安全业务模块。SecBlade安全业务模块包括FW防火墙模块、IPS模块、SSL VPN模块、AFC异常流量清洗模块、ACG应用控制网关模块、LB负载均衡模块等,可以插卡形式部署在H3C核心交换机/路由器上。从而实现了网络与安全的深度融合,同时具有很高的可靠性。在安全模块出现故障时,业务流量自动绕行,避免了单点故障带来的风险,满足了银行数据中心对高可靠性的要求。

数据中心之攻击防护

n 边界访问控制

H3C防火墙具有完善的隔离控制能力和安全防范能力。通过在核心交换机上部署防火墙模块,利用虚拟化防火墙功能, 实现不同安全区域间、不同应用层次间和不同服务器间多种粒度级别的安全隔离,从而在整体上保证了所有接入设备均受控于整体的安全策略。

n 深度智能防御

银行数据中心通常具有互联网出口,因此面临着来自互联网的各种攻击和威胁。如DDoS攻击、各种蠕虫、木马、病毒等。这些攻击直接威胁到银行数据中心能否稳定、安全运行。

传统的防火墙设备由于工作在2~4层,无法实现对应用层攻击的深度检测。H3C入侵防御系统(IPS)集成入侵检测与防御、病毒防护、协议异常保护等功能,可以精确实时地识别并防御蠕虫、病毒、木马等网络攻击,防止攻击者对数据中心的破坏,保障敏感数据不被窃取以及业务的持续运行,从而达到对网络上运行的银行业务的保护、网络基础设施的保护和网络性能的保护。

n 流量清洗

针对DDoS攻击,H3C AFC(Anomaly Flow Cleaner)产品通过静态漏洞攻击特征检查、动态规则过滤、异常流量限速和H3C 独创的“基于用户行为的单向防御”技术,实现多层次安全防护,精确检测并阻断各种网络层和应用层的DoS/DDoS攻击和未知恶意流量,包括SYN Flood、UDP Flood、ICMP Flood、CC、DNS Query Flood、HTTP Get Flood等,支持线速的流量清洗,保护用户免遭海量分布式拒绝服务 (DDoS) 攻击的威胁,实现前所未有的高性能安全防护。

方案中通过在Internet入口处部署高性能的SecBlade AFC,与iMC智能管理平台联动,实现对异常攻击流量的过滤,从而构建安全可靠的高性能网络,提升业务处理能力。

数据中心之应用加速

随着银行业务的快速发展,Web服务器性能瓶颈日趋凸现,为了解决诸如此类的性能问题, H3C 应用优化设备应运而生,它采用先进的连接管理技术进行TCP 卸载和传输层端到端优化,考虑到SSL、压缩、加密等更多并发处理,极大提高了数据中心服务器的数据访问性能。

SecPath ASE系列是H3C公司推出的一款面向Web 应用的高性能应用加速硬件产品,它将web 加速、SSL 卸载和加速、压缩、TCP 优化、负载均衡等技术集成在一个硬件平台上,并且每个功能模块都是由专有的硬件芯片运行。利用全硬件加速处理技术来帮助企业提高应用性能,最大可使Web 服务器的性能提升10倍。

数据中心之负载均衡

H3C SecBlade LB(Load Balance)业务模块是一款高性能负载均衡产品,创新性地实现了应用优化与网络交换设备的完美融合。SecBlade LB通过对服务器、防火墙进行健康和性能检测,将各种应用访问进行动态均衡分发,极大地提高了访问速度,为企业和运营商网络提供了一个高性能的负载均衡解决方案。

H3C SecBlade LB业务模块提供丰富的健康检测技术,可以进行实时、高效的设备性能探测。同时提供了全面的负载均衡算法,可以根据不同应用场景,采用不同的负载均衡算法,确保服务器访问效率最大化。通过与H3C网络设备的深度融合,提供高密度的业务接口,并且支持多块模块,实现性能的平滑升级,满足银行数据中心对于高性能的业务需求。

数据中心之安全管理

H3C安全管理中心集成SecCenter、iMC,实现数据中心统一部署、监控和管理。

iMC可对网络设备、安全设备、服务器统一部署,SecCenter对数据中心所有设备和服务器的海量安全事件进行采集、分析、关联、汇聚和统一处理,实时输出安全报告,协助管理员及时掌握数据中心的安全状态。通过两者的组合将安全体系中各层次的安全产品、网络设备、用户终端等纳入到一个紧密“统一安全管理平台”,通过安全策略的集中部署、安全事件的深度感知和关联分析以及安全部件的协同响应,在现有安全设施的基础上构建一个智能安全防御体系,大幅提高银行数据中心的整体安全防御能力。

典型案例

某大型商业银行数据中心

为了保护数据中心免遭DDoS攻击、病毒、蠕虫和木马等应用层威胁攻击,XX银行总行部署了IDS,但是IDS不能实时阻断攻击,只能做事后审计。同时由于攻击事件日益增多和IDS误报较高等原因,IDS每月的日志数量在70万条左右,根本无法分析出有用的信息。

为了解决IDS面临的系列问题,XX银行总行经过严格的筛选、测试和招标,最终在数据中心网银出口项目中选择了H3C IPS(入侵防御系统)。

IPS在线部署在网银出口,与防火墙一起配合实现2-7层安全防护与攻击过滤。IPS可以实时阻断网络中的应用层攻击,并将安全事件发给安全管理中心(SecCenter),做统一的安全事件分析和审计。

目前XX银行数据中心IPS运行稳定、功能正常、性能优异,获得了客户的高度认可和评价。

用户名单

XX银行数据中心

山东农信

陕西建行

江南证券

徽商银行

。。。