企业级数据中心综合安全解决方案

按照企业数据中心网络架构，将数据中心划分为：边界接入区（互联网接入区、外联接入区、内部接入区）、网络基础设施区（核心汇聚区、区域接入区）、业务接入区（一般服务区、重要服务区、核心数据区）、运维管理区，根据上述的安全域划分架构，对数据中心进行整体安全设计。

立即提交

企业数据中心网络架构

DDOS攻击分为带宽消耗型攻击（大流量攻击）和主机资源消耗型攻击，带宽消耗型攻击会对数据出口造成流量压力，极大浪费宝贵的带宽资源，严重增加核心设备的工作负荷，造成关键业务的中断或网络服务质量的大幅降低。

互联网边界是威胁的重要入口之一，同时也是数据泄露的主要出口之一。尤其是当前APT攻击盛行，各类未知威胁对核心数据安全造成巨大的危害。网关层面应当具备对未知威胁的检测能力，并能实现联动响应机制，拦截掉威胁进出的路径。

外联接入区主要面临的威胁来自于外联机构，通常外联机构使用专线或者VPN连接到数据中心，访问特定的业务系统。

部署网神下一代智慧防火墙，实现端口级的访问控制，并开启应用层防护功能，对来自外部机构的恶意代码、高级威胁等进行检测和拦截。

内部接入区主要面临的威胁来自于远程接入带来的风险，如传输过程的信道监听、员工远程接入后的权限滥用等。

内部接入区的安全设计主要考虑远程安全接入中的访问控制、权限管理、传输加密等方面。

安全运维区是整个安全体系的重中之重，过去安全运维的价值难以得到体现，主要有以下原因：如安全管理割裂、学习成本高、对运维人员水平要求较高、安全管理成果缺少可视化呈现手段等。

本方案要做到的不仅仅是实现安全防护目标，同时要尽可能的提升安全运维的效率和体验，降低人为错误带来的风险。通过集中化、自动化、智能化的管理工具，实现覆盖威胁检测、响应、溯源，形成安全运营闭环。

其他分区组成

部署天眼文件威胁鉴定器。网络威胁传感器识别到网络流量中的文件传输行为后，会将文件还原并发送至文件威胁鉴定器，进行深度分析。

部署Web应用防火墙，用对应用层的攻击行为进行实时防护。接入交换机旁路部署Web漏洞智能监测系统，从进出站流量中识别出应用系统存在的漏洞和针对Web应用的攻击行为。

在物理机和虚拟机操作系统上部署天擎虚拟化安全客户端，主要功能包括恶意代码防护、主机防火墙、主机入侵防御，并可以对虚拟机与物理机操作系统进行统一管理。

在核心数据区旁路部署数据库审计系统，监视并记录对数据库服务器的各类操作行为，并可以支持操作回放。

应用场景

网络安全方案推荐