H3C银行数据中心安全防护与应用优化

　　银行数据中心需求

　　数据大集中的安全性问题是现在银行信息化面临的最为严峻的挑战。一旦总行数据中心发生网络安全事故，受到影响的将是全国范围的分支机构和几乎所有业务。因此，数据中心的网络安全保护工作也就显得尤为重要。

　　金融数据中心网络安全面临以下问题：数据大集中，中心的网络流量骤升，安全设备性能能否承受巨大的性能压力；来自内网和外网的攻击，包括：DDoS攻击、木马、病毒、蠕虫、SQL注入等；服务器面临巨大的性能压力，如何保证服务器稳定可靠工作；如何在服务器间合理分配负载，充分利用服务器资源；如何实现网络、安全设备的统一管理，实时掌握网络安全状态；针对以上客户需求，H3C提供完整的银行数据中心安全防护与应用优化解决方案。

　　银行数据中心安全防护与应用优化解决方案

　　H3C公司凭借完善的安全产品和解决方案，以及对金融数据中心的深刻理解，为银行数据中心提供从性能保护、攻击防护、负载均衡、应用优化，到安全管理的全方位安全保障。典型组网图如下所示：

银行数据中心安全防护与应用优化解决方案

　　安全防护的功能模块与产品的对应关系如下图所示：

        数据中心之性能保护

　　针对银行数据中心业务流量大、性能要求高的特点，H3C提供全系列的万兆安全产品，从容应对数据中心的高性能要求，使安全产品不再成为数据中心性能瓶颈。

　　H3C基于业界先进的多核硬件平台，开发出全系列万兆安全产品：万兆防火墙、万兆IPS、万兆AFC（异常流量清洗）、万兆ACG（应用控制网关）、万兆业务模块等。

　　H3C数据中心安全方案的另一个重要特色是SecBlade安全业务模块。SecBlade安全业务模块包括FW防火墙模块、IPS模块、SSL VPN模块、AFC异常流量清洗模块、ACG应用控制网关模块、LB负载均衡模块等，可以插卡形式部署在H3C核心交换机/路由器上。从而实现了网络与安全的深度融合，同时具有很高的可靠性。在安全模块出现故障时，业务流量自动绕行，避免了单点故障带来的风险，满足了银行数据中心对高可靠性的要求。

　　数据中心之攻击防护

边界访问控制

　　H3C防火墙具有完善的隔离控制能力和安全防范能力。通过在核心交换机上部署防火墙模块，利用虚拟化防火墙功能, 实现不同安全区域间、不同应用层次间和不同服务器间多种粒度级别的安全隔离，从而在整体上保证了所有接入设备均受控于整体的安全策略。

　　深度智能防御

　　银行数据中心通常具有互联网出口，因此面临着来自互联网的各种攻击和威胁。如DDoS攻击、各种蠕虫、木马、病毒等。这些攻击直接威胁到银行数据中心能否稳定、安全地运行。

　　传统的防火墙设备由于工作在2～4层，无法实现对应用层攻击的深度检测。H3C入侵防御系统（IPS）集成入侵检测与防御、病毒防护、协议异常保护等功能，可以精确实时地识别并防御蠕虫、病毒、木马等网络攻击，防止攻击者对数据中心的破坏，保障敏感数据不被窃取以及业务的持续运行，从而达到对网络上运行的银行业务的保护、网络基础设施的保护和网络性能的保护。

流量清洗

　　针对DDoS攻击，H3C AFC（Anomaly Flow Cleaner）产品通过静态漏洞攻击特征检查、动态规则过滤、异常流量限速和H3C 独创的“基于用户行为的单向防御”技术，实现多层次安全防护，精确检测并阻断各种网络层和应用层的DoS/DDoS攻击和未知恶意流量，包括SYN Flood、UDP Flood、ICMP Flood、CC、DNS Query Flood、HTTP Get Flood等，支持线速的流量清洗，保护用户免遭海量分布式拒绝服务 (DDoS) 攻击的威胁，实现前所未有的高性能安全防护。

　　方案中通过在Internet入口处部署高性能的SecBlade AFC，与iMC智能管理平台联动，实现对异常攻击流量的过滤，从而构建安全可靠的高性能网络，提升业务处理能力。

　　数据中心之应用加速

　　随着银行业务的快速发展，Web服务器性能瓶颈日趋凸现，为了解决诸如此类的性能问题， H3C 应用优化设备应运而生，它采用先进的连接管理技术进行TCP 卸载和传输层端到端优化，考虑到SSL、压缩、加密等更多并发处理，极大地提高了数据中心服务器的数据访问性能。

　　SecPath ASE系列是H3C公司推出的一款面向Web 应用的高性能应用加速硬件产品，它将web 加速、SSL 卸载和加速、压缩、TCP 优化、负载均衡等技术集成在一个硬件平台上，并且每个功能模块都是由专有的硬件芯片运行。利用全硬件加速处理技术来帮助企业提高应用性能，最大可使Web 服务器的性能提升10倍。

　　数据中心之负载均衡

　　H3C SecBlade LB(Load Balance)业务模块是一款高性能负载均衡产品，创新性地实现了应用优化与网络交换设备的完美融合。SecBlade LB通过对服务器、防火墙进行健康和性能检测，将各种应用访问进行动态均衡分发，极大地提高了访问速度,为企业和运营商网络提供了一个高性能的负载均衡解决方案。

　　H3C SecBlade LB业务模块提供丰富的健康检测技术，可以进行实时、高效的设备性能探测。同时提供了全面的负载均衡算法，可以根据不同应用场景，采用不同的负载均衡算法，确保服务器访问效率最大化。通过与H3C网络设备的深度融合，提供高密度的业务接口，并且支持多块模块，实现性能的平滑升级，满足银行数据中心对于高性能的业务需求。

　　数据中心之安全管理

　　H3C安全管理中心集成SecCenter、iMC，实现数据中心统一部署、监控和管理。

　　iMC可对网络设备、安全设备、服务器统一部署，SecCenter对数据中心所有设备和服务器的海量安全事件进行采集、分析、关联、汇聚和统一处理，实时输出安全报告，协助管理员及时掌握数据中心的安全状态。通过两者的组合将安全体系中各层次的安全产品、网络设备、用户终端等纳入到一个紧密“统一安全管理平台”，通过安全策略的集中部署、安全事件的深度感知和关联分析以及安全部件的协同响应，在现有安全设施的基础上构建一个智能安全防御体系，大幅提高银行数据中心的整体安全防御能力。