数据中心安全防护亟待突破现状

全功能虚拟化。这两点看似既简单又理所应当，但实际实现还是有较高技术难度的，需要云计算数据中心的注意。

 

　　华为的两位工程师向记者表示，华为在这两个方向的虚拟防火墙解决方案上都在努力。同时他们也表示，纯虚拟化的防火墙在开启安全检查的时候会极大地消耗服务器的性能，也会带来更高的管理和维护成本。其实，不论是厂商还是用户都在寻找一个关于服务器上纯虚拟化防火墙和出口防火墙部署的平衡点。

 

　　Hillstone首席顾问陈怀临也向记者表示，目前的安全解决方案在东西向流量上趋于要求低延迟和高吞吐。而防火墙一般只用于检测南北向的流量。尤其是目前Hadoop以及存储技术的发展，大量的数据在多个数据中心之间快速地流通。因此，对于快速转发提出了很高的要求，也导致了对于东西向的流量不采用防火墙的现象。而根源是目前没有合适的产品满足这种高性能需求。他还举了一个例子，从数据中心的收敛比来看，如果一个云数据中心做五万个虚拟机的安全检查需要200G的吞吐，而目前并没有性价比更好的防火墙。另外虚拟机之间的安全检查与以往并无区别，只是虚拟机的增加会对安全检查提出更高的要求。

 

　　然而，陈怀临对于纯虚拟化的防火墙并不认同。“受限于服务器负载，高端的安全检查并不能在服务器内部做，还是要将流量牵引出来。”陈怀临如是说。因此，虚拟化的产生对于真正高端的防火墙有很大的需求，前提是价格可以接受。他强调，基于网络的安全一定是流量牵引出来检查的方式，纯虚拟化的防火墙是个伪命题。因此，流量只在虚拟机内部做安全检查，对于大规模的数据中心很难做，并不只是服务器本身负载的问题，IT运维一致化也是重点，而现在的数据中心恰恰很难做到运维一致化。因此，从最佳实践的角度来讲，纯虚拟化防火墙并不适合，流量牵引出来才是王道。

 

　　零日攻击防范新招数

 

　　针对系统缺陷的应用攻击已成为数据中心面临的主要威胁。而漏洞发现到攻击的时间跨度越来越短，甚至来不及打补丁。数据中心应如何应对由应用漏洞产生的安全威胁呢？谭杰认为，零日攻击的泛滥使得数据中心不能依赖单一功能的安全设备，尤其是仅仅基于特征防御的安全产品。例如WAF（Web应用防火墙）同时通过特征和行为对攻击进行防御，对Web服务的保护效果就好于IPS。用户需要的安全解决方案要集多种安全特性（防火墙、IPS、病毒防御、DLP、内容过滤等）于一身，并结合应用层防御技术（如Web应用防护、数据库安全等），各项安全技术有机结合，互相保护，时刻监控并防御APT攻击的各种入侵手段，打造一个全方位立体安全体系。

 

　　陈怀临也提出了自己的看法。他认为，传统基于签名的检测方法对于零日攻击的防护并没有起到很好的效果。现在大家普遍使用Sandbox（沙盒）来进行模拟，通过虚拟现实的环境来检查未知恶意软件，对于未知威胁或者零日攻击的防护，借用大数据分析的方式，对行为进行主动识别，将是下一个发展方向。大数据与网络安全的结合也将是网络安全的下一个春天。当然，如果要将全部的判断都基于行为是否异常来进行，在建模和大数据的分析上都是难点。另外，由于防火墙必须是在主干路上的，因此对于性能和稳定性的要求都很高。虽然对于硬件平台也提出了新的挑战，但却是一个可行的方向，而Hillstone希望引领这个潮流。 事实上，一些安全软件厂商已经将基于行为的分析用作对于未知恶意软件的安全检查之中，并且效果很好。然而，由于大数据也只是新兴概念，基于大数据的行为分析究竟价值几何，还需要时间的验证。

本地防御和云清洗搭建DDoS防御网

 

　　目前市场上很多厂商的防火墙中都含有Anti-DDoS功能，然而，防火墙和IPS是否可以有效保护网络设施免受DDoS侵害呢？石金利认为，如果防火墙中的Anti-DDoS功能不是单独的板卡，是不能防御DDoS攻击的。对于DDoS的防护，必须要使用专用的Anti-DDoS设备。作为电信运营商流量清洗业务的合作伙伴，合泰云天创始人郭庆表示，防火墙与入侵检测IPS通常串行部署在网络下游的网关位置，是基于状态检测的访问控制系统，本身就是 DDoS的一个攻击目标，在设备新建连接与状态连接耗尽时成为网络瓶颈。DDoS防护的最佳实践应该是：流量清洗中心与运营商BGP路由调度控制。

 

石金