陳興軍+王健

摘 要： 隨著互聯(lián)網(wǎng)和信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問題日益突出，特別是針對(duì)網(wǎng)站系統(tǒng)的多點(diǎn)掃描攻擊、利用最新漏洞0day攻擊等網(wǎng)絡(luò)攻擊行為日益嚴(yán)重。為保障政府、企業(yè)等各類組織網(wǎng)站系統(tǒng)的長(zhǎng)效安全運(yùn)行，筆者通過對(duì)當(dāng)前先進(jìn)、集約的安全云防護(hù)技術(shù)進(jìn)行了應(yīng)用研究和實(shí)踐，并對(duì)企業(yè)數(shù)據(jù)中心基于“云端”+“防御節(jié)點(diǎn)”方式的進(jìn)行了實(shí)際部署和應(yīng)用，較好地防止了系統(tǒng)“上云”導(dǎo)致企業(yè)內(nèi)部敏感數(shù)據(jù)泄露和在第三方商業(yè)機(jī)構(gòu)云端殘留核心數(shù)據(jù)的問題。通過以上安全云防護(hù)技術(shù)部署，既彌補(bǔ)了當(dāng)前傳統(tǒng)安全防護(hù)系統(tǒng)弱點(diǎn)，增強(qiáng)了網(wǎng)絡(luò)安全防護(hù)層級(jí)，又強(qiáng)化了網(wǎng)絡(luò)安全防護(hù)縱深，可有效降低網(wǎng)站系統(tǒng)受攻擊的風(fēng)險(xiǎn)，提升整體安全防護(hù)能力和水平。

關(guān)鍵詞： 數(shù)據(jù)中心； 安全云防護(hù)； 網(wǎng)站安全； 云防護(hù)技術(shù)

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2017）11-43-03

Research on application of secured cloud protection technology in enterprise data center

Chen Xingjun， Wang Jian

（Zhejiang Economic Information Center， Hangzhou， Zhejiang 310006， China）

Abstract： With the development of the Internet and information technology， network security problem has become increasingly prominent. Network attacks， especially the multi-point scanning attacks on the website system and 0day attacks of using the latest loopholes， are becoming increasingly serious. For the long-term safe operation of web site systems of governments， enterprises and other organizations， the author researches and practices on the application of current advanced， integrated secured cloud protection technology， and practically deploys the enterprise data center with the "cloud" + "defense node" mode， to effectively prevent the systems "on cloud" from resulting in leakage of internal sensitive data and residues of core data in the third party's clouds. Above deployment of secured cloud protection technology， makes up for the current traditional security protection system weaknesses， strengthens the network security protection level and depth， and can effectively reduce the risk of website system being attacked， and enhance the overall safety protection ability and level.

Key words： data center； secured cloud protection； website security； cloud protection technology

0 引言

如今網(wǎng)絡(luò)安全問題日益突出，能否及時(shí)發(fā)現(xiàn)并成功阻止黑客的入侵和攻擊、并保證互聯(lián)網(wǎng)系統(tǒng)的安全和正常運(yùn)行已成為政府、企業(yè)等各類組織所面臨的重要問題。特別是從當(dāng)前信息安全攻擊態(tài)勢(shì)（主要特點(diǎn)：多點(diǎn)掃描攻擊、利用最新漏洞0day攻擊等）分析，原有傳統(tǒng)的安全防御設(shè)施已無法適應(yīng)新的安全需求。因此，利用新技術(shù)（云防護(hù)技術(shù)），增加安全防護(hù)層級(jí)，強(qiáng)化安全防護(hù)縱深，來加強(qiáng)防御多點(diǎn)掃描攻擊、利用最新漏洞0day攻擊等能力越來越迫切。

1 安全云防護(hù)技術(shù)的應(yīng)用

安全云防護(hù)技術(shù)是利用云計(jì)算技術(shù)和傳統(tǒng)防御體系相結(jié)合，基于互聯(lián)網(wǎng)方式，為目標(biāo)網(wǎng)絡(luò)提供安全檢測(cè)、攻擊過濾等服務(wù)的網(wǎng)絡(luò)安全防護(hù)技術(shù)。通過將目標(biāo)網(wǎng)絡(luò)訪問流量引導(dǎo)到云端（即安全云平臺(tái)）進(jìn)行檢測(cè)，清洗和阻斷網(wǎng)絡(luò)攻擊或非法訪問后，再通過云端將流量重定向到目標(biāo)網(wǎng)絡(luò)，以此確保目標(biāo)網(wǎng)絡(luò)不受攻擊。云端（安全云防護(hù)平臺(tái)）通過互聯(lián)網(wǎng)海量攻擊特征大數(shù)據(jù)分析，能夠快速有效的識(shí)別和處理最新的SQL注入攻擊、文件包含攻擊、命令注入、跨站腳本攻擊等應(yīng)用層面攻擊行為，再是基于“云計(jì)算”海量計(jì)算能力和超大帶寬容量，能對(duì)CC攻擊、DDOS攻擊（大規(guī)模掃描攻擊）起到較好的垃圾流量清洗效果[1]。

2 企業(yè)級(jí)數(shù)據(jù)中心云防護(hù)技術(shù)應(yīng)用架構(gòu)

2.1 云防護(hù)部署網(wǎng)絡(luò)架構(gòu)

數(shù)據(jù)中心運(yùn)行了大量網(wǎng)站和匯集了企業(yè)數(shù)據(jù)，安全云防護(hù)技術(shù)應(yīng)用不僅需要考慮網(wǎng)站運(yùn)行安全，還要顧及企業(yè)內(nèi)部數(shù)據(jù)傳輸和存儲(chǔ)安全，需要防止“上云”導(dǎo)致企業(yè)內(nèi)部敏感數(shù)據(jù)泄露或在第三方商業(yè)機(jī)構(gòu)云端上殘留數(shù)據(jù)[2]。鑒于以上安全顧慮，企業(yè)級(jí)數(shù)據(jù)中心云防護(hù)技術(shù)應(yīng)用可基于“云端”+“防御節(jié)點(diǎn)”模式進(jìn)行部署，“云端”負(fù)責(zé)收集和進(jìn)行互聯(lián)網(wǎng)海量攻擊特征大數(shù)據(jù)分析，控制云防護(hù)體系的安全策略動(dòng)態(tài)更新和智能管理（即智能DNS功能、智能調(diào)節(jié)防御節(jié)點(diǎn)策略等），“防御節(jié)點(diǎn)”負(fù)責(zé)具體策略的實(shí)施控制和對(duì)數(shù)據(jù)流量過濾（即承擔(dān)監(jiān)測(cè)、監(jiān)測(cè)、阻斷、隔離等），實(shí)行本地部署，防止企業(yè)內(nèi)部數(shù)據(jù)流出數(shù)據(jù)中心范圍，滿足數(shù)據(jù)可控性要求[3]。endprint

2.2 云防護(hù)系統(tǒng)軟件架構(gòu)

云防護(hù)系統(tǒng)軟件，主要包括：智能DNS系統(tǒng)、數(shù)據(jù)分析處理系統(tǒng)、配置管理系統(tǒng)、防護(hù)系統(tǒng)等軟件模塊組成，功能邏輯框架見圖2。

智能DNS系統(tǒng) 依托于云端，提供DNS解析服務(wù)。通過域名CNAME記錄對(duì)目標(biāo)網(wǎng)站系統(tǒng)進(jìn)行流量牽引，將互聯(lián)網(wǎng)流量引導(dǎo)到云防護(hù)體系；通過智能DNS探查功能，實(shí)現(xiàn)對(duì)防御節(jié)點(diǎn)運(yùn)行狀態(tài)監(jiān)測(cè)（包括：CPU、內(nèi)存、磁盤占用、Load狀態(tài)、內(nèi)外網(wǎng)流量、HTTP訪問的QPS等）[4]，在防御節(jié)點(diǎn)負(fù)載過重或突發(fā)故障時(shí)，流量智能調(diào)度和引導(dǎo)到目標(biāo)網(wǎng)站，防止因其異常導(dǎo)致系統(tǒng)服務(wù)中斷等。

數(shù)據(jù)分析處理系統(tǒng) 依托于云端，提供收集和進(jìn)行互聯(lián)網(wǎng)海量攻擊特征大數(shù)據(jù)分析服務(wù)。通過對(duì)防御節(jié)點(diǎn)回傳的異常訪問特征進(jìn)行大數(shù)據(jù)分析，形成最新的攻擊特征庫，為云端安全策略提供依據(jù)；通過對(duì)防御節(jié)點(diǎn)回傳的有關(guān)日志進(jìn)行大數(shù)據(jù)分析，形成網(wǎng)站系統(tǒng)安全態(tài)勢(shì)情況等。

配置管理系統(tǒng) 依托于云端，提供防御節(jié)點(diǎn)安全策略配置管理（包括：最新規(guī)則庫實(shí)時(shí)更新、高危IP信息、分類安全策略庫等）和目標(biāo)網(wǎng)站系統(tǒng)策略應(yīng)用管理和有關(guān)配置。

防護(hù)系統(tǒng) 部署在本地，對(duì)網(wǎng)絡(luò)流量進(jìn)行清洗和安全檢查過濾等。防護(hù)系統(tǒng)由惡意請(qǐng)求攔截引擎和緩存組成，通過讀取配置信息，惡意請(qǐng)求攔截引擎會(huì)調(diào)用相應(yīng)的檢測(cè)模塊（例如CC攻擊檢測(cè)、規(guī)則檢測(cè)、智能攻擊識(shí)別、各類訪問控制模塊等）對(duì)請(qǐng)求進(jìn)行過濾，同時(shí)，還會(huì)依據(jù)配置信息判斷是否將請(qǐng)求轉(zhuǎn)入緩存響應(yīng)，提高請(qǐng)求響應(yīng)效率。防護(hù)原理見圖3。

3 結(jié)束語

在數(shù)據(jù)中心應(yīng)用云防護(hù)技術(shù)，可強(qiáng)化數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)縱深，增強(qiáng)安全防護(hù)層級(jí)，有效降低目標(biāo)網(wǎng)站系統(tǒng)受攻擊的風(fēng)險(xiǎn)，提升整體安全防護(hù)能力和水平。但數(shù)據(jù)中心部署云防護(hù)涉及到云防護(hù)體系平臺(tái)建設(shè)、云防護(hù)軟件研發(fā)、安全防御規(guī)則長(zhǎng)期研發(fā)和更新，需大規(guī)模投入。企業(yè)數(shù)據(jù)中心在建設(shè)和應(yīng)用云防護(hù)技術(shù)時(shí)，如何結(jié)合自身互聯(lián)網(wǎng)線路資源和專業(yè)機(jī)房?jī)?yōu)勢(shì)，整合專業(yè)安全云防護(hù)技術(shù)服務(wù)商技術(shù)資源，“聯(lián)合共建、共享共用”方式為依托于數(shù)據(jù)中心運(yùn)行的各網(wǎng)站系統(tǒng)提供更優(yōu)質(zhì)的網(wǎng)絡(luò)安全增值服務(wù)，保障數(shù)據(jù)中心安全運(yùn)行，有待進(jìn)一步實(shí)踐。

參考文獻(xiàn)（References）：

[1] 周漢辰，周北望.網(wǎng)絡(luò)安全縱深防御體系技術(shù)研究[J].有線電

視技術(shù)，2015.4：16

[2] 鄭長(zhǎng)亮.基于云計(jì)算的網(wǎng)絡(luò)安全防御技術(shù)研究[J].數(shù)字技術(shù)

與應(yīng)用，2014.5：201

[3] 廖堅(jiān).云計(jì)算環(huán)境下租戶數(shù)據(jù)安全與隱私保護(hù)機(jī)制研究[J].

數(shù)字技術(shù)與應(yīng)用，2014.5：192

[4] 李文正.基于智能DNS的網(wǎng)絡(luò)負(fù)載均衡的研究[J].食品科學(xué)

技術(shù)學(xué)報(bào)，2008.26：57

[5] 王慶波，金涬.虛擬化與云計(jì)算[M].電子工業(yè)出版社，2011.endprint