企业建设趋势：数据中心安全

关注DDoS攻击

　　说到数据中心安全，另一个现象不可不提。随着Internet用户上网带宽的增加和互联网上多种DDoS黑客工具的不断发布，DDoS攻击的实施越来越容易，DDoS攻击事件正在呈上升趋势。由于商业竞争、打击报复和网络敲诈等多种因素，很多企业的数据中心长期以来一直为DDoS攻击所困扰。随之而来的是客户投诉、法律纠纷、客户流失等一系列问题。因此，解决DDoS攻击问题成为数据中心必须考虑的头等大事。

　　目前，针对数据中心的DDoS攻击主要分为两种，一种是基于弱点的攻击，主要是利用某个网络协议、应用设计或执行上的弱点。这种攻击一般产生的数据流量比较低，并且攻击数据包的类型和内容都比较特殊，很容易通过打补丁或使用防火墙/IPS等安全设备来进行检测和防御。典型的基于弱点的攻击有TearDrop、Land、Jolt、IGMPNuker、Boink、Smurf、Bonk、OOB等等。

　　另一种为基于泛洪的攻击，主要是针对资源的攻击，即通过大量攻击包导致网络带宽、主机的内存或CPU被耗尽而无法提供网络服务。这种攻击一般产生的数据流量都比较高，并且攻击数据流通常由合法的数据包组成，很难通过安全设备进行检测和防御。典型的泛洪攻击有SYNFlood、UDPFlood、ICMPFlood等等。

　　对此，大连瓦房店轴承集团的IT经理表示，对于制造企业而言，DDoS攻击对于企业的生产力有致命的影响。在此条件下要想确保企业数据中心的安全，只有从纵深防御的思路来部署防御措施。

　　根据美国《NetworkWorld》的统计，在对数据中心的大多数攻击事件中，攻击者和目标通常并非直接相连，两者要经过很多网络节点才能进行通信。所以瓦轴的安全专家采取了在受保护系统之前部署安全屏障的做法，以缓解系统的压力。这些措施包括：网络设备自身的服务与端口的加固；异常流量监控；防火墙系统部署；IPS系统部署；负载均衡设备的部署；主机加固。

　　瓦轴集团认为，网络设备自身的服务与端口的加固是所有防御措施中的重中之重。为此，他们在数据中心所有的路由器、交换机上进行了设备自身服务与端口的加固，如启用uRPF、设置访问控制列表（ACL）过滤。具体包括：远程登录访问列表限制；登录权限分级保护；开启设备日志功能；修改网管团体字符串；关闭不需要的网络服务；禁止源路由；关闭厂家专有协议；过滤RFC1918报文；关闭定向广播；关闭ICMP重定向；关闭ProxyARP；启用uRPF；ACL过滤蠕虫报文；启动路由验证功能。

　　此外，瓦轴集团在数据中心出口处部署异常流量监测系统，主动检测和追踪网络范围的异常现象，如分布式拒绝服务攻击和蠕虫等。这样一来，当异常流量发生时做到自动发现、记录以及告警。这就能为网络维护人员在网络还没受影响，服务还没发生问题和用户还没投诉时，提供快速解决这些安全威胁所需的信息资料。

　　据介绍，异常流量监测系统可以实时提供对数据中心网络异常的连续检测，系统具有自动学习的功能，可以从数据中心出口核心路由器上采集数据流来学习数据中心网络和用户的流量行为，从而形成适应数据中心网络和用户行为的正常流量模型。当网络中发现大的带宽突发或者说流量行为异常时，系统会自动捕捉并进行报警。对于一些明显的攻击性行为，如常见的DoS/DDoS攻击滥用即使在流量相对不大的情况下，异常流量监测模块也能够做到自动发现、记录以及告警。

　　瓦轴集团表示，防御DDoS还需要依赖防火墙的支持。先进的防火墙产品能够有效识别和处理数据包的深层内容，有助企业设置更加细致的过滤。为此，瓦轴集团选用了一些支持DDoS防御的防火墙，这些设备可以在很大程度上增强数据中心的防御能力，并且可以做到不对数据包进行完全检查就可以发现“恶意行为”。

　　根据IDC的建议，瓦轴集团在防火墙上作了如下配置：禁止对主机非开放服务的访问；限制同时打开的数据包最大连接数；限制特定IP地址的访问；启用防火墙的防DDoS的属性；严格限制对外开放的服务器的向外访问，以防止数据中心内的服务器被当作工具攻击他人。这样就可以更好地防御DDoS攻击。

　　此外，IPS、负载均衡和主机加固技术在业内被称作数据中心防御DDoS攻击的三驾马车，对此，瓦轴集团也相当看好，并打算在未来一年内陆续部署。据介绍，IPS串联在数据中心网络里，可以在跟踪流状态的基础上对报文的二层到七层进行深度检测并主动进行防御，在DDoS威胁发生前成功地检测并阻断。IPS也能够有效防御针对路由器、交换机、DNS服务器等网络重要基础设施的攻击，对数据中心提供最大限度安全保护。

　　用灵活性确保安全

　　对数据中心来说，无论是防御病毒、木马还是复杂的DDoS攻击，单纯的层层设防仍旧无法做到万无一失。有安全专家表示，在建设数据中心之初就采用灵活的部署模式，则可以大大降低数据中心所面临的安全风险。