IT云數(shù)據(jù)中心安全解決方案

1、IT云數(shù)據(jù)中心安全解決方案技術(shù)創(chuàng)新，變革未來ThreatCloud威脅云平臺(tái)數(shù)據(jù)中心整理安全方案Internet接入線路部署Check Point抗拒絕服務(wù)攻擊；引入Check Point全球威脅云協(xié)同防御未知攻擊流量；部署下一代防火墻，整合Firewall內(nèi)網(wǎng)映射和IDS入侵檢測技術(shù)；Firewall支持IPSec VPN技術(shù)，實(shí)現(xiàn)虛擬專線接入；整合全球威脅云實(shí)時(shí)更新IDS檢測簽名庫旁路部署Check Point 防僵尸網(wǎng)絡(luò)、病毒監(jiān)控、入侵檢測刀片，有效監(jiān)控生產(chǎn)網(wǎng)可能存在的惡意流量僅基于流量鏡像方式，避免影響生產(chǎn)網(wǎng)絡(luò)建設(shè)運(yùn)維管理區(qū)域，部署Firewall實(shí)現(xiàn)運(yùn)維主機(jī)的訪問限制，避免非授權(quán)訪問

2、安全設(shè)備部署Check Point集中管理設(shè)備，集中管理全網(wǎng)Firewall部署Check Point 安全事件分析引擎，實(shí)現(xiàn)全網(wǎng)安全事件統(tǒng)一分析報(bào)告，安全事件定位及響應(yīng)數(shù)據(jù)中心互聯(lián)網(wǎng)接入?yún)^(qū)安全Check Point 鑒于目前日趨頻繁的DDoS拒絕服務(wù)攻擊，建議在數(shù)據(jù)中心Internet出口位置部署2臺(tái)Check Point DDOS 設(shè)備;數(shù)據(jù)中心需要在Internet出口位置提供內(nèi)網(wǎng)服務(wù)，要求具有NAT Firewall功能，隨著內(nèi)部不段有應(yīng)用發(fā)布到公網(wǎng)上以及大量的客戶端用戶訪問進(jìn)來，既要做到安全策略的控制之外，同時(shí)也防御來自外面對內(nèi)部網(wǎng)絡(luò)的入侵。數(shù)據(jù)中心核心生產(chǎn)安全事件監(jiān)控考慮到數(shù)據(jù)中心

3、以及行情交易區(qū)有大量數(shù)據(jù)交換，通過旁路防火墻開啟多功能刀片有效的實(shí)時(shí)監(jiān)控內(nèi)部數(shù)據(jù)并進(jìn)行安全時(shí)間分析建議使用防僵尸網(wǎng)絡(luò)刀片、病毒監(jiān)控刀片、入侵檢測刀片?？蓪?shí)現(xiàn)各個(gè)方向的異常流量檢測，特別是目前常見的APT攻擊源頭僵尸網(wǎng)絡(luò)通訊流量，此類流量異常隱蔽，通過對外聯(lián)行為分析以及外聯(lián)熱點(diǎn)區(qū)域跟蹤，實(shí)現(xiàn)僵尸網(wǎng)絡(luò)的監(jiān)控和防御。數(shù)據(jù)中心 運(yùn)維區(qū)域 方案Check Point建議設(shè)置運(yùn)維管理區(qū)域，在核心與運(yùn)維區(qū)網(wǎng)絡(luò)邊界放置2臺(tái)Check Point 4800防火墻，有效控制區(qū)域網(wǎng)絡(luò)之間的訪問，將不必要的非授權(quán)訪問全部阻斷。建議部署1臺(tái)Check Point Smart-1 管理服務(wù)器，用于集中管理整個(gè)數(shù)據(jù)中心防火

4、墻設(shè)備的策略，另外可以統(tǒng)一收集防火墻所有日志便于實(shí)時(shí)查詢流量及設(shè)備狀態(tài)。同時(shí)，配置Check Point SmartEvent 安全事件關(guān)聯(lián)分析引擎，實(shí)現(xiàn)對IPS/IDS、防病毒、防僵尸網(wǎng)絡(luò)、數(shù)據(jù)泄露等惡意事件的實(shí)時(shí)監(jiān)控，并可為運(yùn)維人員提供安全事件報(bào)表。辦公上網(wǎng)區(qū)域 安全方案辦公區(qū)域部署防火墻有效的防御本區(qū)域的數(shù)據(jù)泄露，病毒入侵，并攔截來自內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的異常攻擊以及目前風(fēng)險(xiǎn)最高的僵尸網(wǎng)絡(luò)通訊流量。由于該區(qū)域存在重要文檔及資產(chǎn)，并且存在諸如外來人員、外包開發(fā)等各類場景，所以在Internet出口處需部署對應(yīng)安全防護(hù)刀片，如防病毒、防僵尸網(wǎng)絡(luò)、防入侵。安全設(shè)備 方案區(qū)域接入DDOS主干防火墻數(shù)據(jù)中

5、心（旁路監(jiān)控）運(yùn)維管理區(qū)辦公區(qū)型號DP4412CP 13500CP 12400CP 4800CP 12400大包吞吐4Gbps（應(yīng)用層吞吐，網(wǎng)絡(luò)層吞吐可達(dá)20G）77 Gbps25Gbps11Gbps25Gbps混合IMIX吞吐現(xiàn)實(shí)（模擬現(xiàn)實(shí)）4Gbps23.6Gbps9.1Gbps5.8Gbps9.1Gpbs并發(fā)4,000,000(用戶數(shù))28,000,0005,000,0003,300,0005,000,000新建洪水攻擊阻截率：10,000,000 時(shí)延：60 micro seconds 178,000110,00070,000110,000臺(tái)數(shù)22121本次項(xiàng)目 Check Point

6、 建議部署下一代防火墻，整合基本防火墻功能與高級安全刀片防護(hù)功能具體參數(shù)如下：共部署6臺(tái)Check Point防火墻、2臺(tái)抗DDoS設(shè)備以及數(shù)據(jù)中心級Smart-1 集中管理服務(wù)器；高級安全功能：Firewall、IDS/IPS、VPN、防病毒、防僵尸網(wǎng)絡(luò)、安全事件集中管理；全網(wǎng)安全策略 實(shí)現(xiàn)集中管理策略的可視化界面策略包歸并、優(yōu)化管理技術(shù)Firewall運(yùn)維實(shí)現(xiàn)流程管理統(tǒng)一的管理界面降低成本的同時(shí)實(shí)現(xiàn)安全管理可視化變更跟蹤降低防火墻策略誤操作風(fēng)險(xiǎn)靈活授權(quán)控制建立變更審批流程全面的審計(jì)及報(bào)表通過合規(guī)檢查變更操作過程Firewall運(yùn)維實(shí)現(xiàn)流程管理Who?Audit TrailWhat?When?How?Why?Review and Ap