数据中心安全的守护神

这几年数据中心得到了大力的发展，当企业在享受数据中心带来生产力提高的同时，其内在的数据中心安全建设也成为了业内的热点。让数据中心远离安全威胁，促使其在管理、运维上向安全靠拢，已经成为当前的信息安全建设的趋势。一直以来，数据中心都是一个安全措施严重不足的区域，层出不穷的安全威胁和日益增长的专利信息保护需求，企业必须为数据中心提供足够的安全保障，防止来自内外部的攻击。

就在刚刚过去的一年多的时间里，国内外的数据中心多次出现了严重的安全问题。2012年1月，在线零售商Zappos的客户数据库被入侵，黑客窃取了客户的姓名，住址，电话，邮件地址，信用卡后四位数字以及加密密码。2012年3月，LulzSec宣布“重生”，并侵入一家军方的交友网站----Military Singles.com，随后公开了超过16万会员的详细资料。2012年5月，Anonymous侵入了美国司法部连接司法统计局的网站服务器，获取了1.7GB的数据，并PO到Pirate Bin网站上。2012年8月，一个旨在删除文件的计算机病毒感染了沙特阿莫科石油公司的3万台工作站，导致临时性的系统关闭。另一家卡达尔液化石油气公司称，在8月份同样遭受了病毒软件的入侵，导致其系统关闭。12月，欧洲电力运输运营商遭受DDOS攻击，导致其网站和Email系统服务中断，尽管电力传输系统没有受到影响，但是仍在欧洲网络传输系统运营商协会的大会上进行了讨论。还有很多安全事件，在此不一一列举，可见数据中心面临的安全问题依然非常严峻。

抵御数据中心免受攻击的方法有不少：有杀毒软件、防火墙等，这其中当属防火墙最为专业。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络之间的唯一出入口，能根据数据中心的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有很高的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。在国家通信行业标准《防火墙设备技术要求》YD/T 1132-2001中，规定了防火墙设备的技术要求。主要包括：网络接口、包过滤、代理、NAT、日志与告警、管理、运行与维护以及技术性能指标等。一般防火墙可以分为三个基本类型：包过滤型；代理服务型；复合型。

防火墙产品从出现发展到现在经历了四代。第一代防火墙是基于路由器的防火墙，利用路由器本身对分组的解析，以访问控制表方式实现对分组的过滤；第二代防火墙使用用户化的工具套，将过滤功能从路由器中独立出来，并加上审计和告警功能，针对用户需求，提供模块化的软件包；第三代防火墙装有专用的代理系统，监控所有协议的数据和指令，保护用户编程空间和用户可配置内核参数的设置，安全性和速度大为提高。第四代防火墙具有操作系统的源代码，并可实现安全内核，可对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其它部份构成威胁。四代防火墙透明性好，易于使用。随着虚拟化技术的发展，现在防火墙也开始支持虚拟化技术，满足不用应用/租户对独立安全业务平面的需求。同时设备还可根据业务实际负载，动态调整每个虚拟防火墙的资源配给，更好的适应业务流量弹性变化的特点。

防火墙市场作为数据中心安全的最重要部分，占据着整个网络安全市场一半的份额，因此也是安全厂家必争之地。国内越来越多的网络设备厂商和其他一些厂商介入防火墙市场，眼前的防火墙市场有点像几年前的互联网，在国内崛起速度之快、在行业内影响之广都令人吃惊。到目前为止，国内的网络安全厂商已超过400家，大有赶超路由器、交换机的趋势，如此众多的厂商对于国内正在成长中的防火墙市场来说势必会产生一场激烈的竞争。国内防火墙厂商大致可分为两类，一类是以天融信等厂家为代表的专业安全厂商，他们只研发生产防火墙等安全产品；一类是以东软、联想、H3C、华为、方正、清华同方、清华紫光、D-Link等厂家为代表的国内着名IT企业，防火墙只作为其产品线中的一部分。国外防火墙厂商也对国内市场虎视眈眈。安全厂商赛门铁克，网络厂商思科、Juniper、Netgear等，但由于防火墙涉及到与国家利益相关的重要资料、国防安全的机密文件等举足轻重的信息的安全。所以在一些特定的行业和部门，国内品牌的防火墙是其唯一的选择，国外厂商受到使用的限制。

防火墙类似一堵城墙，主要功能是对整个网络的访问控制。比如防火墙可以屏蔽部分主机，使外部网络无法访问，同样可以屏蔽部分主机的特定服务，使得外部网络可以访问该主机的其它服务，但无法访问该主机的特定服务，在此基础上实现服务器与客户主机之间的授权互访、互通等功能。

在大数据发展的驱动下，未来高性能数据中心防火墙会在两个方面发展。第一：大型数据中心或者云数据中心出口带宽流量往往会达到数百Gbps，很快可能会突破1Tbps，需要转发能力超强的防火墙；第二：数据中心中的应用类型变得越来越多样化，数据中心流量传输不仅会在用户与设备间，也可能存在于用户与用户间，以及设备与设备之间。接入数据中心的设备类型也变得更加多种多样。作为放置在数据中心出口的防火墙，需要适应在更加复杂的应用流量模型下提供更高的处理性能，以适应大数据发展。

数据中心安全是一个永远的热门话题，防火墙在数据中心安全中充当着重要的角色，防火墙是数据中心安全的守护神，在未来数据中心的发展中将发挥越来越重要的作用。