国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　用戶拜候數(shù)據(jù)中間，和數(shù)據(jù)中間直接的拜候流量城市導(dǎo)致南北向流量繼續(xù)增加，導(dǎo)致大年夜型數(shù)據(jù)中間出口帶寬流量會(huì)由今朝的超越200Gbps，到2015年將接近1Tbps的程度。數(shù)據(jù)中間中的利用類型變得愈來愈多樣化。

　　跟著互聯(lián)網(wǎng)及其相干利用財(cái)產(chǎn)的成長(zhǎng)，內(nèi)容更豐碩、辦事更深層的收集辦事供給商橫空出生避世。數(shù)據(jù)中間作為一個(gè)首要的收集辦事平臺(tái)，它經(jīng)由過程與骨干網(wǎng)高速連接，借助豐碩的收集資本向網(wǎng)站企業(yè)和傳統(tǒng)企業(yè)供給大年夜范圍、高質(zhì)量、安然靠得住的專業(yè)化辦事器托管等營業(yè)。

　　互聯(lián)網(wǎng)利用日趨深化，數(shù)據(jù)中間運(yùn)行環(huán)境正從傳統(tǒng)客戶機(jī)/辦事器向收集連接的中間辦事器轉(zhuǎn)型。受其影響，根本舉措措施框架下多層利用法度與硬件、收集、把持系統(tǒng)的關(guān)系變得更加復(fù)雜。這類復(fù)雜性也為數(shù)據(jù)中間的安然系統(tǒng)引進(jìn)良多不肯定身分，一些未實(shí)施準(zhǔn)確安然策略的數(shù)據(jù)中間，黑客和蠕蟲將順勢(shì)而進(jìn)。雖然大年夜大都系統(tǒng)治理員已熟諳到來自收集的歹意行動(dòng)對(duì)數(shù)據(jù)中間釀成的嚴(yán)重侵害，并且很大都據(jù)中間已擺設(shè)了依托拜候節(jié)制防御來獲得安然性的設(shè)備，但對(duì)日趨成熟和危險(xiǎn)的各類報(bào)復(fù)打擊手段，這些傳統(tǒng)的防御辦法仍然顯得力不從心。

　　高機(jī)能和虛擬化仍然是底子要求

　　當(dāng)然針對(duì)數(shù)據(jù)中間的安然辦事遍及各大年夜行業(yè)，乃至良多細(xì)分行業(yè)范疇，可是對(duì)數(shù)據(jù)中間的安然扶植要求仍是存在必然共性的。Fortinet中國區(qū)首席手藝參謀譚杰覺得，高機(jī)能和虛擬化是當(dāng)前數(shù)據(jù)中間安然防護(hù)解決方案的兩大年夜根本共性。譚杰進(jìn)一步詮釋道，數(shù)據(jù)中間，特別是云計(jì)較數(shù)據(jù)中間的海量營業(yè)，對(duì)安然系統(tǒng)的吞吐量、延遲和會(huì)話能力都提出了極高的要求。關(guān)頭點(diǎn)在于，數(shù)據(jù)中間中多租戶模式而導(dǎo)致的營業(yè)種類繁多的特點(diǎn)，很難事前對(duì)大年夜小數(shù)據(jù)包的比例進(jìn)行打算和設(shè)計(jì)，是以很是需要安然設(shè)備的機(jī)能對(duì)大年夜小包不敏感，即小包(如64字節(jié))機(jī)能與大年夜包不異。別的，云計(jì)較數(shù)據(jù)中間的虛擬化場(chǎng)景需要安然解決方案的杰出共同。例如：為每個(gè)租戶分派不合的虛擬安然設(shè)備及治理賬號(hào)，讓其自行治理，這就要求安然設(shè)備的虛擬化是完全的(包含接口、路由、策略、治理員等各類對(duì)象)。別的不合租戶的營業(yè)不合，對(duì)安然呵護(hù)的要求也各不不異。例如Web辦事商需要IPS，郵件辦事商需要反垃圾郵件，這就要求安然設(shè)備的所有功能都能在虛擬化以后正常工作。

　　對(duì)上述不雅點(diǎn)，華為安然產(chǎn)品線營銷工程師劉東徽也覺得，數(shù)據(jù)中間防火墻的機(jī)能要基于“真實(shí)流量”來看，而不是簡(jiǎn)單的在某一種特定類型數(shù)據(jù)流量環(huán)境下的機(jī)能。今朝數(shù)據(jù)中間的流量首要集中于東西向(數(shù)據(jù)中間內(nèi)數(shù)據(jù)互換)，而南北向(數(shù)據(jù)中間出口)流量較少?？墒且?yàn)檫B接要求的基數(shù)很大年夜，是以對(duì)防護(hù)設(shè)備的機(jī)能和并發(fā)連接數(shù)的撐持都要求相當(dāng)高。我們正處于一個(gè)大年夜數(shù)據(jù)的期間，80%-90%的數(shù)據(jù)都是近兩年產(chǎn)生的，而到2015年，全球的IP流量將會(huì)翻四倍，在耳目數(shù)也將沖擊30億人大年夜關(guān)。華為安然產(chǎn)品線營銷工程師石金利彌補(bǔ)道，虛擬化的產(chǎn)生，使得辦事器、存儲(chǔ)、帶寬等數(shù)據(jù)中間資本的操縱率大年夜幅晉升，而產(chǎn)生的影響就是可同時(shí)拜候資本的用戶數(shù)量極大年夜地膨脹，由此導(dǎo)致了數(shù)據(jù)中間防護(hù)設(shè)備對(duì)并發(fā)數(shù)量標(biāo)撐持要求更高。別的，當(dāng)數(shù)據(jù)中間的一臺(tái)辦事器宕機(jī)以后，防火墻要可以或許將安然策略動(dòng)態(tài)遷徙到冗余的辦事器上，實(shí)現(xiàn)主動(dòng)策略擺設(shè)。是以，數(shù)據(jù)中間防護(hù)設(shè)備必需要做到高機(jī)能、高靠得住性、矯捷擺設(shè)和可擴(kuò)大。

　　譚杰對(duì)高機(jī)能的需求方面也持認(rèn)同立場(chǎng)。他暗示，當(dāng)前的云數(shù)據(jù)中間對(duì)安然產(chǎn)品的機(jī)能要求達(dá)到了史無前例的高度，吞吐量動(dòng)輒高達(dá)百G以上，延遲、小包吞吐率 (包轉(zhuǎn)發(fā)率)、會(huì)話能力要求也極高。另外一方面，機(jī)房空間、能耗等也是制約數(shù)據(jù)中間成長(zhǎng)的首要身分。是以節(jié)能、環(huán)保、綠色也是數(shù)據(jù)中間安然扶植的一大年夜要求。

　　完全虛擬化仍是部門虛擬化?

　　今朝，業(yè)界對(duì)云數(shù)據(jù)中間內(nèi)部的虛擬化提出了完全虛擬化(即在虛擬化辦事器上的一個(gè)虛擬機(jī))和部門虛擬化(即一臺(tái)防火墻虛擬多臺(tái)防火墻)兩種編制來解決云數(shù)據(jù)中間虛擬機(jī)內(nèi)部流量和虛擬機(jī)之間流量的安然查抄標(biāo)題問題。

　　譚杰指出，在云計(jì)較期間，虛擬化的確成了防火墻(包含下一代防火墻、UTM等多功能網(wǎng)關(guān))的必備功能。安然擺設(shè)必需無縫貼合云計(jì)較虛擬化的布局。完全自力的虛擬化，全功能虛擬化。這兩點(diǎn)看似既簡(jiǎn)單又理所該當(dāng)，但實(shí)際實(shí)現(xiàn)仍是有較高手藝難度的，需要云計(jì)較數(shù)據(jù)中間的寄望。

　　華為的兩位工程師向記者暗示，華為在這兩個(gè)標(biāo)的目標(biāo)的虛擬防火墻解決方案上都在盡力。同時(shí)他們也暗示，純虛擬化的防火墻在開啟安然查抄的時(shí)辰會(huì)極大年夜地耗損辦事器的機(jī)能，也會(huì)帶來更高的治理和保護(hù)成本。其實(shí)，非論是廠商仍是用戶都在尋覓一個(gè)關(guān)于辦事器上純虛擬化防火墻和出口防火墻擺設(shè)的均衡點(diǎn)。

　　Hillstone首席參謀陳懷臨也向記者暗示，今朝的安然解決方案在東西向流量上趨于要求低延遲和高吞吐。而防火墻一般只用于檢測(cè)南北向的流量。特別是今朝Hadoop和存儲(chǔ)手藝的成長(zhǎng)，大年夜量的數(shù)據(jù)在多個(gè)數(shù)據(jù)中間之間快速地暢通。是以，對(duì)快速轉(zhuǎn)發(fā)提出了很高的要求，也導(dǎo)致了對(duì)東西向的流量不采取防火墻的現(xiàn)象。而本源是今朝沒有合適的產(chǎn)品知足這類高機(jī)能需求。他還舉了一個(gè)例子，從數(shù)據(jù)中間的收斂比來看，假定一個(gè)云數(shù)據(jù)中間做五萬個(gè)虛擬機(jī)的安然查抄需要200G的吞吐，而今朝并沒有性價(jià)比更好的防火墻。別的虛擬機(jī)之間的安然查抄與以往并沒有辨別，只是虛擬機(jī)的增加會(huì)對(duì)安然查抄提出更高的要求。

　　但是，陳懷臨對(duì)純虛擬化的防火墻其實(shí)不認(rèn)同?！笆芟抻谵k事器負(fù)載，高端的安然查抄其實(shí)不克不及在辦事器內(nèi)部做，仍是要將流量牽引出來?！标悜雅R如是說。是以，虛擬化的產(chǎn)生對(duì)真正高端的防火墻有很大年夜的需求，前提是代價(jià)可以接管。他夸大年夜，基于收集的安然必然是流量牽引出來查抄的編制，純虛擬化的防火墻是個(gè)偽命題。是以，流量只在虛擬機(jī)內(nèi)部做安然查抄，對(duì)大年夜范圍的數(shù)據(jù)中間很難做，其實(shí)不只是辦事器本身負(fù)載的標(biāo)題問題，IT運(yùn)維一致化也是重點(diǎn)，而此刻的數(shù)據(jù)中間恰好很難做到運(yùn)維一致化。是以，從最好實(shí)踐的角度來講，純虛擬化防火墻其實(shí)不合適，流量牽引出來才是王道。

　　零日?qǐng)?bào)復(fù)打擊防備新招數(shù)

　　針對(duì)系統(tǒng)缺點(diǎn)的利用報(bào)復(fù)打擊已成為數(shù)據(jù)中間面對(duì)的首要威脅。而縫隙發(fā)現(xiàn)到報(bào)復(fù)打擊的時(shí)候跨度愈來愈短，乃至來不及打補(bǔ)丁。數(shù)據(jù)中間應(yīng)若何應(yīng)對(duì)由利用縫隙產(chǎn)生的安然威脅呢?譚杰覺得，零日?qǐng)?bào)復(fù)打擊的泛濫使得數(shù)據(jù)中間不克不及依托單一功能的安然設(shè)備，特別是僅僅基于特點(diǎn)防御的安然產(chǎn)品。例如WAF(Web利用防火墻)同時(shí)經(jīng)由過程特點(diǎn)和行動(dòng)對(duì)報(bào)復(fù)打擊進(jìn)行防御，對(duì)Web辦事的呵護(hù)結(jié)果就好過IPS。用戶需要的安然解決方案要集多種安然特點(diǎn)(防火墻、IPS、病毒防御、DLP、內(nèi)容過濾等)于一身，并連絡(luò)利用層防馭手藝(如Web利用防護(hù)、數(shù)據(jù)庫安然等)，各項(xiàng)安然手藝有機(jī)連絡(luò)，彼此呵護(hù)，時(shí)刻監(jiān)控并防御APT報(bào)復(fù)打擊的各類進(jìn)侵手段，打造一個(gè)全方位立體安然系統(tǒng)。

　　陳懷臨也提出了本身的觀點(diǎn)。他覺得，傳統(tǒng)基于簽名的檢測(cè)編制對(duì)零日?qǐng)?bào)復(fù)打擊的防護(hù)并沒有起到很好的結(jié)果。此刻大年夜家遍及利用Sandbox(沙盒)來進(jìn)行摹擬，經(jīng)由過程虛擬實(shí)際的環(huán)境來查抄未知歹意軟件，對(duì)未知威脅或零日?qǐng)?bào)復(fù)打擊的防護(hù)，借用大年夜數(shù)據(jù)闡發(fā)的編制，對(duì)行動(dòng)進(jìn)行主動(dòng)辨認(rèn)，將是下一個(gè)成長(zhǎng)標(biāo)的目標(biāo)。大年夜數(shù)據(jù)與收集安然的連絡(luò)也將是收集安然的下一個(gè)春季。當(dāng)然，假定要將全數(shù)的鑒定都基于行動(dòng)是不是異常來進(jìn)行，在建模和大年夜數(shù)據(jù)的闡發(fā)上都是難點(diǎn)。別的，因?yàn)榉阑饓Ρ匦枋窃诠歉陕飞系?，是以?duì)機(jī)能和不變性的要求都很高。當(dāng)然對(duì)硬件平臺(tái)也提出了新的挑戰(zhàn)，但倒是一個(gè)可行的標(biāo)的目標(biāo)，而Hillstone希看引領(lǐng)這個(gè)潮流。 事實(shí)上，一些安然軟件廠商已將基于行動(dòng)的闡發(fā)用尷尬刁難未知歹意軟件的安然查抄當(dāng)中，并且結(jié)果很好。但是，因?yàn)榇竽暌箶?shù)據(jù)也只是新興概念，基于大年夜數(shù)據(jù)的行動(dòng)闡發(fā)事實(shí)價(jià)值幾何，還需要時(shí)候的驗(yàn)證。

　　本地防御和云清洗搭建DDoS防御網(wǎng)

　　今朝市場(chǎng)上良多廠商的防火墻中都含有Anti-DDoS功能，但是，防火墻和IPS是不是可以有效呵護(hù)收集舉措措施免受DDoS侵害呢?石金利覺得，假定防火墻中的Anti-DDoS功能不是伶仃的板卡，是不克不及防御DDoS報(bào)復(fù)打擊的。對(duì)DDoS的防護(hù)，必需要利用專用的Anti-DDoS設(shè)備。作為電信運(yùn)營商流量清洗營業(yè)的合作火伴，合泰云天初創(chuàng)人郭慶暗示，防火墻與進(jìn)侵檢測(cè)IPS凡是串行擺設(shè)在收集下流的網(wǎng)關(guān)位置，是基于狀況檢測(cè)的拜候節(jié)制系統(tǒng)，本身就是 DDoS的一個(gè)報(bào)復(fù)打擊方針，在設(shè)備新建連接與狀況連接耗盡時(shí)成為收集瓶頸。DDoS防護(hù)的最好實(shí)踐應(yīng)當(dāng)是：流量清洗中間與運(yùn)營商BGP路由調(diào)劑節(jié)制。

　　石金利覺得，假定防火墻中的Anti-DDoS功能不是伶仃的板卡，一旦開啟DDoS防護(hù)功能，可能會(huì)對(duì)防火墻的根基轉(zhuǎn)發(fā)，乃至?xí)挶淼荣Y本造成巨大年夜的耗損，造成機(jī)能極大年夜降落。對(duì)DDoS的防護(hù)，必需要利用專用的Anti-DDoS設(shè)備或?qū)ｉT的板卡。對(duì)滿帶寬的DDoS報(bào)復(fù)打擊，在鏈路上游對(duì)流量的清洗是DDoS防御最為有效的編制。但是，從統(tǒng)計(jì)數(shù)據(jù)來看，數(shù)據(jù)中間產(chǎn)生的報(bào)復(fù)打擊90%以上不足以造成數(shù)據(jù)中間出口帶寬堵塞，根基是以營業(yè)癱瘓型報(bào)復(fù)打擊為主，只有10%不到的報(bào)復(fù)打擊是將數(shù)據(jù)中間的鏈路完全堵塞的。

　　是以，假定是利用型的DDoS報(bào)復(fù)打擊，因?yàn)榱髁吭诒镜貛捁?jié)制以內(nèi)，所以本地清洗便可，一旦碰著針對(duì)根本舉措措施的大年夜流量堵塞型泛洪報(bào)復(fù)打擊，在鏈路上游的清洗仍是需要手段。最完美的編制是將數(shù)據(jù)中間側(cè)和運(yùn)營商側(cè)進(jìn)行聯(lián)動(dòng)，實(shí)現(xiàn)分層防御。即運(yùn)營商側(cè)管道堵塞型報(bào)復(fù)打擊，數(shù)據(jù)中間側(cè)防備營業(yè)癱瘓型DDoS報(bào)復(fù)打擊。華為的 Anti-DDoS解決方案今朝在運(yùn)營商側(cè)有遍及利用，連絡(luò)數(shù)據(jù)中間側(cè)的Anti-DDoS可以實(shí)現(xiàn)全網(wǎng)聯(lián)動(dòng)的“云清洗”計(jì)謀。

　　跟著黑客手藝成長(zhǎng)、收集帶寬的遍及增加、僵尸主機(jī)數(shù)量標(biāo)不竭擴(kuò)大年夜，此刻的營業(yè)癱瘓型報(bào)復(fù)打擊也不再是之前的百兆級(jí)別的了。在2012年，發(fā)現(xiàn)數(shù)起千兆級(jí)別的 CC報(bào)復(fù)打擊，是以高機(jī)能是數(shù)據(jù)中間DDoS防護(hù)方案的重點(diǎn)。同時(shí)，對(duì)報(bào)復(fù)打擊防護(hù)的設(shè)備精準(zhǔn)度也必不成少。一方面，可以或許精準(zhǔn)辨認(rèn)每次報(bào)復(fù)打擊;另外一方面，誤判更是客戶不克不及容忍的。此刻，智能終端的遍及利用會(huì)給傳統(tǒng)的防護(hù)設(shè)備帶來更多的挑戰(zhàn)，若何包管智能終端拜候不受影響成為新的課題。

　　郭慶覺得，當(dāng)然造成鏈路癱瘓的報(bào)復(fù)打擊數(shù)量上少于出口帶寬，但恰是這類DDoS報(bào)復(fù)打擊對(duì)數(shù)據(jù)中間系統(tǒng)，乃至全部數(shù)據(jù)中間造成致命危險(xiǎn)。這時(shí)候，數(shù)據(jù)中間需要考慮投進(jìn)產(chǎn)出比，當(dāng)然不克不及一味地增加對(duì)DDoS防護(hù)的投進(jìn)。當(dāng)問及數(shù)據(jù)中間在DDoS防護(hù)上的投進(jìn)應(yīng)當(dāng)若何做預(yù)算時(shí)，郭慶說道：“數(shù)據(jù)中間一年遭到DDoS大年夜面積影響的總小時(shí)數(shù)期間損掉利潤(rùn)的20%-30%作為流量清洗投資的預(yù)算較為合適?！?/P>

　　他談到在大年夜范圍DDoS報(bào)復(fù)打擊產(chǎn)生時(shí)，全部收集的上下流均呈現(xiàn)故障，實(shí)現(xiàn)最好的防御結(jié)果需要三個(gè)前提：1. 有經(jīng)驗(yàn)和手藝的清洗專家; 2. 與上游運(yùn)營商的熱線機(jī)制; 3. 快速檢測(cè)報(bào)復(fù)打擊改變與應(yīng)急災(zāi)備能力。云清洗是DDoS防護(hù)的大年夜趨勢(shì)，短長(zhǎng)的DDoS報(bào)復(fù)打擊者手法多，改變快，經(jīng)常需要定制正則語法來清洗，大年夜范圍報(bào)復(fù)打擊的清洗位置越接近上游越好。云清洗辦事商需要具有自治域AS號(hào)進(jìn)行BGP路由調(diào)劑節(jié)制與DNS全網(wǎng)策略節(jié)制能力，才能帶給客戶杰出的收集辦事品質(zhì)。

　　他進(jìn)一步闡述道：頁面被竄改，數(shù)據(jù)泄漏這類工作客戶是不會(huì)找運(yùn)營商的，通常為本身關(guān)起門來籌議對(duì)策。所以運(yùn)營商在上游只需清洗大年夜流量報(bào)復(fù)打擊，清洗開通后的關(guān)頭是避免誤殺正常營業(yè)，這方面運(yùn)營商需要專業(yè)的清洗手藝辦事。不外比來一些新型的報(bào)復(fù)打擊導(dǎo)致客戶系統(tǒng)供給不了辦事，如拜候犯錯(cuò)、頁面拜候遲緩，客戶也會(huì)找到運(yùn)營商一路鑒定措置。這些新型的報(bào)復(fù)打擊良多時(shí)辰對(duì)機(jī)能有較大年夜影響，嚴(yán)重的時(shí)辰引發(fā)系統(tǒng)會(huì)宕機(jī)，有時(shí)很難快速分清現(xiàn)象本源，這也是需要專業(yè)清洗手藝辦事的啟事。

　　郭慶還夸大年夜，云清洗是DDoS防御最終的成長(zhǎng)標(biāo)的目標(biāo)，大年夜范圍DDoS清洗標(biāo)的目標(biāo)是運(yùn)營商主導(dǎo)的云清洗聯(lián)盟機(jī)制，中小范圍DDoS清洗標(biāo)的目標(biāo)是云清洗專業(yè)辦事商。

　　今天，以云數(shù)據(jù)中間為依托供給各類辦事的商業(yè)模式已日漸開闊爽朗。是以，云數(shù)據(jù)中間本身的可用性一向是營業(yè)永續(xù)運(yùn)行的關(guān)頭身分，談云的信息安然威脅，起首要在可用性的前提下才能進(jìn)一步解決信息的完全性與保密性方面的標(biāo)題問題。

　　譚杰指出，安然鴻溝的恍惚使得內(nèi)網(wǎng)安然與外網(wǎng)安然劃一首要。是以建議數(shù)據(jù)中間構(gòu)建者做到以下四件事：第一，可以或許嚴(yán)格地按區(qū)域劃分，不合的租戶，不合的利用劃分至不合的安然域，利用安然產(chǎn)品進(jìn)行隔離與呵護(hù);第二，擺設(shè)端到端的安然防馭手段。例如運(yùn)行在VM上的安然設(shè)備，可以將防御能力擺設(shè)到每臺(tái)物理辦事器上;第三，對(duì)收集拜候行動(dòng)進(jìn)行嚴(yán)格治理。經(jīng)由過程手藝和治理手段規(guī)范BYOD行動(dòng)，對(duì)僵尸收集、收集濫用等進(jìn)行有效防御;第四，利用多功能安然網(wǎng)關(guān)(以下一代防火墻或UTM)來替代傳統(tǒng)防火墻，在呵護(hù)營業(yè)流量時(shí)，出于機(jī)能考慮，可能只會(huì)用到防火墻、IPS等功能，但在呵護(hù)治理流量時(shí)，可啟用二至七層的多種安然功能(防病毒、利用節(jié)制、BYOD治理、內(nèi)容過濾、數(shù)據(jù)泄漏防護(hù)、VPN等)。營業(yè)流和治理流劃分至不合的虛擬設(shè)備中，包管各自的自力性。

　　石金利在采訪最后暗示，在大年夜數(shù)據(jù)成長(zhǎng)的驅(qū)動(dòng)下，將來高機(jī)能數(shù)據(jù)中間防火墻會(huì)在兩個(gè)方面成長(zhǎng)。第一，大年夜型數(shù)據(jù)中間或云數(shù)據(jù)中間中，用戶拜候數(shù)據(jù)中間，和數(shù)據(jù)中間直接的拜候流量城市導(dǎo)致南北向流量繼續(xù)增加，導(dǎo)致大年夜型數(shù)據(jù)中間出口帶寬流量會(huì)由今朝的超越200Gbps，到2015年將接近1Tbps的程度。第二，數(shù)據(jù)中間中的利用類型變得愈來愈多樣化。數(shù)據(jù)中間流量傳輸不但會(huì)在用戶與設(shè)備間(如網(wǎng)頁瀏覽)，也可能存在于用戶與用戶間(如社交軟件)，和設(shè)備與設(shè)備(如GPS)之間。接進(jìn)數(shù)據(jù)中間的設(shè)備類型也變得加倍多種多樣。同時(shí)，伴隨虛擬化的成長(zhǎng)，進(jìn)一步復(fù)雜化了營業(yè)模型。作為放置在數(shù)據(jù)中間出口的防火墻，需要適應(yīng)在加倍復(fù)雜的利用流量模型下供給更高的措置機(jī)能，以適應(yīng)大年夜數(shù)據(jù)成長(zhǎng)。