互联网数据中心,又称IDC(Internet Data Center),是伴随着互联网发展的需求而发展起来的,为企业、应用服务提供商、内容服务提供商、系统集成商、ISP等提供大规模、高质量、安全可靠的服务器托管、租用以及ASP等增值服务的业务。由于IDC用户的数据及信息的敏感性,一直以来一直是黑客侵入、盗取信息的主要目标,IDC内部的信息和数据一旦发生泄漏,将会对社会造成严重的不良影响。随着IDC业务的发展,服务水平的提高,出口带宽迅速增加,侵入IDC劫持主机对外发动满带宽流量攻击日益成为危害互联网安全运行的一种趋势。
IDC目前面临的安全威胁
DOS、DDoS、Syn Flood等攻击。从上述各种攻击情况分析,上述攻击主要为来自IDC外部的流量攻击,是近几年来主要攻击形式。通过肉鸡发动连接包进行攻击,侵占IDC出口带宽,侵占主机处理能力为特征,称为:分布式拒绝服务攻击。此种攻击往往造成IDC出口流量带宽被大量占用,造成IDC访问速度严重降低,严重影响IDC的服务质量;同时IDC内主机因大量非法访问造成严重负荷,降低CPU处理能力,直至出现主机宕机,退出服务,严重地影响了IDC的服务质量。
黑客侵入,劫持主机。当前,随着IDC业务的发展、服务质量的提高,出口带宽的大大增加,采用肉鸡发动流量攻击侵占IDC出口带宽的行为成本日益上升,当前IDC的主要威胁已从外部发动对IDC流量攻击,转变为侵入IDC内部,劫持IDC内部主机,,种植病毒,利用IDC出口带宽向外发动流量攻击,实现“零成本”攻击,日渐成为危害互联网络安全的一个新的趋势。由于黑客侵入IDC劫持主机后,所发动的流量攻击的主机IP地址为IDC所有的网络地址段,由此给IDC运营商的声誉造成严重、恶劣的影响,有时甚至酿成恶性的政治事故。
黑客利用各种漏洞的侵入。随着互联网业务的发展和普及,随之而来的威胁互联网安全运营的黑客侵入行为一直困扰着互联网中的每一个部分。作为互联网重要节点的IDC也不能幸免。系统的、网络的,安全上的各种漏洞,使黑客趁机侵入IDC,劫持主机,盗取重要数据和信息,严重危害IDC网内用户的信息安全。有的黑客侵入IDC内部的政府及企事业单位门户网站,发布虚假信息,扰乱社会秩序;有的黑客侵入金融系统,盗取钱财;盗取公民个人信息,影响人民生活;侵入游戏网站,盗取有些装备,造成不必要的商业纠纷;利用中小网站的漏洞,劫持网站,勒索钱财等等行为,为IDC的安全运营蒙上了阴影。
IDC的安全需求
双向阻断DoS、DDoS、Syn Flood 等攻击流量。在IDC网络出口处,采用能提供双向攻击流量阻断能力的网络设备,即阻断来自外部的流量攻击,同时也要能阻断IDC内部主机对外发动的攻击流量,作为IDC对抗攻击流量的最后一道防线,网络安全设备应具备双向防护能力,确保IDC主机不会遭到大量非法访问时宕机,退出服务。
有效阻断侵入的危害行为。IDC网络出口上的安全设备必须能有效地阻断侵入的危害行为,保护IDC主机和内部数据的安全。通过比对各种侵入的行为特征库、分析协议异常、识别各种网络病毒蠕虫等能有效识别各种非法访问和侵入行为。及时发现网络上的、系统中的各种漏洞,提前做好准备,有效的防止在漏洞修补前产生的各种侵害行为。
McAfee 万兆级网络安全平台IDC安全防护解决方案
McAfee发布了其万兆级的入侵防护产品IntruShield M8000系列,该产品是电信级的入侵防产品,集性能和安全防护能力于一身,也是业内具备防拒绝服务和入侵防护的单一万兆级硬件平台。IDC在网络安全产品的选择需要考虑到产品防护能力和性能,以往的IDS、IPS产品很难满足IDC防护功能和性能的要求,并对各种拒绝服务攻击防护能力有限;而拒绝服务攻击产品缺乏有效的入侵防护功能和双向防护能力。迈克菲公司推出的M8000系列产品充分考虑到IDC的安全防护需求,产品采用专为网络入侵防护设计的ASIC芯片,能够提供双向的抗拒绝服务攻击和入侵防护功能。由于产品采用ASIC架构设计,其网络延时仅有110 us,在性能和功能上满足IDC的安全需求,是一款电信级的入侵防护产品。该产品还可以为IDC用户提供虚拟IPS和虚拟防火墙功能,运营商可以为其IDC用户按安全需求配置不同的入侵防护策略和防火墙策略,同时M8000还提供按虚拟单元的抗拒绝服务攻击防护策略,采用专利的抗拒绝服务技术提供精细化的防护,确保用户应用在拒绝服务攻击发生时不受攻击流量的困扰。迈克菲公司的M 8000 系列产品不仅能够为IDC用户提供各种安全防护而且其虚拟技术还为IDC的安全精细化运营提供了很好的选择。
