本文介绍了互联网数据中心网络架构的主要特点和多层设计原则，分析了互联网数据中心面临的主要安全威胁，并对其安全规划和部署的实施提出了建议。

网络多层设计

本质上，互联网数据中心网络的多层设计原则是划分区域、层次和各自的安全防御任务的数据中心内部网络和主机元素按照一定的原则分为多个层次和部分，形成良好的逻辑层次和分区。

数据中心用户的业务可分为多个子系统，相互需要数据共享、业务互访、数据访问控制和隔离。根据业务相关性和流程需要，需要采用模块化设计，实现低耦合、高聚合，确保系统和数据的安全性、可靠性、灵活性和可扩展性，易于管理，根据相关性和管理需求将用户的整个I管理系统划分为多个业务部门系统，每个系统都有自己的核心交换、服务器、安全边界设备等，逐步访问控制，并采用不同级别的安全措施和保护手段。

互联网数据中心网络可以同时从各个方面划分层次和区域：

(1)根据内外部分流原则分层。

(2)按照业务模块隔离原则进行分区。

(3)

图1

1.

根据内外部分，数据中心网络可分为四层：互联网接入层、业务接入层和运维管理层。

最常见的分层最常见。

互联网接入层配置核心路由器，实现与互联网的互联，转换和维护互联网数据中心内外网络的路由信息，连接汇聚层的汇聚交换机，形成数据中心的网络核心。

聚合层配置聚合交换机，实现下聚合业务接入层各业务区域的接入交换机，并与核心路由器向上连接。该层部署了一些流量管理设备和安全设备。大客户或关键业务可直接访问聚合层交换机。

业务接入层通过接入交换机接入各业务区内部的各种服务器设备、网络设备等。

运维管理层一般独立形成网络，与业务网络隔离，通过运维管理层的接入和汇聚交换机连接管理子系统的各种设备。

1.

根据相关性、管理和安全保护的不同需要，数据中心网络可以分为不同的区域：互联网区域、访问区域、服务区域、管理区域、计算区域等，防火墙隔离可以保证相应的访问控制策略。

互联网域包括管理用户和访问应用程序的最终用户。

访问域为用户访问数据中心提供界面和借口，也称为非军事隔离区（DMZ）服务区域提供域名分析授权、IP地址识别转换等网络服务功能。计算领域提供计算服务，可根据安全要划分安全子域。管理领域提供安全管理、运营管理、业务管理等。

相对而言，计算域和管理域的安全级别最高，服务域和接入域次之，用户域最低。

三、

服务器资源是数据中心的核心，根据服务器服务功能将其分为可管理层次，打破单个服务器中所有功能的安全风险，提高可扩展性和可用性。

服务器层直接连接到接入设备，为客户提供IIS、服务器等应用。

应用层用于粘合用户的应用程序、后端数据库服务器或存储服务器，如Wblogc、J2EEE等中间件技术。

数据库层包含不同应用程序共享的所有数据库、存储和数据，如MS所有的Srerver、Srecl等。

不同网络区域之间的安全关系明确，每个区域都可以安全实施，不会干扰其他区域；最大限度地隔离故障区域，加快故障收敛时间，提高可用性；可根据不同区域和层次建设，业务部署灵活；网络结构清晰，易于管理。

互联网数据中心的安全威胁

入侵攻击、拒绝服务攻击(DOS)、分布式拒绝服务攻击(DDOS)和蠕虫病毒是互联网数据中心面临的最重要的3安全威胁。

数据中心网络安全防护部件众多，不同网络层次的安全设备相互合作，形成整个安全防护系统。数据中心网络基础设备的非法侵入和危害使侵入攻击具有很强的破坏性和隐蔽性，对网络设备的侵入可能会影响整个数据中心的安全防护系统。

Do内部僵硬的Do网络

利用软件系统设计的漏洞攻击应用，包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等。攻击者在获得漏洞主机的控制权后复制和传播病毒，在感染主机中设置后门或执行恶意代码，导致用户带宽资源被占用或数据中心增值业务受到威胁。由于其传播是基于现有的业务端口，传统的防火墙对此类攻击缺乏足够的检测能力。更严重的是，数据中心抵抗快速增长的应用；零日攻击问题。

互联网数据中心安全防护措施

为了保证互联网数据中心的安全，抵御各种威胁和攻击，需要在安全系统中联合使用各级安全技术，形成完善的安全预防系统。

3.

为了建立安全传输，虚拟专用网络(VP保证N)的访问技术无疑是一个交互式交互式交互式交互式交互式交互式交互式交互式交互式交互式交互式交互式交互式交互式交互式交互式交互式交互式交互式交互式交互式交互式交互式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交流式交

3.

数据中心对多个业务的需求使服务器与客户端之间的垂直流量大于服务器之间的水平流量。虚拟局域网需要将不同客户的不同业务与第二层隔离，并从第二层分配VLA。特殊的VLA安全级别可以有不同的端口：特殊端口与服务器连接，只能与混合端口通信；混合端口与路由器或交换机接口或共同端口通信；共同端口也可以相互通信，主要用于需要相互通信的客户。

3.

防火墙是数据网络中最基本的安全设备，可以隔离不同信任级别的安全区域，保护数据中心边界的安全，提供灵活的部署和扩展能力。Do提供了一个灵活的T合理系统。当DO业务需要多次攻击和多次攻击时，单次攻击和多次攻击的流量突然增加。因此，防止DO攻击和应用程序断裂，并且具有较大的功能要求和性能。目前，互联网数据中心对防火墙的关键需求是基于状态包装检测功能和虚拟防火墙。在实际网络环境下，可以实现AC带宽技术，动态决策技术可以通过流动状态检测技术提供更高的转发性能。在不能满足实际网络环境的情况下，可以实现虚拟防火墙的配置时控制，可以根据不同流量的基础设置相互无干扰的虚拟防火墙

目前足高可用性要求，大多数据中心实施双机部署或异构防火墙。

3.4 流量清洗

为了监控和保护相应服务器发起的DOS/DDO，可以在互联网数据中心的出口部署流量清洗设备，监控异常流量。发现攻击时，打开防御，拉出异常流量进行清洗，并将正常流量返回服务进行业务处理。

5.

入侵防御系统检测蠕虫、网络钓鱼、后门木马、间谍软件等应用层攻击，可在互联网数据中心出口和内部安全区域网络聚集层部署，积极提供保护，提前拦截入侵流量，与防火墙和安全网关设备形成从链路层到应用层的综合保护。互联网数据中心的应用流量挑战了入侵防御系统的性能，需要高精度、高效的入侵检测引擎和全面、及时的攻击特征库。

6.

为了满足互联网数据中心的运行要求，除了部署完善的网络安全基础设施外，还需要建立系统、多层次、可操作的安全管理系统，确保安全战略的集中部署、安全部件的统一管理、安全事件的高度相关性，提高数据中心的整体安全防御能力。

首先，制定正式、有效、全面的安全管理体系，严格检查安全管理机构和岗位设置。加强系统安全运行维护管理，定期进行设备检查、安全监督、漏洞扫描，及时采取安全事件处理措施，实现安全配置的自动管理。

在安全信息和事件管理方面，管理网络设备、主机服务器、数据库、应用系统、云平台本身管理节点的安全信息和事件，管理安全日志，管理操作日志、操作日志、故障日志，提供设备、主机、应用系统、漏洞、网络流量、主机资产等报告。

在用户身份认证和访问管理方面，应根据不同的用户级别设计相应的数据中心资源访问用户访问权限。用户访问级别权限应区分管理员和普通用户的不同权限。

在故障管理方面，应进行故障预防管理，通过预防高风险操作，消除萌芽状态下的隐患。

可根据不同的高风险类别设置不同级别的高风险动作。故障管理，如报警处理、故障处理、应急处理、部件更换等。

4 结束语

由于互联网数据中心设备集中、数据集中、应用集中和通过互联网访问模式的特点，为了提供企业高质量的业务服务能力，互联网数据中心安全已成为其建设和运营中最重要的问题，需要配合安全设备部署和安全管理，建立三维无缝安全平台，形成综合安全防御系统。同时，互联网数据中心的网络安全建设是一个不断发展和更新的过程，需要及时调整现有的安全策略，设计新的网络安全方案、技术和服务，进行更全面、更完善的网络安全规划和建设。