數據中心安全技術有哪些（最注重的安全技術及措施）

防火墻概述

“防火墻”一詞起源于建筑領域，用來隔離火災，阻止火勢從一個區域蔓延到另一個區域。引入到通信領域，防火墻這一具體設備通常用于兩個網絡之間有針對性的、邏輯意義上的隔離。這種隔離是選擇性的，隔離“火”的蔓延，而又保證“人”可以穿墻而過。這里的“火”是指網絡中的各種攻擊，而“人”是指正常的通信報文。

為什么需要防火墻？

安全無處不在。路由器和交換機構建了互聯互通的網絡，帶來便利的同時也帶來了安全隱患。

例如在網絡邊界，企業有了如下安全訴求：

• 外部網絡安全隔離
• 內部網絡安全管控
• 內容安全過濾
• 入侵防御
• 防病毒

什么是防火墻？

在通信領域，防火墻是一種安全設備。它用于保護一個網絡區域免受來自另一個網絡區域的攻擊和入侵，通常被應用于網絡邊界，例如企業互聯網出口、企業內部業務邊界、數據中心邊界等。

防火墻根據設備形態分為，框式防火墻、盒式防火墻和軟件防火墻，支持在云上云下靈活部署。

嚴格意義上，防火墻還有更多的部署形態，例如桌面型防火墻（盒式防火墻的一種）。桌面型防火墻適用于小型企業、行業分支、連鎖商業機構等場景。華為盒式防火墻同時支持傳統模式和云管理模式。云管理模式由云端統一管理分支機構的安全接入，支持設備即插即用、業務配置自動化、運維可視化和網絡大數據分析。

防火墻與交換機、路由器功能對比

以園區網為例，交換機作用是接入終端和匯聚內部路由，組建內部互聯互通的局域網。

路由器作用是路由的分發、尋址和轉發，構建外部連接網絡。

防火墻作用是流量控制和安全防護，區分和隔離不同安全區域。

防火墻與路由器轉發流程對比

防火墻的轉發流程比路由器復雜。以框式設備為例，硬件上除了接口、LPU（Line Processing Unit）、交換網板等外，防火墻還特有SPU（Service Processing Unit），用于實現防火墻的安全功能。

防火墻的典型應用場景

DMZ（Demilitarized Zone）起源于軍方，是介于嚴格的軍事管制區和松散的公共區域之間的一種有著部分管制的區域。防火墻設備引用了這一術語，指代一個邏輯上和物理上都與內部網絡和外部網絡分離的安全區域。在企業中一般用于服務器的放置。

數據中心網絡一般采用Spine-Leaf架構。Spine為骨干節點負責流量高速轉發，Leaf為葉子節點負責服務器、防火墻或其他設備接入。Spine-Leaf之間全三層互聯。

防火墻的發展歷程

縱觀防火墻的發展歷史，防火墻經歷了從低級到高級、從功能簡單到功能復雜的過程。網絡技術的不斷發展和新需求的不斷提出，推動著防火墻的發展。

防火墻從包過濾防火墻發展起經歷了狀態檢測、統一威脅管理、NGFW等到AI防火墻，有以下特點：

• 訪問控制越來越精細
• 防護能力越來越強
• 性能越來越高

包過濾防火墻

包過濾是指基于五元組對每個數據包進行檢測，根據配置的安全策略轉發或丟棄數據包。

包過濾防火墻的基本原理是：通過配置訪問控制列表（Access Control List，ACL）實施數據包的過濾。

包過濾防火墻主要基于數據包中的源/目的IP地址、源/目的端口號、IP 標識和報文傳遞的方向等信息。

包過濾防火墻的設計簡單，非常易于實現，而且價格便宜。

包過濾防火墻的缺點主要表現以下幾點：

• 隨著ACL復雜度和長度的增加，其過濾性能呈指數下降；
• 靜態的ACL規則難以適應動態的安全要求；
• 包過濾不檢查會話狀態也不分析數據，這很容易讓黑客蒙混過關。例如，攻擊者可以使用假冒地址進行欺騙，通過把自己主機IP地址設成一個合法主機IP地址，就能很輕易地通過報文過濾器。

狀態檢測防火墻

狀態檢測是包過濾技術的發展，它考慮報文前后的關聯性，檢測的是連接狀態而非單個報文。

狀態檢測防火墻就是支持狀態檢測功能的防火墻。

狀態檢測防火墻通過對連接的首個數據包（后續簡稱首包）檢測而確定一條連接的狀態。后續數據包根據所屬連接的狀態進行控制（轉發或阻塞）。

AI防火墻

AI防火墻是結合AI技術的新一代防火墻。它通過結合AI算法或AI芯片等多種方式，進一步提高了防火墻的安全防護能力和性能。

華為AI防火墻，內置的惡意文件檢測引擎CDE、誘捕Sensor、APT檢測引擎和探針，支持與沙箱和華為大數據分析平臺CIS聯動檢測，打造智能防御體系。

華為HiSecEngine USG6000E系列是業界首批推出的AI防火墻。AI防火墻沒有統一的標準，例如通過用大量數據和算法“訓練”防火墻，讓其學會自主識別威脅；通過內置AI芯片，提高應用識別和轉發性能，都可以被稱為AI防火墻。

APT（Advanced Persistent Threat，高級持續性威脅）是指用先進的攻擊手段對特定目標進行長期持續性攻擊的攻擊形式。

沙箱（Sandbox）是一個用于檢測病毒的安全設備，它為疑似病毒構建虛擬環境，通過觀察其后續行為檢測病毒。沙箱是APT檢測的重要設備。華為的沙箱產品為Firehunter。

CIS（Cybersecurity Intelligence System）能夠對網絡中的流量及各類設備的網絡、安全日志等海量網絡基礎數據執行有效采集，通過大數據實時及離線分析，結合機器學習技術、專家信譽、情報驅動，有效的發現網絡中的潛在威脅和高級威脅，實現企業內部的全網安全態勢感知，同時可以結合華為HiSec解決方案高效地完成威脅的處置閉環，防患未然。

自研惡意文件檢測引擎（CDE）引入PE Class 2.0 AI算法，對全文件進行還原，對文件內容進行深度檢測。（業界主流基于流檢測。流檢測的檢測速度快，但只還原文件頭，不對文件內容進行檢查。

華為獨創的AIE APT檢測引擎，引入AI算法，持續防御最新威脅。

• 防火墻是一種安全設備，有靈活的設備形態包括框式、盒式、桌面型和軟件防火墻。
• 防火墻可被用于但不僅限于企業邊界防護、內網管控與安全隔離、數據中心邊界防護和數據中心安全聯動。
• 防火墻技術不斷的發展，從早期的包過濾防火墻發展到當前的AI防火墻。