4、网络安全设备部署解决方案全解析

网络安全设备部署解决方案全解析

1. 数据中心服务层部署

数据中心核心是所有服务器通信的网络中心，大部分连接都要流经此处。数据中心核心的防火墙需要维持大量并发会话，因为服务器虽可能有长期连接，但更常见短期的连接突发情况。再加上运行系统的高密度，这就增加了对并发连接数量的需求，且要求每秒能创建新连接。若防火墙无法快速创建会话，交易就会丢失。

Juniper Networks SRX5800 服务网关能满足这些需求。它是 SRX5000 系列中最大的成员，非常适合数据中心环境，能满足当下及未来的扩展需求。在数据中心网络中，有个理想的位置来部署 SRX5800，即服务层。在此处，SRX5800 可提供诸如状态防火墙、入侵防御系统（IPS）、应用拒绝服务（AppDoS）预防和服务器负载均衡等服务，还能创建资源池供各服务器共享。不过，也可部署多个防火墙来分担负载，但这会增加复杂性和管理成本。过去五年的趋势是为了财务和管理原因进行整合。

在数据中心核心，AppDoS 和 IPS 是数据中心服务层设计的两个关键服务：
- AppDoS ：与其他安全产品不同，它能查找针对服务器的 DoS 和 DDoS 模式、应用上下文（如 URL）以及单个客户端的连接速率，通过综合分析这三项内容，可阻止新型僵尸网络攻击。
- IPS ：与 AppDoS 不同，它会在数据流中查找特定攻击。识别到攻击时，可选择阻止、记录或忽略威胁。由于所有与关键服务器的连接都要经过 SRX5800，添加 IPS 技术能为服务层提供更多价值和安全保障。

2. 服务提供商场景

多数管理员更倾向使用