数据中心防火墙是什么？

数据中心防火墙是什么？

在大部分企业中，防火墙都是网络与应用服务的第一道防线。防火墙一直是构建传统网络安全架构的首要基础。对关键业务服务的有效保护主要是通过简单而强大的访问控制工具——数据中心防火墙所进行的访问控制来完成的。

传统架构已经走向成熟，因此许多安全标准都要求部署经认证的防火墙。例如，任何处理信用卡号的数据中心均必须符合支付卡行业(PCI) 标准，而该标准要求安装一个网络防火墙。PCI行业审计师所参考的公认标准是国际计算机安全协会(ICSA)的网络防火墙标准，该标准定义了可用于处理信用卡的少数防火墙。这一合规性要求强调了使用成熟的数据中心防火墙架构的重要性。但成熟意味着使用时间较长，而数据中心防火墙已经开始显露出自身在检测和抵御现代攻击方面的局限性。针对应用层或网络层的攻击正在导致这些昂贵的状态防火墙发生故障，并且此类攻击的数量正在不断上升。

数据中心作为网络数据的核心，经常会受到来自外界的攻击入侵，安全问题是极其重要的一环。互联网每年都有大量数据中心服务器遭受攻击的事件发生，对用户造成巨大的损失，数据中心安全在其建设发展中越来越受到重视。为数据中心内部网络与服务器提供网络安全功能，通常会部署防火墙产品作为攻击防范和安全过滤的设备，同时为内网服务器间互访提供安全控制。防火墙是数据中心必不可少的安全防御组件，可为后端服务器提供攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能。

随着网络应用的不断的发展，数据中心已成为大型机构的核心竞争力以及各种网络攻击的核心和焦点，应用传统的解决方案的同时也会带来了很多问题，如数据中心访问量剧增；各种设备的大量增加，造成成本压力及管理上的考验等等。

如今，位于数据中心边界的大量传统状态安全设备都面临着日趋复杂、频繁和多样化的网络攻击。以F5 BIG-IP LTM本地流量管理器所提供的防火墙服务为基础的全新的数据中心架构，既能够有效地抵御现代攻击，又可以节省大量的建设成本(CapEx)。现在，这些日趋多样化且涉及多个网络堆栈层的攻击引发防火墙故障的频率十分惊人。因此，仅部署传统的防火墙服务已经无法有效地检测攻击并防止业务中断。让应用层具备阻止攻击(利用应用层的协议与行为)的能力很有必要。

新型数据中心架构

F5处理防火墙问题的方法是将安全服务融入到位于数据中心边界的一套应用交付控制器(ADC)中。

F5 BIG-IP本地流量管理器(LTM) 在11.1版本中提供了ICSA网络防火墙认证。这一关键认证的重要意义在于，BIG-IP LTM 、BIG-IP GTM广域网流量管理器和BIG-IP ASM 应用安全管理器第一次恰当地放置在数据中心的边界，同时仍能维持整个企业的安全状况与合规性。这一变化的重要性在知名的“防火墙三明治”架构的最新变化中十分显而易见。旧的“三明治”架构需要安装传统防火墙，但由于传统防火墙的能力有限，因此必须与一套BIG-IP LTM设备并行部署，以便实现入站连接的负载平衡。通过防火墙的流量将返回到相同的BIG-IP LTM设备中(或另一个设备中，即三明治的比喻)，以便恰当地进行应用交付控制。由于BIG-IP LTM本身具有ICSA认证，因此可以将并行防火墙( 三明治中的肉) 折旧并淘汰掉，从而在维持相同的整体能力、合规性和攻击防御能力的同时，大幅减少设备的数量。 

PCI验证：使用PCI DSS需满足什么要求?

这些需求包括对服从性的周期性报告(ROC)，漏洞扫描，渗透测试和Web应用测试。在这一点上，我们检查了这些需求，列出了保持PCI DSS服从性的详细提纲。

或许最重要的PCI请求就是最小的商家必须向自己的银行提交年度服从性验证报告。这些报告的范围以及个人执行评估资格都依据企业所达到的PCI DSS商家级别而定。

最大的商家属于一级商家，他们必须每年出具独立的审计结果。这一审计结果可以是有资质的安全评估员(QSA)或是该公司内部管理人员指定的审计团队。在其他情况下，QSA或内部审计员都会完成一个ROC然后提交给公司所使用的商业银行。二级和三级商家或许会通过自己的IT部门和企业员工完成评估报告，然后把结果记录到自评问卷中(SAQ)。

审计的范围依据商家持卡人数据环境的特征而定——本质上，越复杂的环境，审计的范围就越广。可能性如下：

SAQ A是最简单的形式，供那些外包了所有卡片处理职责的商家使用

SAQ B则要求印记唯一或独立拨号且不能用电子方式保存任何持卡人数据的终端用户

SAQ C可用于具备联网支付系统但不能保存持卡人数据的商家。还有供使用虚拟终端的商家使用的单独SQA C版本。

当然，尽可能深入SAQ链符合是每个商家利益的行为。如果你的企业还不具备满足SAQ A的资质就不要妄想SAQ D。

漏洞扫描

所有使用对外IP地址的商家都必须按季度执行网络漏洞扫描，并将结果提交给自己的商业银行。PCI DSS标准要求企业通过他们授权的扫描供应商(ASV)执行扫描，但是企业所使用的银行可能需要使用某个特定的扫描服务供应商。许多商业银行要求使用单独的ASV合作伙伴，因为这些ASV可以让银行直接访问加固的报告，减轻了银行的管理负担。

当然，简单执行扫描还不够——必须通过扫描才能确定其对PCI DSS的服从性。基于这一原因，在运行正式扫描前，公司可以先运行常规服从性扫描。

安全测试

如果公司的基础设施需要处理持卡人数据，可使用另外两种要求：渗透测试和Web应用评估。企业必须每年对持卡人数据环境执行内部和外部的渗透测试，包括网络和应用层测试。同样，使用Web应用的企业必须每年执行常规Web 应用评估，在重大改变后也要执行Web应用评估。所有的测试都必须通过有资质的安全顾问或是员工执行，执行测试的员工不应该是执行系统维护的人。

随着公司创建PCI DSS服从项目的发展，越来越有必要记住这些要求。可以规划一个为期一年的评估和测试，这样公司就不会在年末的时候错过截止期限或是急急忙忙赶着满足PCI验证要求。最后，请确保你保留了公司评估的所有文件，这样就可以将服从性的评估情况向审计员解释。