概述

　　本方案针对保险公司数据大集中下的业务应用特点以及所面临的网络安全风险，在数据中心服务器区部署下一代防火墙设备，满足数据中心分区、分层、分级的设计原则，同时，通过融合安全防护、高性能、高可靠性技术，应对新形势下保险公司数据中心的安全需求，具体包括：

　　● 实现业务的融合安全防护，避免网络攻击或恶意代码导致安全事件的发生和业务中断；

　　● 提供高性能安全防护，应对数据大集中下海量数据传输的性能挑战；

　　● 采用先进的全冗余架构设计，提升设备可靠性保障保险业务的连续运行。

　　1、安全需求

　　保险行业进行数据大集中建设，统一全国的客户数据和业务系统的版本，这已经是大势所趋。这意味着数据的分布会呈现T字型，即绝大多数的数据都集中在最上层的数据中心里。因此，对数据中心的安全保护是信息化建设的重中之重。保险行业数据中心的信息系统，一般来说按照业务的不同，采用分区设计进行部署。从业务特性来看，可划分为服务器区（含核心生产业务的服务器区和支撑业务的服务器区）、办公区、WAN区、外联区和验证区。各个分区的安全威胁和安全需求存在差异性，相应的安全策略也存在不同。服务器区的典型安全需求包括：

　　● 数据大集中必然带来海量数据传输，设备应采取新的设计架构满足性能要求；

　　● 由于网络威胁呈复杂化和多样化，除了基本的防火墙防护功能，还需要针对复杂网络攻击提供安全防御，避免由于各种网络攻击或恶意代码引发安全事件；

　　● 安全设备应具有极高的可靠性，避免由于设备不稳定而造成业务中断。

　　2、解决方案

　　本方案中，通过在数据中心服务器区出口，即核心交换机和汇聚交换机的连接处，部署Hillstone下一代防火墙，实现保险公司核心业务系统的安全隔离和保护，防范由于恶意代码或网络攻击造成的安全事件，例如客户敏感信息泄露或保险业务中断，为保险公司数据大集中提供安全保障。

　　互联网技术不断发展，企业面临的网络威胁呈日益复杂化和多样化，传统防火墙在面对新型、复杂网络攻击时，日渐力不从心。因此，单一防护功能已经难以满足保险等金融业务的高安全需求。面对这种技术发展趋势，Hillstone下一代防火墙在传统防火墙的基础上，融合了基于行为特征的入侵防御功能，能够有效识别并阻断如CC等新型网络攻击，弥补了传统防火墙面对这类复杂、新型网络攻击无能为力的弊端。同时，面对恶意代码的泛滥，Hillstone下一代防火墙中内置了世界知名防病毒厂商的病毒库，并可自动更新病毒数据库信息，为业务提供实时安全保护，避免由于恶意代码或网络攻击造成业务中断或客户敏感信息的泄露。

　　Hillstone下一代防火墙的多功能安全防护建立于高性能基础之上，通过采用业界领先的全并行软硬件设计以及统一流检测引擎，能够实现一次解包，并行检测，快速完成所有安全功能模块的检查，为业务运行效率提供性能保证。

　　数据大集中下的业务系统对信息基础设施提出了更高的可靠性要求。Hillstone支持多层次的可靠性设计，例如设备级可靠性，支持AP、AA冗余方式；端口级可靠性，支持Bypass功能，在设备断电或是工作异常时，实现物理层连通，避免业务中断；部件级可靠性，支持多电源冗余、双主控、双风扇等。通过多层次的可靠性设计，满足数据中心业务连续运行要求。

　　从部署方式来看，Hillstone下一代防火墙除了支持传统的串行部署模式外，还支持旁挂式部署模式，即将下一代防火墙旁路部署在汇聚交换机上，这种设计的好处在于数据中心仍然可以沿用原有的核心-汇聚-接入层交换机的连接方式及链路类型，为客户提供更加灵活的组网模式。同时，通过流量牵引，可以将物理服务器上所有虚拟机的流量牵引至防火墙，对其进行安全检查和控制，避免越权和非法访问，实现同一物理服务器上不同业务之间的安全隔离。

　　3、方案效果

　　在本方案中，通过在服务器区网络出口引入Hillstone下一代防火墙，为保险公司数据中心服务器提供整体性的安全防护，实现如下的安全效果：

　　● 为业务提供综合、立体安全防护。在下一代防火墙中融合了防火墙、防病毒、IPS入侵防御等多种安全技术，应对互联网威胁的多样化、复杂化；

　　● 实现安全防护的高性能，通过全并行和统一检测引擎技术打破原有安全设备的性能瓶颈，面对海量数据处理，游刃有余；

　　● 提供业界领先的可靠性保障，独有的多层级冗余技术，将设备可靠性提高到一个新的高度，为业务连续运行提供有力保障。