第四章 大数据安全防护技术



              志采集、网络威胁检测等安全防护能力。
                  1. 安全防护区
                  在用户汇聚节点与数据汇聚节点之间部署抗 DDOS 系统、准入控制系统、
              新一代防火墙设备，实现对用户接入网络、大数据网络的安全访问控制、网络入

              侵防护、网络恶意代码防护等安全能力。抗 DDoS 攻击设备可以发现网络流量的
              异常，对漏洞型、流量型和应用层 DDoS 攻击施行手术式精确清洗，保障业务永
              续运转。实现全网的流量分析、异常流量牵引、DDoS 攻击流量清洗等功能，帮
              助实时了解网络运行状况，及时发现网络中出现的问题并自动对异常行为做出动

              作响应，从而快速消除异常流量造成的危害，达到全部业务流量的智能化管控。
                  准入控制系统支持多种方式发现资产，通过自动学习建立行为模型，形成资
              产白名单，监测非法设备和仿冒接入设备。具备网络设备扫描和网络内数据包监
              听功能，通过扫描读取交换机接入设备数据、分析网络内 ARP 广播数据以及接

              收交换机 SNMP TRAP 信息，能够感知设备的接入、断开事件，确认设备的物理
              连接关系并绘制网络拓扑，方便管理与定位各类设备的网络接入位置，帮助用户
              及时发现不可信节点和故障节点。通过标准 802.1X 协议，在网络接入层做准入
              认证、根据认证授权情况确定是否能访问网络，支持动态 VLAN/ACL 片段的下发，

              可绑定多种认证因素实现强认证管理，结合入网合规性检查策略，根据合规性下
              发网络访问权限，802.1X 认证可提供端口级的强准入认证方案，并支持认证授权、
              合规检查、隔离修复、访问控制“一站式”的全流程接入管理。
                  新一代防火墙设备通过深度防护规则实现网络访问控制，深度防护规则包含

              源地址、目的地址、源端口、源 MAC、流入网口、流出网口、访问控制、时间调度、
              服务、是否为长连接、深度防护策略等多个控制子选项，对于不符合规则的访问，
              系统可以拦截并发出日志告警；在蠕虫、后门、木马、间谍软件、Web 攻击、拒
              绝服务等攻击的防御方面具备完善的检测、阻断、限流、审计报警等防御手段，

              满足网络的各种应用需要；可发现并阻止常见的针对网络数据库发起的攻击，可
              识别对 Oracle、MySQL、MS-SQL 等数据库发起的非法获取权限、创建、删除等
              行为并进行阻断。
                  2. 数据服务区

                  数据服务区根据大数据服务需求，作为外部网络连接的节点，放置相应的前
              置服务器（可包括应用服务器、Web 服务器、数据库服务器、文件服务器等），


                                                                                   ·97·