由于数据中心用户的数据及信息的敏感性，一直以来是黑客入侵、盗取信息的主要目标，同时，数据中心的用户的安全需求也不尽相同，这对数据中心运营单位既是挑战，也是机遇：一方面要提高服务水平，适应数据、应用和出口带宽迅速增加的发展趋势;另一方面，可通过提供一系列增值服务，将安全防护打造成为数据中心新的利润增长点。

　　数据中心边界安全面临的挑战

　　边界流量增长迅猛：当前，随着SaaS、VoIP、网络视频以及新兴的基于云计算架构的应用，网络流量年均增长率已经达到23%。这意味着1Gbps网络流量在不到5年的时间内会增长到10Gbps，这将迫使数据中心的网络基础架构在近几年内转变到10Gbps，以满足流量需求。伴随着流量压力的迅猛增大，数据中心边界的安全设备也面临升级，以往百兆、千兆安全设备已经难以满足需求，万兆安全设备已进入数据中心的选择范畴。

　　拒绝服务攻击频繁：近几年，SYN Flood、DNS Flood等拒绝服务攻击愈演愈烈，网络黑客通过操纵互联网成百上千的“肉鸡”对在数据中心托管的服务器进行攻击，造成数据中心出口流量带宽被大量占用，出口网络阻塞，访问速度严重降低，造成服务器宕机，服务彻底中断。虽然大部分拒绝服务攻击来自数据中心外部，但有的攻击会来自数据中心内部，由于攻击地址来自数据中心网络地址段，由此给数据中心声誉造成恶劣影响。今年5月份著名的“暴风门”事件的起因，就是由于几名黑客通过在某数据中心租用的服务器协助他人攻击其他游戏“私服”和“私服”广告网站牟利，导致部分省份互联网出现严重网络故障。

　　地下经济推动黑客攻击：随着网络经济的发展和普及，网络上任何可以换成金钱的东西，都成为黑客窃取的对象，数据中心由于涉及较多用户重要信息，所以成为黑客入侵的重要目标。利用数据中心系统的、网络的各种安全漏洞，黑客入侵数据中心，劫持主机，盗取重要数据和信息。有的黑客入侵政府网站，发布虚假信息，扰乱社会秩序;有的入侵金融系统，盗取钱财;有的盗取公民个人信息，影响人民生活;有的入侵游戏网站，盗取游戏账号和装备，造成不必要的商业纠纷等等，这些都为数据中心的安全运营蒙上了阴影。

　　资源紧张运营成本高：数据中心建成之后，除了提供服务器托管、租用以及ASP等增值服务的业务可以带来收入之外，日常运行属于资源消耗型业务。这里的资源包括机房、机架、网络接口、带宽、电力等。提高资源利用率可以增加运营商收入，减少运营成本。提高资源利用率的方法，主要有增加服务器密度，采用虚拟化，采用绿色节能的服务器、网络设备等。

　　数据中心边界安全的解决之道

　　高性能万兆级安全网关：针对数据中心边界的高流量，必须采用更高性能的，特别是具有万兆级性能的安全设备，否则会因为安全设备性能不足造成数据中心的网络瓶颈。

　　联想网御的KingGuard是2008年6月推出的万兆级安全网关，采用国际领先的多核多线程处理器，电信级高可靠性硬件设计，基于自主知识产权的VSP开发平台，采用独有的“Windrunner矩阵式并行算法”，网络处理能力可达40Gbps，新建连接能力更是可达40万/秒，完全满足数据中心边界网络流量处理需要。

　　双向阻断异常流量：边界安全网关作为数据中心对抗攻击流量的前沿防线，应具备双向攻击流量阻断能力，既要阻断来自外部的流量攻击，防止保护的托管服务器发生宕机或服务中断，同时也要能阻断数据中心内部主机对外发动的攻击流量，防止数据中心托管服务器成为黑客手里的攻击工具。

　　KingGuard采用自主创新的并行抗攻击算法，具有超强的抗攻击能力，可抵御>400万pps流量下的SYN Flood攻击。KingGuard可识别流量型、应用型、普通常见型、蠕虫连接型、常见黑客工具型等多种类型攻击，可以双向阻断攻击产生的异常流量，保障数据中心安全。

　　IPS阻断入侵行为：数据中心的边界安全网关必须能有效地阻断侵入的危害行为，保护数据中心主机及其内部数据的安全。

　　联想网御是国内安全厂商中极少数可在万兆平台产品中支持IPS模块的厂商， KingGuard可支持几千种入侵行为特征库，通过比对各种入侵的行为特征库、分析协议异常、识别各种网络病毒蠕虫等，能有效识别各种非法访问和入侵行为。

　　虚拟网关开源节流：由于每个用户对数据中心的安全需求不一定相同，所以传统数据中心的安全设备都是为用户提供独享或者共享硬件并置于用户网络前端，由运营商对其统一维护或配置。对于独享安全管理需求的用户，每增加一个用户可能就需要增加一台安全设备，这些设备除了购买成本之外，需要消耗机架、网口、电力等资源，增加了运营成本。如果能把数据中心的安全网关设备划分成多个虚拟系统，根据用户的需求，把其中的一个或几个虚拟系统分配给相应的用户。这样在不增加运营成本的情况下，满足用户需求，提高运营商的收益。

　　KingGuard支持虚拟化设计，一台KingGuard逻辑上划分为多台虚拟网关(Virtual Gateway)，所有的系统资源(CPU、内存、状态表等)均可按比例被分配到各个独立的虚拟网关中，运行时虚拟网关将根据各自独立策略处理各自负责的用户网络流量，互不干扰。即使其中一个虚拟网关发生故障，只会影响其负责用户网络，其他用户网络不受影响。KingGuard采用虚拟网关方式部署，可以节省购买新设备的资金，同时在不增加电力消耗，不占用新机架的情况下，满足更多用户独享安全设备的需求，使得数据中心运营商在不增加运营成本的情况下可以发展更多的出租业务，增加了收益。在企业数据中心，KingGuard可为每个独立的业务系统设置一个虚拟网关，业务负责人自主调整网关安全策略。

　　综上所述，数据中心边界安全至关重要，联想网御基于对数据中心架构的深入研究和多年来对各种安全问题的理解，推出了适用于数据中心边界安全的万兆级安全网关KingGuard，可以解决数据中心运行过程中遇到的网络边界安全问题，同时也可成为数据中心的一项增值服务，全面助力数据中心安全建设。