在“2010中国数据中心网络与信息安全论坛”上，机房360记者采访了Mcafee资深安全工程师程智力先生，就IDC数据中心网络层安全问题，为广大IDC数据中心用户寻求解决方案。

　　IDC数据中心网络安全面临问题与现状

　　随着企业网络的不断发展和扩张，越来越多的安全威胁可能影响到IDC数据中心的网络安全，安全威胁的种类和数量都呈现几何级数的增长，其中包括：
·各类网络恶意程序和蠕虫病毒（主要通过互联网线路进行传播）；
·黑客针对服务器和客户机漏洞的攻击行为（漏洞有多种，可能造成的后果不同，有可能是死机，也有可能让黑客取得服务器的管理权限）；
·利用应用程序（如IIS、SQL等）发起的攻击，比如SQL注入等；
·网络上的一些异常应用，如BT下载、迅雷等，可能造成网络带宽被浪费；
·利用协议漏洞的攻击行为，如果VoIP、H。225等，尤其是新出现的协议，可能存在重大漏洞；
·网络异常流量：包含不规则的网络协议数据，可能给网络交换系统带来很大压力；
·DoS/DDoS攻击行为：可能造成我们的网站瘫痪、应用服务宕机等；
·不安全终端系统接入我们的网络，造成很多恶意流量和攻击行为进入内部网络。

　　对于IDC运营商来说，数据中心网络安全最让人头疼的莫过于DOS/DDoS攻击。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。而现在，黑客们经常使用的，莫过于对IDC数据中心进行DDoS攻击，DDoS攻击也逐渐与蠕虫、Botnet相结合，发展成为自动化播、集中受控、分布式攻击的网络讹诈工具。这是一种恶意行为。对于全球来说，目前尚未有一种彻底的方法，能杜绝DDoS攻击。当IDC数据中心遭遇DDoS攻击的时候，您只能选择防御。但现在很多IDC运营商，大多依赖硬件防火墙，被动防御。如果一个机房购置的硬件防火墙，过滤带宽只有千兆，那么在大流量的DDoS攻击下，硬件防火墙形同虚设——要么就是把被攻击的用户IP屏蔽掉。对于机房管理人员来说，这实在也是无奈之举。那么，有没一种方法，是既处理了应用层安全问题，而又不影响用户的服务器访问的呢？

　　Mcafee NSP（网络安全应用平台）解决方案

　　McAfee的IPS产品Network Security Platform（简称NSP）是全球首个产品化的IPS设备，它能够对已知攻击、未知攻击以及拒绝服务攻击进行准确检测和有效防御，保护应用网络的安全，解决IDC数据中心目前存在的安全问题。

　　McAfee NSP完全透明的部署在网络中，探测端口没有IP地址，不需要和网络设备及防火墙互动，其自身能够准确探测到攻击，直接丢弃攻击数据包和Drop攻击Session；为了确保探测的准确性，NSP采用了深层状态包检测技术、异常探测、SSL加密攻击探测、Buffer Overflow攻击探测和DOS/DDOS攻击探测多种引擎；部署在网络的安全边界，可前瞻性地防护终端系统、核心网络区域以及关键网络基础设施不受已知的攻击、Zero-day攻击、DOS/DDOS 攻击、加密攻击及各类安全威胁的影响。

同时，NSP 也是业界首个风险感知 IPS 解决方案，它能够有效地结合Foundstone或第三方风险评估工具，识别并拦截针对您网络资产的最相关的安全威胁和攻击，可最大限度地保障安全，增加绩效。 NSP 无与伦比的技术、深度数据包检测以及无延迟特性，可在攻击到达其目标前抢先将其拦截，可为整个网络环境提供优异的准确性和业务关键性能。

NSP 的集成的、易于管理的平台可提供广泛的资产保护，最大限度地保证业务可用性，同时将安全成本降至最低。

McAfee NSP是使用最前沿技术，能够在关键系统受到攻击之前阻止“网络”入侵行为的产品。具有高自动化和易管理性，设计灵活，能够分阶段执行，克服了老旧入侵检测系统中固有的误报率，也使用户能够配置合适的策略，以阻止独特 IT 基础架构中的攻击。

McAfee NSP基于完整的攻击分析方法，并引入了业界最为全面的网络攻击特征检测、异常检测以及拒绝服务攻击检测技术，除了可以防御已知攻击，还可以防御未知的蠕虫、攻击和后门程序，抵御拒绝服务攻击等。