云数据中心边界防护及解决及方案v0文字说明

-.z云数据中心边界平安解决方案-平安网关产品推广中心马数据中心的“云化〞数据中心，作为信息时代的重要产物之一，先后经历了大集中、虚拟化以及云计算三个历史开展阶段。在初期的大集中阶段中，数据中心实现了将以往分散的IT资源进展物理层面的集中与整合，同时，也拥有了较强的容灾机制；而随着业务的快速扩，使我们在软、硬件方面投入的本钱不断增加，但实际的资源使用率却很低下，而且灵活性缺乏，于是便通过虚拟化技术来解决本钱、使用率以及灵活性等等问题，便又很快开展到了虚拟化阶段。然而，虚拟化虽然解决了上述问题，但对于一个处于高速开展的企业来讲，仍然需要不断地进展软、硬件的升级与更新，另外，持续增加的业务总会使现有资源在一定时期的扩展性受到限制。因此，采用具有弹性扩展、按需效劳的云计算模式已经成为当下的热点需求，而在这个过程中，数据中心的“云化〞也自然成为开展的必然！传统边界防护的“困局〞云计算的相关技术特点及其应用模式正在使网络边界变得模糊，这使云数据中心对于边界平安防护的需求和以往的应用场景相比也会有所不同。在云计算环境下，如何为“云端接入〞、“应用防护〞、“虚拟环境〞以及“全网管控〞分别提供完善、可靠的解决方案，是我们需要面对的现实问题。因此，对于解决云数据中心的边界平安问题，传统网关技术早已束手无策，而此时更需要依靠下一代网关相关技术来提供一套体系化的边界平安解决方案！天融信云数据中心边界平安防护解决方案面对上述问题，天融信解决方案如下：通过TopConnect虚拟化接入与TopVPN智能集群相结合，实现“云端接入〞平安需求；通过在物理边界部署一系列物理网关来对各种非法访问、攻击、病毒等等平安威胁进展深度检测与防御，同时，利用网关虚拟化技术还可以为不同租户提供虚拟网关租用效劳，实现“应用防护〞平安需求；通过TopVSP虚拟化平安平台，为虚拟机之间的平安防护与虚拟化平台自身平安提供相应解决方案，实现“虚拟环境〞平安需求；通过TopPolicy智能化管理平台来将全网的网络及平安设备进展有效整合，提供智能化的平安管控机制，实现“全网管控〞平安需求；技术特点虚拟化网关虚拟化：天融信网关虚拟化技术提供了物理网关“一虚多〞的虚拟化平安防护解决方案。在数据中心多租户的需求背景下，网关虚拟化能够使部署在物理边界的网关设备为不同租户提供虚拟网关租用效劳，使不同租户流量在同一物理设备上实现流量逻辑隔离。功能方面，网关虚拟化实现了从网络层到应用层的全功能虚拟化特性，并为租户提供了基于虚拟系统的自定义平安效劳解决方案，从而使策略部署变得更加灵活，而权限与责任的界定也更加清晰！虚拟机平安防护〔TopVSP〕：面对数据中心虚拟计算环境，传统物理网关已无用武之地，而将虚拟机流量牵引至物理网关的解决方案又面临严重的效率问题，仅仅只是过度方案。因此，在该需求背景下，天融信TopVSP通过与各类虚拟化平台的完美整合，利用虚拟化平安网关〔vGate〕、租户系统平安代理〔TD〕以及虚拟化平台接入引擎〔TAE〕三大系统组件，为虚拟计算环境提供了一套全方位的平安防护解决方案。其中，“虚拟化平安网关〔vGate〕〞是将天融信自主平安操作系统TOS以虚拟机的形式运行在虚拟化平台上，用于实现外部到虚拟机以及虚拟机之间的虚拟边界平安防护。租户系统平安代理〔TD〕则是安装在各租户操作系统〔即虚拟机〕上的平安代理效劳，用于对租户系统进展信息收集以及进展相关平安检查等工作。而虚拟化平台接入引擎〔TAE〕在实现了将数据流重定向到vGate的同时，还实现了对虚拟化平台自身的平安加固与权限控制。因此，TopVSP实际上不仅实现了虚拟机之间的平安防护，还为虚拟化平台自身以及租户系统提供了相关的平安解决方案。另外，TopVSP能够实时感知虚拟机产生的热迁移动作，并在第一时间完成与TopPolicy智能化管理平台的指令交互，将策略动态下发至迁移后的目标vGate，从而实现平安策略的动态同步迁移。远程接入虚拟化〔TopConnect〕：TopConnect为终端到云端的接入提供了一套基于虚拟化技术的远程接入解决方案。其通过VPN智能集群与部桌面资源效劳器相结合，为远程终端提供虚拟桌面和虚拟应用发布功能，使终端本地在无须运行任何业务系统客户端程序的根底上，完成与效劳端的业务交互，实现了终端与业务别离的“无痕访问〞需求，从而有效防止了数据泄露的风险隐患。深度防御一体化智能过滤引擎：相比一般应用场景，数据中心拥有规模庞大的业务应用系统，在将应用层防护作为根本需求的根底上，更加强调深度检测的高效性，而实现这一切往往需要检测引擎的良好支撑。天融信全系网关产品均采用一体化智能过滤引擎，其能够在一次拆包过程中，对数据进展并行深度检测，从而保证了协议深度检测的高效性。另外，一体化智能过滤引擎基于八元组高级访问控制设计，除传统的五元组控制以外，实现了用户身份信息、应用程序指纹及容特征的识别与控制，从而为计算资源池众多业务应用系统提供了更加高效与细粒度的威胁检测与防护解决方案。双引擎病毒检测：在病毒防护解决方案中，针对数据中心复杂的应用场景与大容量的数据处理这一特点，天融信网关系列产品采用了双引擎设计以实现病毒检测的高效与精准兼顾。双引擎杀毒同时支持快速〔流〕扫描与深度〔文件〕扫描两种检测引擎，可根据被检测应用层协议与应用场景选择不同的病毒检测引擎，从而在数据中心高性能的网络环境下仍然可以确保到达较高的病毒检测率。高性能高性能系统平台：天融信全系网关产品基于完全自主研发的TOS〔TopsecOperatingSystem〕平安操作系统平台。因此，作为数据中心高性能边界防护解决方案的核心，TOS以多核硬件平台为根底，采用系统分层与引擎分组的设计思想，在确保高可靠性的根底上实现了高性能的设计目标。其中，在硬件抽象层通过引入多种加速技术，实现了对CPU多核心之间合理的任务调度，同时，通过将各个平安引擎组与多核CPU的完美整合，使TOS在系统层面实现了全功能多核并行处理。数据层高速处理技术〔TopTURBO〕：TopTURBO是天融信在TOS平安操作系统上为中小型数据中心设计并开发的多核高性能数据处理技术，并被应用于天融信NGFW®下一代防火墙猎豹与千兆多核系列产品。TopTURBO以INTELSNB多核硬件平台为根底，在TOS平安操作系统的配合下，实现了从网络层到应用层的全功能多核并行流处理，并能够获得80Gbps的网络吞吐以及大于20Gbps的攻击检测性能。并行多级架构：并行多级架构是面向大型数据中心网络环境的分布式机架高性能解决方案，被应用于天融信NGFW®下一代防火墙擎天系列产品。擎天采用NSE〔网络效劳引擎〕与SE〔平安引擎〕别离的引擎部署模式，NSE完成L2/L3转发并对整机各模块进展管理与监控，而SE负责将数据流进展网络层平安处理与应用层平安处理。其中，SE置TopASIC专用加速芯片，能够有效提升单板吞吐性能与降低转发延时。NSE、SE与用户接口卡之间通过高速背板进展互连，可通过部署多平安引擎与多网络效劳引擎来实现整机流量的分布式并行处理与故障热切换特性，最高可扩展至240Gbps的网络吞吐性能使其完全能够满足大型数据中心的高性能平安处理需求。高可靠多层级冗余化设计：数据中心网络环境对高可靠性的要求近乎于苛刻，这使部署在数据中心的网关产品自身需要提供一套完善的高可用解决方案。针对这一需求，天融信网关系列产品均采用了多层级冗余化设计。在设计中，通过板卡冗余、模块冗余以及链路冗余来构建最底层的物理级冗余；使用双操作系统来提供系统级冗余；而采用多机冗余及负载均衡进展设备部署实现了方案级冗余。由物理级、系统级与方案级冗余共同构成了多层级冗余化体系，从而最大程度上确保数据中心的业务连续性。智能化管控云管控：云管控以TopPolicy智能化管理平台为核心，从全网管控、决策辅助与智能策略部署三个方面实现了基于云的管控机制。其中，全网管控提供了对数据中心各类网络设备与平安设备的统一管理与监控，同时，还实现了对物理网关与虚拟网关的“虚/实〞一体化管控；决策辅助则通过对收集到的各类事件信息进展统计分析以及深入的数据挖掘，最终以丰富的图形化展示方式为我们提供决策支持；在智能策略部署中，根据决策辅助过程的输出结果能够自动生成并下发平安策略到相应的网关设备。另外，通过TopPolicy与TopVSP的联动机制，能够实时感知虚拟机产生的热迁移动作，从而实现平安策略的同步迁移。APT“狙击〞：APT攻击从情报搜集到完成攻击，整个过程往往比较复杂，而且可能会持续几天、几个月，甚至更长的时间。因此，很难通过*一种平安检测机制阻止一次攻击就