深信服云安全及解决及方案

-.z深信服云平安解决方案深信服电子科技**2021年11月7日目录第一章建立背景41.1云平台背景41.2云平台建立意义4第二章需求分析52.1需求概述52.2平台侧需求7平台平安需求7接入平安需求8业务可靠需求92.3租户侧需求102.3.1租户间隔离需求分析102.3.2租户虚拟机需求分析112.3.3租户互联网业务需求分析112.3.4租户外网业务需求分析122.5管理运维需求13第三章设计原则14第四章解决方案154.1解决方案综述154.2平台侧设计方案17平台平安方案.平台分区分域.防网络病毒.应用平安防护.防止漏洞攻击.多业务数据隔离和交换20接入平安方案20云间平安互联21租户平安接入22业务可靠需求.防拒绝效劳攻击.链路/全局负载均衡234.3租户侧设计方案25租户平安设计25业务系统平安26业务稳定可靠26业务平安接入27租户应用场景294.3.6NFV平安组件部署方式314.4管理运维设计方案324.4.1平台运维324.4.1租户运维334.4.1平台效劳商合作运维34第五章解决方案价值355.1高平安：提供专业、可靠的效劳365.2高性价比：降低IT建立本钱365.3高效率：业务系统部署速度快375.4高协同：降低信息共享和业务协同难度37建立背景1.1云平台背景云计算的兴起，给人们的工作方式以及商业模式带来根本性变化，甚至可能掀起信息技术的第三次“浪潮〞。目前，云计算在电信、互联网、IT行业以及金融等方面都扮演着举足轻重的角色。正如业界虚拟化领域的一位资深专家所言：“以前大家对于云计算可谓众说纷纭，都有各自不同的见解和看法，而现在业界已逐渐形成共识：云计算就是下一代运算模式的演变。每家单位都要建立自己的云计算模式，其第一步要做的就是完成内部云或私有云的建制。内部云建制的科技根底就是虚拟化云平台，这也将成为拉动整个虚拟化云平台市场持续走高的成长动力。〞在大企业，虚拟化云平台能帮助单位在业务层面实现弹性架构和资源池化，一方面可以大幅提升存储计算等各种硬件资源的利用效率，另一方面还可明显提升办公、对外效劳的开通时间、可用性以及灾难恢复等能力。著名咨询公司Gartner将虚拟化云平台技术列为2021年十大战略技术第一位，而在2021年初发布预测中，更是大胆断言到2021年20%的单位将不再拥有IT资产。尤其在大企业，因为多个内在关联的趋势正在推动大企业逐步减少IT硬件资产，这些趋势主要是虚拟化云平台、云计算效劳、虚拟化的桌面交付等。而虚拟化云平台技术，作为云计算的一个支撑技术，必将成为未来最重要的最值得研究的IT技术之一。1.2云平台建立意义云平台的搭建将有助于IT系统从粗放式、离散化的建立模式向集约化、整体化的可持续开展模式转变，使IT管理效劳从各自为政、相互封闭的运作方式向跨部门跨区域的协同互动和资源共享转变。1、云计算能够降低信息化本钱在云环境下，可以将信息技术资源交给专业的第三方云效劳商管理，由云效劳商提供需要的信息技术根底架构、软硬件资源和信息效劳等，各子公司、集团根据按需付费的原则定制需要的信息效劳。这带来了两大好处：一是不需要投资建立大量的数据中心和大型机房，购置效劳器和存储设备等，从而节省建立费用；二是信息软硬件资源交给专业的云效劳商管理，集团不再负担信息系统维护和升级，节省了运维费用。2、云计算提高业务系统的部署效率云平台具有较高的灵活性，集团实施新的应用系统时，不必购置额外的软硬件，而是利用已有云根底设施，快速部署系统，提高应用部署速度。开发者在一个平台上构建和部署应用程序，大大提高了信息系统部署效率。3、云计算降低信息共享和业务协同难度长期以来，各应用系统普遍存在各自为政、资源分散等问题。尽管信息难以共享的根源在于业务系统机制问题，但云计算能从技术上降低信息共享和业务协同的难度。通过云平台，多个部门/集团子公司可以共用相应的根底架构，实现各业务系统之间的软硬件共享，提高信息共享的效率，扩大信息共享*围；软硬件资源和信息资源的共享将有利于促进各部门内部与部门之间的业务系统的整合，为各部门业务协同创造条件。4、云计算有助于提高效劳效率通过云平台实现软硬件资源所有权与使用权的别离，各子公司将在不拥有软硬件资源的情况下享受信息效劳。因此，集团的IT部门能够集中人力物力进展本部门的业务运转，从而减轻行政负担，能有更多的精力专注于面向公众的公共效劳，提高效率。同时，在部署了以云计算为技术支撑的云平台以后，后台信息的烟囱式部署方式的壁垒将被打破，从而实现业务数据的统一共享，这对前台效劳界面的统一打通有着重要意义，将使得业务系统的统一化不再停留在前台展示层面，而切切实实的实现效劳的高效与统一。需求分析集团的云平台一般为专有云架构，专有云平台承担集团内部效劳的内容如业务应用系统等，为各分公司、集团子公司的应用系统提供根底设施支撑。云资源共享专区通过平安隔离措施访问公有云〔互联网〕、公众效劳专区；各子公司需要对互联发布的业务系统应根据效劳对象逐步迁移至云平台上，实现集中集约部署。2.1需求概述从整个云平台整体平安角度来看，我们需要考虑三个方面的设计：云平台平安、租户侧平安、平安运维管理和便捷性。图2.1-2云平台平安需求框架云计算平台和传统计算平台的最大区别在于计算环境，云平台的计算环境比传统意义上的计算环境要更加复杂。对云平台的计算环境的保护也是云平台下信息平安整体保护体系的重中之重。除了平台的平安问题，租户侧也面临一些平安问题，比方接入环境是否满足平安要求、业务系统是否平安、用户访问或接入业务的平安风险、虚机之间信息交换是否平安、业务系统效劳可靠性等需求。整个云平台平安运维也成了一大难题，首先平台本身以及平台中的业务系统的平安现状难以实时监测，因此无法做到有效审计，不能追溯平安问题；其次，对于资源池中的平安效劳，如何做到动态灵活的统一管理、智能分配，满足云环境下动态高效的需求；再次，租户业务系统迁入后，如何快速的获得所需的平安配额，实现针对性的策略配置和自主运维。归纳起来，云平台整体平安需求如以下图所示：图2.1-3云平台整体平安需求2.2平台侧需求对于云来说，平台无疑是对外提供效劳的根底，无论是建立运营方，还是租户，对于平台自身的可靠性、平安性都是极为关注的。因此平台层的平安建立需要从平台平安防护，平台的接入平安，以及平台效劳可靠性方面来建立，保证云平台业务系统平安可靠运行。平台平安需求平台需要直接连接互联网，面临着非法接入、网络入侵、黑客攻击、病毒传播、蠕虫攻击、web应用保护、僵尸木马、DDoS攻击等各种平安问题，并且其底层和其上的系统软件可能存在的平安漏洞将影响到整个平台系统的平安，攻击者在利用漏洞入侵到平台之后，可以对整个平台内部的资源进展各种破坏，从而导致系统不可用，或者数据丧失、数据泄露，其潜在的威胁将无法估量。分区分域需求在平安设计方案中，我们需要将省级部门的业务通过逻辑隔离划分不同的平安域，首先云平台建立时需考虑将根底设施资源划分为两个独立的区域，分别为互联网业务区、公用网络区，两个区域间不能直接访问，仅能通过跨网数据交换区进展数据交换。每个等保区域内不同租户应用间通过VLAN/V*LAN网络隔离，租户间通过访问控制设备进展访问控制，制止非授权访问。云平台支持虚拟私有云，可以在一个云数据中心里灵活设定多个虚拟私有云，多个私有云之间使用VPN技术或V*LAN技术，到达端到端的隔离效果。防网络病毒需求云平台的核心是计算和数据资源，因此也是网络入侵者最主要的目标。病毒、蠕虫、木马等恶意代码一旦感染云平台系统或应用，就可能在平台内部快速传播，消耗网络资源，劫持平台应用，窃取敏感信息，发送垃圾信息，甚至重定向用户到恶意网页。所以云平台平安建立需要包含检测和去除病毒蠕虫木马等恶意内容的机制。云应用平安需求云环境的随需部署和动态迁移，使平安策略的部署变得复杂，需要一个灵活动态平安机制来适配虚拟化网络平安防护。因为应用只与虚拟层交互，而与真正的硬件隔离，导致应用层的平安威胁缺乏监管而泛滥，平安管理人员看不到设备背后的平安风险，效劳器变得更加不固定和不稳定。云环境中B/S架构的业务普遍存在，大量的Web业务应用引入各种各样的漏洞，给了入侵者可乘之机。黑客能够利用这些漏洞发起对云应用的攻击，比方SQL注入、跨站脚本攻击等，进而实现对内部敏感信息监控、窃取、篡改等目的。因此需要有效的设备来识别并防护针对业务系统漏洞的攻击。防止漏洞攻击云平台内部有大量业务效劳器，其底层和业务应用系统会不断产生新的平安漏洞，给了入侵者可乘之机。黑客能够利用这些漏洞发起对云平台的攻击，比方mail漏洞、后门漏洞、操作系统漏洞、ftp漏洞、数据库漏洞，实现对敏感信息监控、窃取、篡改等目的。因此需要有效的手段来识别并防护针对系统漏洞的攻击。接入平安需求云平台接入平安首先要考虑租户的平安接入，租户接入的目的主要是对托管的业务、租赁的效劳进展运维管理，因此需要对接入平台的租户身份进展有效的认证，防止非法用户接入带来的危害；而对于普通用户来说，平台内部哪些资源是对其开放的，哪些资源不能访问需要界定；在整个大平台内部，不同的云业务及虚拟私有云之间会有大量的信息交互，因此需要考虑如何保障云间业务的平安互联，防止信息泄露和越权访问。云间平安互联云平台里面可能包含了多个部门数据中心或虚拟私有云，跨部门或跨级别之间也会进展信息的流转，传统数据中心和云平台系统进展信息交互，这些信息往往涉及到**等级的问题，应予以严格**。因此，在信息传递过程中，必须采取适当的加密方法对信息进展加密。基于IPsec的加密方式被广泛采用，其优点显而易见：IPSEC对应用系统透明且具有极强的平安性，同时也易于部署和维护，这对于庞大的云平台来说，显得极有好处。租户平安接入集团子公司〔租户〕业务系统上线后，面临着用户远程接入访问的问题，不管是运维人员的运维接入，还是集团子公司用户的接入，都是需要慎重考虑接入平安的问题，尤其是使用BYOD接入访问，更应该对其接入进展严格的身份认证和平安核查，同时对用户访问行为进展合理的权限划分，防止平安问题从远端传递过来并在云平台蔓延。用户访问平安一些集团子公司部门通过云平台对外发布的业务应用，平台用户可以直接使用互联网进展访问，用户能够访问的资源，需要靠访问控制的平安策略来核查，防止非授权的数据泄漏问题。访问控制系统的平安目标是将云计算中心与不可信任域进展有效地隔离与访问授权。访问控制系统应根据各业务的平安级别要求和全网平安策略控制出入网络的信息流，并且系统本身具有较强的抗攻击能力。访问控制系统由防火墙系统组成，防火墙在网络入口点根据设定的平安规则，检查经过的通信流量，在保护内部网络平安的前提下，对两个或多个网络之间传输的数据包和联接方式按照一定的平安策略进展检查，来决定网络之间的通信是否被允许。业务可靠需求云平台需要保障效劳可靠性，一旦出现中断将造成重大损失，并且影响集团形象。效劳中断来源于俩方面：一方面因为攻击造成拒绝对外提供效劳，这种情况下效劳器或带宽资源被消耗完，导致无法处理后续效劳；另一方面是因为效劳器故障停顿对外效劳、出口链路中断、数据中心切换等问题带来的效劳软中断；此外，灾难、电力供应等不可抗拒性也会导致效劳中断，此类事件一旦发生，便会造成数据中心消灭性的破坏。同时会对租户的公信力产生非常不利的影响。不可抗拒性的中断建议采用冗余数据中心的方式来解决。而云平台内部，每套业务系统都会有多个效劳器〔虚机〕来承担效劳，出口网络也会选用多家Internet效劳，因此使用效劳器负载、链路负载设备就能解决软中断问题。防止拒绝效劳云平台上托管着大量的面向互联网的效劳，往往会成为拒绝效劳的攻击目标。黑客控制着大量的僵尸“肉机〞，从而发起向云平台的大量异常请求，这种攻击行为使得Web等系统充满大量需要响应的信息，严重消耗网络系统资源，导致外联效劳平台无法对外正常提供效劳，影响云平台和各集团子公司部门正常的业务开展。链路负载均衡云平台接入往往多条运营商链路，从而保证网络效劳的质量，消除单点故障，减少停机时间。为提升外部用户从外部访问内部和应用系统的速度和性能，就需要对多条链路进展负载优化，实现在多条链路上动态平衡分配，并在一条链路中断的时候能够智能地自动切换到另外一条链路，保障业务应用不中断。全局负载均衡当*一云中心出现系统性故障时，或者*一云中心的性能负载出现过大问题时，可以通过全局负载，进展实时业务调度，让两个或者多个云数据中心能够互为备份，让用户获得就近最快速的访问。2.3租户侧需求2.3.1租户间隔离需求分析在设计方案中我们看到，要求将各部门的业务通过逻辑隔离划分不同的平安域，首先云平台建立时需考虑将根底设施资源划分为两个独立的区域，两个区域间不能直接访问，仅能通过跨网数据交换区进展数据交换。其次为满足等保合规需求，每个业务区内还需要划分二级等保区和三级等保区两个区域，两者的计算资源不允许共享。每个等保区域内不同租户应用间通过VLAN/V*LAN网络隔离，租户间通过访问控制设备进展访问控制，制止非授权访问。2.3.2租户虚拟机需求分析在云平台的环境下，租户内部存在一台或多台虚拟机，虚拟机是否平安和可靠直接影响到租户业务的质量好坏，而虚拟机主要存在以下需求：对虚拟主机进展平安加固，采取措施防止通过虚拟机漏洞获得对所在物理机的访问和控制；单台物理效劳器上的各虚拟机之间可能存在二层流量交换，而这局部流量对于管理员来说是不可见的。在这种情况下，管理员需要判断虚拟机之间的访问是否符合预定的平安策略，或者需要考虑如何设置策略以便实现对虚拟机之间流量的访问控制及平安风险检测；保证不同虚拟机之间的隔离，屏蔽非必要的虚拟主机之间的互访，即使有数据互访的需求也是在管理员知情并批准的提前下且需经过防火墙的平安检测；对虚拟机的可靠性保障，实时监测虚机的性能状态，出现故障时能及时修复，在多台虚机间做负载均衡；提高虚拟机的利用率，实时监测虚拟机的业务量，在业务的顶峰期，能够新增适量的虚拟机来保障用户访问请求的及时快速处理。在业务的低谷期，能够减少虚拟机来防止资源的浪费，实现资源的动态调整。2.3.3租户互联网业务需求分析租户基于云平台构建的互联网业务系统，其平安风险与传统基于物理主机构建的业务应用相似，操作系统、数据库、Web效劳器软件、中间件及应用软件相关平安风险和可靠度均需要加以关注。租户的互联网业务主要承载对外发布系统、门户等，用户主要是互联网用户，因此该区域的需求分为了访问控制、web平安防护、入侵防御、病毒防护、平安管理、应用可靠、用户体验。1.虚拟化访问控制：通过互联网接入云租户的用户，合法性难以保证，因此需要设置相应的访问平安策略来控制流量的访问，实现平安隔离与防护。2.虚拟化Web平安防护：在云平台中，同样存在Web攻击，黑客通常会采用Web攻击的方式来入侵Web效劳器，一旦获取了权限，将造成信息泄露、网页篡改等风险，因此对于云平台同样需要做到Web的平安防护。3.入侵防御：风险不仅存在于网络层，业务应用如果存在漏洞，也会给黑客可趁之机，造成漏洞攻击，同时还存在各种病毒侵染，因此需要有完备的入侵防御体系来保障租户业务的平安。4.业务可靠：租户的业务系统上线后，与传统的硬件平台一样，也存在着应用假死、出口线路拥塞&故障、用户的请求被错误的分配等问题，我们需要提供一种有效的方法实现云应用的实时监控及访问请求的智能调度，杜绝因虚机故障或应用假死造成访问中断。5.用户体验：当访问量过多，业务量太大时，用户的访问速度变慢，如何在不改变用户的使用习惯的情况下，通过合理调配链路、虚拟机等资源来实现访问速度的提升.2.3.4租户外网业务需求分析租户的外网业务主要是用于各集团子公司单位人员接入访问或者移动办公、出差人员的访问，流量经过互联网或者广域网，该区域存在的需求如下：1.平安接入：访问的人员需要经过认证授权，防止非法访问，同时流量流经城/广域网，需要进展加密传输，防止数据泄密的风险。2.权限划分：众多的应用系统需要采用合理的访问权限控制机制，防止将重要效劳器暴露在所有内网甚至外网用户面前，因密码爆破、越权访问等行为导致系统内重要数据的泄露。同时，针对于不同的应用系统对访问人员做好细致的访问权限控制，防止越权访问。3.流量清洗：病毒、木马可以通过广域网扩散到云平台，而终端用户的平安意识往往比较薄弱，如果终端被黑客控制，成为黑客攻击的跳板，将会对整个云平台业务造成损失，因此我们需要对访问流量进展清洗，以保证其平安性。4.平安防护：与传统数据中心类似，云平台中的平安需求也是不仅能够防护传统网络层的风险，还能识别并防护应用层的威胁，防止漏洞攻击，实现双向内容检测，防止敏感信息泄露。5.应用加速：很多业务应用通过广域网传输时，即使带宽够用，但往往丢包多、延时大，比方视屏会议，经常会出现马赛克、画质不清晰等问题，导致体验不佳，如何实现用户与云间核心应用的加速.6.业务可靠：租户的业务系统上线后，与传统的硬件平台一样，也存在着应用假死、虚机故障、出口线路拥塞&故障、用户的请求被错误的分配等问题，我们需要从以下两个方面来更好的保障租户业务系统的稳定：提供一种有效的方法实现云应用的实时监控及访问请求的智能调度，从而保障用户访问体验，杜绝因虚机故障或应用假死造成用户访问中断。和管理平台进展实时联动，在业务的顶峰期，能够新增适量的虚拟机来保障用户访问请求的及时快速处理。在业务的低谷期，能够减少虚拟机来防止资源的浪费。2.5管理运维需求"三分技术，七分管理"，有效的运维管理是保障平安的重要手段。基于云计算模式的业务系统对数据平安、隐私保护提出了更高的要求，在数据管理权与所有权别离的状态下这些问题显得更加突出。从运维平安的角度来看，可信云的建立需要严格界定云平台的应用边界，同时还要健全云计算数据保护的标准体系，建立完善的云计算效劳平台建立规*和信息平安管理规*，从管理上最大限度地降低风险隐患。在管理运维角度，我们从以下几个方面进展重点关注：租户运维：需要将租户管理账号与云根底设施管理账号的权限别离，防止租户主机非授权访问。同时租户管理界面还能够直观的看到当前云平台提供的各类平安、效劳、稳定性组件，租户管理只需在管理界面上即可轻松的开启、关闭各功能模块，从而实现租户的个性化平安、效劳需求。同时，在管理平台上应能定期的生成各租户的平安风险报表，可以帮助平台上催促租户进展漏洞发现、平安整改等工作。从而让租户管理员轻松的了解目前的平安短板所在，从而进展针对性的补足。云平台运维：管理平台〔网管平台、平安管理平台、云管理平台〕仅允许通过管理区域内的管理终端本地访问，防止远程管理可能引入的系统风险。同时在互联网区与公用网络区的管理网络中断部署防火墙等平安设备，用于两个管理网络的平安隔离。网管平台通过SNMP等方式实现对多种IT资产进展统一的管理，包括效劳器、网络设备、平安设备、应用系统等设备。同时云平台管理员从平安管理平台上能够看到当前平台下所有虚机的平安风险状况，从而可以更加有效的管理整个云平台的平安。平台效劳商合作运维：具备通过统一的接口实现云监管平台的相关管理功能要求〔OpenStack〕，能够和平台效劳商进展合作开发，从而实现更加高效、完整易用的管理。设计原则本次云平台的总体设计原则如下：统一性原则由于云计算是一个复杂的体系，应在统一的框架体系下，参考国际国内各方面的标准与规*，严格遵从各项技术规定，做好系统的标准化设计与施工。成熟稳定由于云计算的开展变化很快，而本工程建立时间紧，涉及面广，应用性强，在设计过程中，应选成熟稳定的技术和产品，确保建成的云平台适应各方的需求，同时节约工程施工时间。实用先进为防止投资浪费，云平台体系的设计不仅要求能够满足目前业务使用的需求，还必须具备一定的先进性和开展潜力，使系统具有容量的扩大与升级换代的可能，以便该工程在尽可能的时间内与业务开展和信息技术进步相适应。开放适用由于云计算平台为各业务应用系统提供支撑，必须充分考虑系统的开放性，提供开放标准接口，供开发者、用户使用。经济性原则云计算操作系统应在满足云平台建立需求的前提下具备较高的性价比。同时，云计算操作系统必须提供本地化技术支持，降低云平台维护本钱。平安可靠云平台涉及用户*围广，数量大，实时性强，设计时应加强系统平安防护能力，确保系统运行可靠，业务不中断，数据不丧失。本次方案设计中参考的依据如下：GB17859-1999计算机信息系统平安保护等级划分准则GB/T22239-2021信息平安技术信息系统平安等级保护根本要求GB/T22240-2021信息平安技术信息系统平安等级保护定级指南GB/T25058-2021信息平安技术信息系统平安等级保护实施指南中共中央办公厅、国务院办公厅?国家信息化领导小组关于我国电子政务建立的指导意见?〔中办发[2002]17号〕；国家信息化领导小组?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号〕；?国家信息化领导小组关于推进国家电子政务网络建立的意见?〔中办发[2006]18号〕；国务院办公厅关于加强政府建立和管理工作的意见(国办发〔2006〕104号〕；国家开展改革委?关于国家电子政务外网〔一期工程〕工程建议书的批复?〔发改高技[2004]2135号〕；解决方案4.1解决方案综述对于云效劳商而言，根据前面的需求分析，以及平台的建立思路和建立目标，我们从平台层、租户层、平安运维管理这三个方面来设计云平台整体平安方案,其框架图如下所示：云平台平安设计框架在平台层，我们主要解决了平台整体的网络数据平安的问题，以及租户和用户接入平台、云间互联的平安问题，此外云平台层面，我们也考虑了业务可靠性的平安保障。这局部主要采用硬件设备：平台互联网出口：两台下一代防火墙、两台应用交付、两台SSLVPN在租户层，我们考虑了业务平安上云的问题，以及业务应用平安、租户、用户接入平安问题，此外在租户侧我们还考虑了主机和虚机横行访问的平安问题。每个租户根据需求部署虚拟化软件平安、优化产品〔根据第一期要求，配置**个租户的规模〕，vAF共计**核授权、vAD共计**核授权：vAF：每个租户的虚拟下一代防火墙，分配2-8核虚拟CPU，提供200-1G性能vAD：每个租户的虚拟应用交付，分配分配2-8核虚拟CPU，提供200-2G性能在平安运维管理方面，我们从平台方和运维方分别分别进展了平安运维考虑，帮助平台方实现集中监控和运维审计，实现租户随需选配和自主运维平安效劳的需求。运维管理网边界：下一代防火墙、一套集中管理系统SC4.2平台侧设计方案云平台平安部署框架如上图所示，在云平台物理网络边界部署平安、应用交付类产品，如下一代防火墙NGAF、平安网关SSLVPN、应用交付AD等产品，形成平安硬件资源池，在物理网络出口提供平台级的整体平安保护，实现如区域划分、接入控制、病毒防护、入侵防护、漏洞检测、DDoS攻击防护、WEB平安防护、接入平安、效劳器负载均衡等功能，实现2到7层平安防护和应用、链路的负载优化，实现精细的区域划分与可视化的权限访问控制，保证云平台和内部业务系统具备更高的平安性、可用性、持续性，以及快速性。平台平安方案云平台物理网络出口部署的下一代防火墙NGAF可以有效保障平台的平安。深信服下一代防火墙〔Ne*t-GenerationApplicationFirewall〕NGAF面向应用层设计，能够准确识别用户、应用和内容，具备完整平安防护能力，能够全面替代传统防火墙，并具有全面的应用层平安防护功能和强劲的处理能力。深信服NGAF设备实现了完整的二到七层网络数据平安保护，提供了业界领先的访问控制、入侵防御、病毒防护、漏洞保护、Web应用平安保护等功能，实时防御来自互联网、外网的非法访问、入侵、蠕虫、病毒、木马、漏洞攻击、web攻击、应用攻击等威胁行为，确保了平台网络和业务系统数据持续平安运行。平台分区分域平台层整体平安架构如上图所示，依照云平台的建立需求，本次云平台利用NGAF实现了公用网络区和互联网区区域边界划分，其中公用网络区主要是部门系统内和系统间的互访，互联网用户不能直接访问这个区域的数据和信息系统；互联网区部署的是集团的WEB等托管效劳，完成信息互联网发布和数据填报。在各平安区内，又从接入区、核心网络交换区、计算存储区、运维管理区进展平安区域划分，而在公用网络区和互联网区之间，专门设置了数据交换区，满足两个区域之间高强度的网络数据隔离和信息互换需求。通过云平台区域边界划分和平安隔离，实现网络效劳、应用业务的独立性和各业务的隔离、互访平安保障。防网络病毒NGAF提供了先进的网络级病毒防护功能，能够有效查杀病毒木马、僵尸网络、APT攻击、漏洞攻击等威胁，防止针对云平台的病毒入侵行为。NGAF的APT检测功能主要解决的问题：针对平台内部的主机感染了病毒、木马的机器，其病毒、木马试图与外部网络通信时，AF识别出该流量，并根据策略进展阻断和记录日志。帮助客户能够定位出那台PC中毒，并能阻断其网络流量，防止一些非法恶意数据进入客户端，起到更好的防护效果。NGAF提供了网络病毒防护功能，从病毒传播的途径中对HTTP、FTP、SMTP、POP3等协议流量中进展病毒查杀，亦可查杀压缩包〔zip，rar，7z等〕中的病毒，内置百万级别病毒样本，确保查杀效果。应用平安防护云环境中B/S架构的业务普遍存在，大量的底层系统和Web业务应用会成为黑客入侵的跳板，因此需要有效的手段防御WEB应用攻击，防止云平台在应用平安保护上出现短板。NGAF具备专业的web应用平安防御功能，能够解决常见的web应用平安问题，如SQL注入攻击，跨站脚本攻击攻，CSRF即跨站请求伪造，扫描攻击，文件包含漏洞攻击，目录遍历漏洞及弱口令风险发现。并且能通过隐藏业务系统版本来提高入侵者的攻击难度。可隐藏的效劳器包括WEB效劳器、FTP效劳器、效劳器等。可隐藏的应用信息包含HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏。NGAF有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制，实现双向的内容检测，提供OWASP定义的十大平安威胁的攻击防护能力，有效防止常见的web攻击。〔如，SQL注入、*SS跨站脚本、CSRF跨站请求伪造〕从而保护免受篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。防止漏洞攻击云平台内大量主机的底层和业务应用系统会不断产生平安漏洞，给了入侵者可乘之机。黑客能够利用这些漏洞发起对漏洞攻击，比方mail漏洞、后门漏洞、操作系统漏洞、ftp漏洞、数据库漏洞，实现对敏感信息监控、窃取、篡改等目的。NGAF同时提供实时的漏洞保护和防护能力，能够实时对操作系统、应用程序漏洞，如HTTP效劳器(Apache、IIS)，FTP效劳器(FileZilla)，Mail效劳器(E*change)，Realvnc，OpenSSH，Mysql，DB，SQL，Oracle等漏洞保护，包括后门程序预防、协议脆弱性保护、e*ploit保护、网络共享效劳保护、shellcode预防、间谍程序预防等，有效防止了云平台主机漏洞被利用而成为黑客攻击的跳板。NGAF还内置了国内最大的僵尸网络识别库，能有效防止云平台内部大量的主机被植入僵尸病毒。该特征库包含木马，广告软件，恶意软件，间谍软件，后门，蠕虫，漏洞，黑客工具，病毒9大分类。特征库的数量目前已达五十万，并且依然以每两周升级一次的速度持续进展更新。多业务数据隔离和交换面向外网用户的公共效劳区和面向互联网效劳的互联网区，两区之间采用强隔离技术实现数据交换或同步:为了保障平台层的平安，在互联网区与公用网络区出口边界部署深信服下一代防火墙NGAF。NGAF面向应用层设计，能够准确识别用户、应用和内容，具备完整平安防护能力，能够全面替代传统防火墙，并具有全面的应用层平安防护功能和强劲的处理能力。深NGAF设备实现完整的二到七层网络数据平安保护。深信服NGAF提供了业界领先的访问控制、入侵防御、病毒防护、漏洞保护、Web应用平安保护等功能，实时防御来自互联网、外网的非法访问、入侵、蠕虫、病毒、木马、漏洞攻击、web攻击、应用攻击等威胁行为，确保用户接入平安，保障平台网络和业务系统数据持续平安运行。接入平安方案集团子公司〔租户〕业务系统上线后，面临着用户远程接入访问的问题，不管是运维人员的运维接入，还是租户的接入，都是需要慎重考虑接入平安的问题，尤其是使用BYOD接入访问，更应该对其接入进展严格的身份认证和平安核查，同时对用户访问行为进展合理的权限划分，及接入访问的审计追溯，防止平安问题从远端传递过来并在云平台蔓延。云间平安互联云平台里面可能包含了多个部门数据中心或虚拟私有云，跨部门或跨级别之间也会进展信息的流转，租户传统数据中心之间、传统数据中心和云平台系统进展信息交互，这些信息往往涉及到**等级的问题，应予以严格**。因此，在信息传递过程中，必须加密方法措施进展平安加固。IPSec对应用系统透明且具有极强的平安性，同时也易于部署和维护，这对于庞大的云平台来说，显得极有好处。深信服SSLVPN网关也提供了专业的IPSecVPN功能，满足云平台业务使用IPSecVPN技术专网互联的需求，实现各区域平安数据平安加固。深信服VPN设备内置了AES/SANGFOR-DES/DES/3DES/RSA等多种加密算法，支持MD5/SHA-1等标准HASH算法，包括国家密码管理局指定的基于SCB2的标准加密算法。通过IPSEC在Internet上建立平安可信的隧道，各实体之间的数据都是通过平安隧道传递。高平安性深信服IPSecVPN支持AES、DES、3DES、RSA等多种国际主流的加密算法，保证了数据传输的高平安强度；深信服IPSecVPN通过多重平安技术保证接入的平安性；深信服IPSecVPN采用VPN权限粒度分析技术，可以简单灵活的指定每个VPN用户的具体权限，可以细致到端口级别的权限，消除了病毒通过一些不平安的端口进展跨网传播的隐患。高稳定性SANGFORVPN通过VPN隧道、线路和设备三方面的全方位保证整个VPN网络的稳定性。支持隧道自愈技术，实时探测VPN隧道连接情况，一旦检测到VPN拨号中断则在3秒内自动进展VPN重新拨号；对于线路中断的情况，通过隧道自愈技术，一旦检测到线路恢复，则立即进展隧道的重新建立，无需人为操作实现VPN网络的自动恢复。支持多线路技术实现多条线路之间的主备，可设备主线路组合备线路组，并可实现在主线路组、备线路组中分别进展带宽的叠加及负载均衡。当主线路组中的*条线路中断，则该条线路上的数据则自动切换到主线路组中的其他线路上；当主线路组中所有线路都无法使用时，则备线路组自动启用。充分的利用了各条线路，在保证线路的高稳定性下实现线路价值的最大化。租户平安接入集团子公司〔租户〕业务系统上线后，面临着用户远程接入访问的问题，不管是运维人员的运维接入，还是租户的接入，都是需要慎重考虑接入平安的问题，尤其是使用BYOD接入访问，更应该对其接入进展严格的身份认证和平安核查，同时对用户访问行为进展合理的权限划分，及接入访问的审计追溯，防止平安问题从远端传递过来并在云平台蔓延。通过部署深信服SSLVPN设备，可以保障云平台内部应用系统的平安发布，实现智能终端对业务的无缝访问，实现云应用的授权访问，保障远程访问平安，实现应用系统平安加固，确保合法身份通过合法行为接入合法系统。在租户业务系统的平安接入方面，我们的设计思路是从身份认证平安〔访问事前控制〕、终端访问及数据传输平安〔访问事中检查〕、权限和应用访问审计〔访问事后追查〕，这三个方面来进展平安体系来深入考虑。事前控制：接入身份平安、合法性保障我们建议在业务系统需要提供远程平安接入时，在用户认证方面采用多种认证方式组合认证的方式。如USBKEY、硬件特征码、短信认证、动态令牌卡等认证方式。单一的认证方式容易被暴力破解，为了进一步提高身份认证的平安性，深信服建议采用混合认证，针对以上认证方式可以进展多因素的“与〞、“或〞组合认证。事中检查：系统终端访问过程平安在访问这些应用系统的过程中，应该更应该考虑访问、读取过程的平安，而终端的接入过程影响着整个系统的平安，对于终端接入的平安需要从终端本身方面保证，接入的终端必须到达一定的平安标准才允许接入，防止危险终端的接入。本方案建议根据情况，进展客户端平安检查结果进展相应应用访问权限的准入和授权，同时通过SSLVPN成功接入到内网中后，则自动断开其他的Internet线路，只保存SSLVPN的通道，防止黑客通过Internet控制接入。事后追查：整体保障应用系统平安运维管理在访问过程的进展日记记录，提供管理日志和效劳日志等日志。管理日志可提供管理员访问、操作日志，效劳日志提供信息、告警、调试、错误日志，方便管理员对系统进展诊断。用户访问日志则提供用户访问时信息〔登录IP、访问资源、时间、认证方式〕、用户活泼程度、用户/用户组流量排行及查询、用户/用户组流速趋势及查询。告警日志提供〔暴破登录攻击记录、CPU长时间占用过高记录、设备内存缺乏〕、用户暴破登录、主从用户名非法访问记录等。业务可靠需求平台业务可靠性方面，主要是云平台互联网区的业务可靠性，因为该区域直接面向公网用户，为了保障效劳质量和业务应用的可靠性，在云平台部署深信服应用交付AD设备，同时启用互联网出口NGAF设备的防DDoS功能，就可以有效的抵御黑客恶意的拒绝效劳攻击行为，并且提供链路和效劳器的负载均衡，保障平台可靠运行。防拒绝效劳攻击云平台上托管着大量的面向互联网的效劳一旦发生拒绝效劳攻击，外联效劳平台无法对外正常提供效劳，影响云平台和各部门正常的业务开展。NGAF采用自主研发的DOS/DDoS攻击算法，可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等，实现对网络层、应用层的各类资源耗尽的拒绝效劳攻击的防护，实现L2-L7层的异常流量清洗。链路/全局负载均衡深信服AD产品是专业的应用交付设备，给云平台提供了专业的链路负载均衡、效劳器负载均衡解决方案，在链路或效劳正常运行时，实现链路和效劳的最优化利用，在出现故障时，迅速切换到备份链路和冗余效劳器上，杜绝因虚机故障或应用假死造成用户访问中断。此外，AD还具有全局负载均衡功能，等将来备份数据中心建好后，还能实现将用户访问请求引导到最快最优的数据中心进展响应。链路负载均衡深信服AD设备能够进展DNS请求转发，通过深信服AD寻找适宜的DNS效劳器返回给请求用户。利用链路繁忙控制、智能路由等技术，通过事先设定好负载算法，就能按照事先设定的链路利用策略将流量分配到不同的链路之上，实现多条链路负载运行，保障了网络资源利用率的最优、最大化。链路的安康检查深信服AD设备包含的单边加速技术是对这类用户访问速度的一种保障。深信服单边加速技术通过自动、实时、持续、动态地侦测网络路径中的延迟、丢包、重传的情况，改变传出机制和改善传输拥塞机制，防止数据报文的过度重发，减少应用响应时间，提升TCP传输效率，从而节省了企业广域网带宽资源和响应时间。全局负载均衡深信服全局负载均衡设备通过多个Internet站点的可达性，来共同判断一条链路的状况。例如，通过电信线路检查.sina.、.sohu.、以及.qq.的TCP80端口，并对检查结果做“或〞运算。这样，只要其中一个站点可达，即可说明链路状态良好。该方法即防止了ICMP检查的局限性，也防止了单一站点检查带来的单点失误。虚拟效劳的安康检查深信服全局负载均衡设备在部署网络中，每台AD设备都会对所有数据中心的虚拟效劳进展监测，这样不仅可以实时发现出现故障的数据中心，同时也可以监视虚拟效劳在IP、TCP、UDP、应用和内容等所有协议层上的工作状态。一旦发现*个数据中心或者效劳器出现故障，用户即被透明地重定向到正常工作的数据中心或者效劳器之上。4.3租户侧设计方案租户平安设计云租户平安防护指的是，在效劳器虚拟化环境下，对不同租户间、租户内部虚拟机间的流量进展平安防护和隔离。通过虚拟化软件平安、优化产品，如软件版下一代防火墙vAF、软件版应用交付vAD、软件版vSSLVPN等产品，形成软件平安、优化资源池。这些软件平安、优化资源池提供了针对虚拟化网络的2到7层平安防护和应用的负载优化，实现精细的区域划分与可视化的权限访问控制。如区域划分、接入控制、病毒防护、入侵防护、漏洞检测、DDoS攻击防护、WEB平安防护、数据泄露保护、网页篡改保护、效劳器负载均衡等。通过平安软件资源池，可以实现按需分配、灵活部署的平安保护。我们主要从以下方面考虑：租户VPC隔离在租户的平安这一块，我们首先要做的是区分出各租户的边界并予以平安隔离，鉴于云的特征，我们将每一个租户划分成一个独立的虚拟区域，并在每一个区域使用虚拟防火墙进展区域之间的隔离，从而防止不受信的租户之间的数据互访造成平安隐患。租户平安边界我们将虚拟防火墙以虚机的方式部署在租户虚拟网络和云网络的边界，针对租户应用系统的南北流量平安防护和隔离，包括租户间的平安隔离，防止非法人员从云平台内部进展平安攻击；租户应用对外的平安防护和隔离，防止非法人员从外网、互联网进展平安攻击。租户虚机L2-L7平安在租户虚机的L2-7平安这一块，我们为每个租户部署一套虚拟防火墙并开启FW+IPS功能模块，通过收集和分析网络行为、平安日志、审计数据、其它网络上可以获得的信息以及计算系统中假设干关键点的信息，检查网络或系统中是否存在违反平安策略的行为和被攻击的迹象。并且提供主动式入侵防御功能，能够阻止蠕虫、病毒、木马、拒绝效劳攻击、间谍软件的攻击。同时我们建议租户部署的虚拟防火墙开启漏洞扫描和分析功能模块，从而为每一位租户建立威胁预警机制，提供系统级的平安隐患分析效劳，包括外部访问、系统维护、等信息汇总。提供系统平安分析，包括可疑访问、恶意访问、平安试探、异常数据访问等平安隐患的预警性分析。业务系统平安为了保障云平台内部应用系统的平安发布，并实现智能终端对业务的无缝访问，可以部署虚拟化SSLVPN组件，实现云应用的授权访问，保障远程访问平安，实现应用系统平安加固，确保合法身份通过合法行为接入合法系统。云环境中B/S架构的业务普遍存在，大量的底层系统和Web业务应用引入各种各样的漏洞，因此需要在平安资源池中分配虚拟防火墙对指定的业务系统系统或web应用进展防御，解决常见的web应用平安问题，如SQL注入攻击，跨站脚本攻击攻，CSRF即跨站请求伪造，扫描攻击，文件包含漏洞攻击，目录遍历漏洞及弱口令风险发现。并且能通过隐藏业务系统版本来提高入侵者的攻击难度。可隐藏的效劳器包括WEB效劳器、FTP效劳器、效劳器等。可隐藏的应用信息包含HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏。为每一个租户部署的虚拟防火墙具备专业的WEB应用平安防护功能，有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制，实现双向的内容检测，提供OWASP定义的十大平安威胁的攻击防护能力，有效防止常见的web攻击。〔如，SQL注入、*SS跨站脚本、CSRF跨站请求伪造〕从而保护免受篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。深信服虚拟防火墙还能在虚拟化平台上对指定的效劳器进展网络隔离，来解决边界弱化的问题。在虚拟化数据中心里，各种应用有可能部署在同一台效劳器上，导致边界弱化和越权访问等问题，难于识别虚拟化网络内部的网络层和应用层平安风险，平安等级难以划分；虚拟防火墙根据国家等级保护规*，提供了完整的应用控制方案，并对虚拟机与虚拟机之间的流量进展7层的平安检测，提供基于应用的平安控制，使不同业务之间的虚拟机互相隔离。业务稳定可靠为了保障云平台内部应用系统发布后的稳定运行，并实现每一个用户访问业务系统的使用体验。可以部署虚拟化AD组件，实现云应用的实时监控及访问请求智能调度，保障用户访问体验，杜绝因虚机故障或应用假死造成用户访问中断。作为虚拟化落地成败的关键因素，重中之重，就是如何保证业务系统的稳定、高性能和高可用性。本解决方案中将从以下方面来解决上述问题：1、建立虚拟机安康检查机制，当虚拟机出现业务故障时，能够即刻监测，并通知管理平台重启虚拟机，快速恢复业务；并且当虚拟机退出和进入时，帮助用户平滑下线和温暖上线；2、通过性能优化机制，节省效劳器性能消耗，减少硬件投资本钱，保障效劳器高性能；3、建立虚机负载均衡机制，容灾冗余的同时，在业务顶峰期或低谷期动态增加或删除虚拟机，使得配置更灵活，资源利用更充分；4、通过与虚拟化根底架构的智能交互，简化运维管理，实现配置自动化，提高运维效率，防止人为失误；5、针对对外发布的应用，解决因用户的网络质量差、跨运营商访问造成访问速度变慢的情况，提升用户的访问体验；业务平安接入为了保障云平台内部应用系统的平安发布，并实现智能终端对业务的无缝访问，可以部署深信服SSLVPN设备，实现云应用的授权访问，保障远程访问平安，实现应用系统平安加固，确保合法身份通过合法行为接入合法系统。在租户业务系统的平安接入方面，我们的设计思路是从身份认证平安〔访问事前控制〕、终端访问及数据传输平安〔访问事中检查〕、权限和应用访问审计〔访问事后追查〕，这三个方面来进展平安体系来深入考虑。事前控制：接入身份平安、合法性保障我们建议在业务系统需要提供远程平安接入时，在用户认证方面采用多种认证方式组合认证的方式。如USBKEY、硬件特征码、短信认证、动态令牌卡等认证方式。单一的认证方式容易被暴力破解，为了进一步提高身份认证的平安性，深信服建议采用混合认证，针对以上认证方式可以进展多因素的“与〞、“或〞组合认证。事中检查：系统终端访问过程平安在访问这些应用系统的过程中，应该更应该考虑访问、读取过程的平安，而终端的接入过程影响着整个系统的平安，对于终端接入的平安需要从终端本身方面保证，接入的终端必须到达一定的平安标准才允许接入，防止危险终端的接入。本方案建议根据情况，进展客户端平安检查结果进展相应应用访问权限的准入和授权，同时通过SSLVPN成功接入到内网中后，则自动断开其他的Internet线路，只保存SSLVPN的通道，防止黑客通过Internet控制接入。事后追查：整体保障**系统平安运维管理在访问过程的进展日记记录，提供管理日志和效劳日志等日志。管理日志可提供管理员访问、操作日志，效劳日志提供信息、告警、调试、错误日志，方便管理员对系统进展诊断。用户访问日志则提供用户访问时信息〔登录IP、访问资源、时间、认证方式〕、用户活泼程度、用户/用户组流量排行及查询、用户/用户组流速趋势及查询。告警日志提供〔暴破登录攻击记录、CPU长时间占用过高记录、设备内存缺乏〕、用户暴破登录、主从用户名非法访问记录等。在租户传统数据中心的平安互联方面，我们的设计思路是从低价值流量削减、应用优化、网络质量改善、流量整形几个方面来做：〔1〕大幅削减低价值流量，降低带宽负荷，实现带宽增值采用动态流压缩、基于码流特征数据优化对云数据中心-传统数据中心的传输网络中的低价值流量进展大幅削减。对与数据中心同步无关的流量进展削减后，约可实现30%-50%以上的削减。通过流量削减，可以保障云数据中心-传统数据中心的专线带宽占有率在一个较为安康的*围之内，即使在顶峰期同样可以顺畅的进展数据同步。〔2〕应用优化针对数据备份软件、数据库同步、FTP文件传输等应用，通过应用优化策略，可进展进一步的优化，减少数据小包交互，提升访问速度，提高工作效率。〔3〕改善网络质量通过快速重传、选择性重传、改善拥塞机制、增大滑动窗口大小等几个方面对传统的TCP传输协议做改进，提升链路在丢包、延迟、抖动环境下的传输质量和应用访问速度。〔4〕流量整形，合理规划带宽资源通过应用流量可视化了解各应用的流量分布情况后，现可根据业务关键程度进展流量整形。针对数据库同步、数据备份软件等核心业务系统及应用进展单独的高优先级带宽保障，设置最小保障带宽保证使用。当数据库同步未启用、、数据备份软件等应用流量不很是多未占满保障带宽时，剩余带宽将借用出来提供应其他应用使用。针对其余应用、各主机，可根据其关键程度进展相应的带宽保障、带宽限制策略设置。〔5〕智能报表反响，不断调优效果在完成上述优化后，还可通过智能报表功能对优化后的网络流量分布及流量削减效果进展查看，并进一步调整流量分配及优化策略，做到动态调整，层层深入。租户应用场景根据各个集团子公司租户在云平台的应用场景，可以划分为：/应用的托管部署应用需求：将单个应用，完全部署在云平台环境中，对公众、横向兄弟单位提供接入访问建议部署组件：采用vAF提供租户间、对外南北流量的平安防护；vAD提供虚拟机的效劳器负载均衡，提升应用的可靠性应用混合云部署应用需求：在云平台部署了局部应用系统，或者单个应用的系统的局部组件〔如仅部署Web效劳器，DB还在传统数据中心〕，这些虚拟机依然需要与租户的传统数据中心〔租户DC〕进展数据访问；同时，为了提升对外访问的平安性，需要进展加密传输和认证加固。建议部署组件：除了部署vAF、vAD外，还需要部署vVPN，针对访客提供SSLVPN平安接入，针对租户数据中心提供IPSecVPN接入。多应用系统托管部署：应用需求：租户在虚拟网络中部署了多个应用系统，需要针对不同应用系统虚拟机之间的访问流量进展平安防护控制，满足平安合规要求。建议部署组件：除了部署vAF、vAD以外，还需要部署插件版AF，它可以通过VMware的VMsafe接口，从效劳器虚拟化底层针对不同的虚拟机的流量进展精细的平安访问控制和虚拟补丁等效劳。4.3.6NFV平安组件部署方式深信服虚拟化软件平安、优化产品的NFV部署方式是以虚机的形式存在于在虚拟化平台中，可以快速部署于VMware、KVM、*EN、华三等效劳器虚拟化平台。vAD、vAF、vSSLVPN、vWOC以虚拟化软件形式部署，将设备以路由、单臂等部署方式在虚拟化平台上，针对不同租户开启一个对应的虚机镜像，然后配置vSwitch连通网络，数据流量经过设备平安检测与防护后到达业务系统，从而保障业务系统的平安。这种部署方式更关注南北向流量平安防护。路由部署：vAF、vWOC单臂旁挂：vAD、vSSLVPN虚拟机方式部署简单4步，快速部署上线：导入镜像：将设备镜像拷贝进入虚拟化环境注册开通：在授权效劳器上开通策略配置：配置AD、AF、SSL等虚拟设备的相关策略vSwitch配置：配置虚拟交换机实现业务的互通4.4管理运维设计方案4.4.1平台运维云管理是整个云平台后台的管理、调度、运维中心。基于Openstack平台的商业化云效劳平台，在继承原有架构灵活、扩展性强、开放性和兼容度