云数据中心安全解决方案

云数据中心安全解决方案云数据中心安全解决方案第1页传统安全防护方式

Internet防火墙

交换机

服务器

内部业务区

交换机

服务器

DMZ区

互联网区

以边界为关键安全防护模型：

• 

依据信任等级划分安全区域

• 

服务器布署于不一样物理位置

• 

服务器、网络设备、安全设备之间完全独立

• 

布署各种安全设备进行防护

防火墙

关键交换机

云数据中心安全解决方案第2页云计算含糊了物理边界

当虚拟机成为主流，物理边界在哪里？

关键交换机

接入交换机

物理服务器

虚拟机

云数据中心安全解决方案第3页云架构中安全无标准

物理设备

物理设备

Hypervisor

物理设备

计算虚拟化

存放虚拟化

自动化云管理

网络虚拟化

APP

APP

APP

APP

APP

APP

标准云架构

计算VMware、KVM、XEN、Docker、Nova……











网络VEPA、VN-TAG、OpenFlow、VXLAN、SPB、TRILL、Fabric

Path、Neutron……

















存放HDFS、Hbase、Swift、Cinder……



























安全？云数据中心安全解决方案第4页

澄清一个概念：什么是NFV？

服务器

VA

VA

VA

VA

VA

VA

服务器

VA

vRouter

vIPS

vDPI

vLB

vWAF

VM

NFV经典组网一

NFV经典组网二

NFV

vFW

服务器

VM

NFV：Network

Function

Virtualization采取服务器以软件方式处理传统独立网络服务

VA

VA

VA

VA

VA

VA

云数据中心安全解决方案第5页

NFV更适合公有云平台

公有云

私有云

NFV专长：• 

虚拟化能力强• 

业务功效丰富• 

业务定义灵活NFV不足：• 

计算与安全未分离• 

纯软件平台，占用计算资源• 

性能较低• 

管理难度较大云数据中心安全解决方案第6页

云安全

·∙

安全云

·∙

云管理

01001001

00100000

01100001

01101101

00100000

01011010

01100101

01110010

01101111

01100110

01101100

01100001

01100111

00101110

云数据中心安全解决方案第7页

VXLAN

Fabric

Spine节点

云安全处理方案

VXLAN

Security

Gateway

Leaf节点

服务器

VM

采取VXLAN实现Overlay，处理多租户隔离安全问题

云安全

云数据中心安全解决方案第8页

VXLAN

1000

VXLAN

VLAN

100

VLAN

VXLAN

L3

Gateway

VXLAN

1000

VXLAN

VXLAN



VXLAN

VXLAN组网中Gateway类型

VXLAN

L2

Gateway

VXLAN二层网关

n

实现VXLAN网络与标准以太网互通

n

在VXLAN与VLAN之间进行一对一转换

n

布署形态为TOR交换机



VXLAN三层网关n

实现不一样VXLAN之间互通n

报文跨VXLAN转发时，VXLAN报文头重新封

装，Overlay层报文进行三层转发n

布署形态包含路由器、融合安全网关

云数据中心安全解决方案第9页

L3

Gateway工作原理

VXLAN

Fabric

n

报文跨VXLAN转发时，L3

GW对

VXLAN报文头重新封装，Overlay

层报文经过进行三层转发L3

Gateway

SVI

SVI

L3转发

L3

Gateway

VTEP

VTEP

VXLAN

1000

VXLAN



云数据中心安全解决方案第10页防火墙

IPS

流控

负载均衡

Anti-DDoS

WAF

安全业务板卡

独立安全设备，易于布署

• 

安全与计算分离

• 

专业安全能力• 

专用硬件，易于布署• 

一体化集中式管理云数据中心安全解决方案第11页

云安全

·∙

安全云

·∙

云管理

01001001

00100000

01100001

01101101

00100000

01011010

01100101

01110010

01101111

01100110

01101100

01100001

01100111

00101110

云数据中心安全解决方案第12页

安全云处理方案

VXLAN

Security

Gateway

Spine节点

Leaf节点

服务器

VM

经过主机与板卡虚拟化技术，可取得安全功效和性能扩展

安全云

云数据中心安全解决方案第13页虚拟化技术：多虚一

将多个物理安全设备/板卡虚拟成为一个虚拟设备，性能、功效按需扩展

逻辑设备业务板卡物理设备VSM虚拟化云板卡业务板卡虚拟化安全资源池

云数据中心安全解决方案第14页虚拟化技术：一虚多

1个租户、1个VSA（虚拟安全设备）、1个配置界面、N个VNID

VSA

VNID

CPU

内存

吞吐量

并发连接数

新建连接数

路由协议

……

VSA1

1000

15%

20%

500M

100万

10万

OSPF

……

VSA2



25%

30%

800M

150万

20万

RIP

……

VSA3

3000

45%

40%

1G

300万

30万

BGP

……

经典配置图安全资源池

云数据中心安全解决方案第15页

FW

资源池

IPS

资源池

DDoS

资源池

WAF

资源池

业务流定义

DDoS

WAF

防火墙

入侵

防御

病毒

防范

DDoS

WAF

防火墙

入侵

防御

病毒

防范

流定义实现安全按需调度

可按需定义租户数据流经过不一样安全业务

–安全资源按需调度

云数据中心安全解决方案第16页高性能安全业务平台

DPX19000/DPX8000

防火墙

SSL

VPN

NAT

入侵防御

异常流量清洗/检测

负载均衡

流控

漏洞扫描

WEB应用防火墙

分布式硬件平台，业界性能最高多虚一虚拟化技术快速提升性能多板卡提供丰富安全增值服务云数据中心安全解决方案第17页

云安全

·∙

安全云

·∙

云管理

01001001

00100000

01100001

01101101

00100000

01011010

01100101

01110010

01101111

01100110

01101100

01100001

01100111

00101110

云数据中心安全解决方案第18页云管理

云业务

自动化云管理

云基础设施

安全资源

网络资源