云平台安全等保三级规划方案

云平台信息安全等级保护规划方案

目录TOC\o"1-4"\h\z\u1 云计算带来安全挑战 42 整体方案设计 42.1 基础安全设计 52.1.1 物理安全 5 机房选址 5 机房管理 5 机房环境 5 设备与介质管理 52.1.2 网络安全 6 安全域边界隔离技术 6 入侵防范技术 6 网络防病毒技术 6 WEB防火墙技术 7 网页防篡改技术 7 流量管理技术 7 上网行为管理技术 7 网络安全审计 82.1.3 主机安全 8 主机安全加固 8 运维堡垒主机 9 数据库安全审计 10 主机防病毒技术 10 漏洞扫描技术 102.1.4 应用安全 11 安全应用交付 11 VPN 112.1.5 安全管理中心 122.2 云计算平台安全设计 122.2.1 强身份认证 122.2.2 云安全防护系统 122.2.3 云安全运维 122.3 虚拟机安全设计 132.3.1 虚拟化安全防护关键点 132.3.2 虚拟化安全方案 142.4 方案配置 182.4.1 方案合规性分析 182.4.2 三级系统安全产品配置清单： 19

云计算带来安全挑战云计算模式当前已得到业界普遍认同，成为信息技术领域新发展方向。不过，伴随云计算大量应用，云环境安全问题也日益突出。在众多对云计算讨论中，IDC调查非常具备代表性：“对于云计算面临安全问题，75%用户对云计算安全担忧。”各种调研数据也表明：安全性是用户选择云计算首要考虑原因。云计算一个主要特征就是IT资源大集中，而伴随资源集中，对应安全风险也展现集中化趋势。即使云计算相对传统计算网络具备一定安全优势，但数据大集中会引来不法分子众矢之更多攻击。所以，做好云安全防护要从建设云阶段就开始规划设计，这么才能做到防患于未然。云计算在技术层面上关键特点是虚拟化技术利用带来资源弹性和可扩展性，虚拟机和应用程序随时可能迁移或变更，仅仅依靠传统基于物理环境拓扑安全设备已经不能完全处理云计算环境下安全问题。所以，虚拟化后云计算系统需要重新构建安全防护体系。所以，在安全云信息化建设过程中，我们应该正视可能面临各种安全风险，对网络威胁给予充分重视。为了云数据中心安全稳定运行，确保项目标顺利实施，企业具备多年云计算中心结构、运维经验，依照云数据中心现有网络特点及安全需求，本着切合实际、保护投资、着眼未来标准，提出本技术实施方案，以供参考。整体方案设计按照企业经验，将从基础设施安全、操作系统安全、云计算环境安全三大部分进行全方面分析和设计，为客户打造一套灵活、合理、可靠、合规安全环境。基础安全设计物理安全物理环境安全策略目标是保护网络中计算机网络通信有一个良好电磁兼容工作环境，并预防非法用户进入计算机控制室和各种偷窃、破坏活动发生。机房选址机房和办公场地选择在具备防震、防风和防雨等能力建筑内。机房场地应防止设在建筑物高层或地下室，以及用水设备下层或隔壁。机房管理机房出入口安排专员值守，控制、判别和统计进入人员；需进入机房来访人员须经过申请和审批流程，并限制和监控其活动范围；对机房划分区域进行管理，区域之间设置物理隔离装置，在主要区域前安装过渡区域；主要区域应配置电子门禁系统，控制、判别和统计进入人员。机房环境合理规划设备安装位置，应预留足够空间作安装、维护及操作之用。房间装修必需使用阻燃材料，耐火等级符合国家相关标准要求。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理，预防尘埃脱落，机房应安装防静电活动地板。机房设置防雷保安器，要求防雷接地和机房接地分别安装且相隔一定距离；机房设置火灾自动消防系统，能够自动检测火情、自动报警并自动灭火；机房及相关工作房间应采取具备耐火等级建筑材料；机房应采取区域隔离防火方法，将主要设备与其余设备隔离开；机房需配置空调系统，以保持房间恒湿、恒温工作环境；机房供电线路上需配置稳压器和过电压防护设备；需提供短期备用电力供给，满足关键设备在断电情况下正常运行要求；设置冗余或并行电力电缆线路为计算机系统供电；铺设线缆要求电源线和通信线缆隔离铺设，防止相互干扰；对关键设备和磁介质实施电磁屏蔽。设备与介质管理为了预防无关人员和不法分子非法靠近网络并使用网络中主机盗取信息、破坏网络和主机系统、破坏网络中数据完整性和可用性，必须采取有效区域监控、防盗报警系统，阻止非法用户各种临近攻击。另外，必须制订严格出入管理制度和环境监控制度，以保障区域监控系统和环境监控系统有效运行。对介质进行分类标识，存放在介质库或档案室中。利用光、电等技术设置机房防盗报警系统；对机房设置监控报警系统。网络安全安全域边界隔离技术依照《信息系统安全等级保护基本要求》，应该在XX单位各安全域边界处布署防火墙设备，确保跨安全域访问都经过防火墙进行控制管理。能够对全部流经防火墙数据包按照严格安全规则进行过滤，将全部不安全或不符合安全规则数据包屏蔽，杜绝越权访问，预防各类非法攻击行为。同时能够和内网安全管理系统、网络入侵检测系统等进行安全联动，为网络创造全方面纵深安全防御体系。布署设计：下一代防火墙布署于互联网出口，串行于网络中。入侵防范技术依照等级保护基本要求，三级业务系统应该在互联网出口处实现入侵防范功效。入侵防范技术是安全防护体系中主要一环，它能够及时识别网络中发生入侵行为并实时报警而且进行有效拦截防护。可与防火墙配合，共同防御来自应用层到网络层多个攻击类型，建立一整套安全防护体系，进行多层次、多伎俩检测和防护。所以，在互联网出口下一代防火墙上启用入侵防御模块非常有必要。布署设计：下一代防火墙布署于互联网出口，串行于网络中。网络防病毒技术依照等级保护基本要求，三级业务系统应该在互联网出口处布署网络层防病毒设备，并确保与主机层防病毒实现病毒库异构。在最靠近病毒发生源安全边界处进行集中防护，对夹杂在网络交换数据中各类网络病毒进行过滤，能够对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全方面拦截。阻止病毒经过网络快速扩散，将经网络传输病毒阻挡在外，能够有效预防病毒从其余区域传输到内部其余安全域中。所以，在互联网出口下一代防火墙上启用防病毒模块非常有必要，可截断病毒经过网络传输路径，净化网络流量。布署设计：下一代防火墙布署于互联网出口，串行于网络中。WEB防火墙技术XX单位网站承载了XX等主要职责，暴露在互联网上，随时会晤临黑客攻击危险，如今网络安全环境日益恶化，Web攻击方式多个多样，包含XSS跨站脚本、CGI缓冲区溢出、目录遍历、Cookie假冒等。为了应对Web攻击，WEB防火墙再配合网页防篡改技术，是保障Web服务能够连续可靠提供服务最好选择。所以，在网站服务器之前布署WEB防火墙（WAF设备）非常有必要。布署设计：WAF设备布署于网站服务器之前，串行于网络中。网页防篡改技术XX单位网站承载了XX等主要职责，暴露在互联网上，随时会晤临网页被篡改及黑客攻击危险。网页防篡改技术经过文件底层驱动技术对Web站点目录提供全方位保护，预防黑客、病毒等对目录中网页、电子文档、图片、数据库等任何类型文件进行非法篡改和破坏。可保护网站安全运行，保障网站业务正常运行，彻底处理了网站被非法修改问题。所以，在WAF上启用网页防篡改功效非常有必要。布署设计：WAF设备布署于网站服务器之前，串行于网络中。流量管理技术依照等级保护基本要求，三级业务系统应该在互联网出口处进行流量控制，确保网络发生拥堵时候优先保护主要主机，能够对带宽进行优化，经过限制带宽占用能力强应用以保护关键应用，经过多个复杂策略来实现合理带宽分配，可提升应用服务质量、提升带宽利用价值、优化网络应用、降低网络风险。所以，布署一套专业流量管理设备非常有必要。布署设计：流量管理系统布署于互联网出口，串行于网络中。上网行为管理技术依照公安部等级保护基本要求，全部用户访问互联网需要布署上网行为管理系统，并保留3个月日志。各安全区域边界已经布署了对应安全设备负责进行区域边界安全。对于流经各主要边界（主要服务器区域、外部连接边界）需要设置必要审计机制，进行数据监视并统计各类操作，经过审计分析能够发觉跨区域安全威胁，实时地综合分析出网络中发生安全事件。通常可采取开启边界安全设备审计功效模块，依照审计策略进行数据日志统计与审计。同时审计信息要经过安全管理中心进行统一集中管理，为安全管理中心提供必要边界安全审计数据，利于管理中心进行全局管控。边界安全审计和主机审计、应用审计、网络审计等一起组成完整、多层次审计系统。所以，必须布署一套上网行为管理系统实现对内部用户访问互联网行为进行监控、日志进行统计。布署设计：上网行为管理系统布署于互联网出口，串行于网络中。网络安全审计针对用户访问业务系统带给我们困扰以及很多安全隐患，需要经过网络安全审计系统利用实时跟踪分析技术，从发起者、访问时间、访问对象、访问方法、使用频率各个角度，提供丰富统计分析汇报，来帮助用户在统一管理互联网访问日志同时，及时发觉安全隐患，帮助优化网络资源使用。网络安全审计系统针对互联网行为提供有效行为审计、内容审计、行为报警、行为控制及相关审计功效。从管理层面提供互联网有效监督，预防、阻止数据泄密。满足用户对互联网行为审计立案及安全保护方法要求，提供完整上网统计，便于信息追踪、系统安全管理和风险防范。依照公安部等级保护基本要求，全部信息系统都需要布署网络审计系统，并保留3个月日志。所以，必须布署一套网络审计系统对全网行为进行监控、日志进行统计。布署设计：网络审计系统旁路布署在关键交换上，实现全网网络行为统一审计，搜集网络设备、安全设备、主机系统等设备运行情况、网络流量、用户行为等日志信息，并对搜集到日志信息进行分类和关联分析，并可依照审计人员操作要求生成统计报表，方便查询和生成汇报，为网络事件追溯提供证据。主机安全主机安全加固操作系统作为计算机系统基础软件是用来管理计算机资源，它直接利用计算机硬件并为用户提供使用和编程接口。各种应用软件均建立在操作系统提供系统软件平台之上，上层应用软件要想取得运行高可用性和信息完整性、机密性，必须依赖于操作系统提供系统软件基础。在网络环境中，网络系统安全性依赖于网络中各主机系统安全性，而主机系统安全性正是由其操作系统安全性所决定，没有安全操作系统支持，网络安全也毫无根基可言。所以，操作系统安全是计算机网络系统安全基础。而服务器及其上业务数据又是被攻击最终目标。所以，布署操主机安全加固产品，对操作系统进行加固，加强对关键服务器安全控制，是增强系统总体安全性和关键一环。经过安装在服务器安全内核保护服务器，它在操作系统安全功效之上提供了一个安全保护层。经过截取系统调用实现对文件系统访问控制，以加强操作系统安全性。可实现：加强认证，采取证书方式来提升认证和授权级别和强度对操作系统本身加固，预防缓冲区溢出等攻击保护系统进程稳定运行，确保正常服务提供对注册表进行保护，禁止非授权修改独特授权模式，非授权程序无法运行系统用户权限分离，尤其是超级用户系统资源如文件、目录等强访问控制，扩展操作系统本身访问属性，并深入对访问时间、起源进行控制布署设计：在每台服务器上安全布署主机安全加固软件，使服务器环境有一个安全环境，使业务系统能够安全、正常运行。运维堡垒主机对运维管理现实状况进行分析，我们认为造成这种不安全现实状况原因是多方面，总结起来主要有以下几点：各IT系统独立帐户管理体系造成身份管理换乱，而身份唯一性又恰恰是认证、授权、审计依据和前提，所以身份混乱实际上造成设备访问混乱。各IT系统独立管理，风险分散在各系统中，各个击破困难大，这种管理方式造成了业务管理和安全之间失衡。关键服务器或设备物理安全和临机访问安全经过门禁系统和录像系统得以很好处理，不过对他们网络访问缺乏控制或欠缺控制力度，在帐号、密码、认证、授权、审计等各方面缺乏有效集中管理技术伎俩。现在，XX单位使用数量众多网络设备、服务器主机来提供基础网络服务、运行关键业务、数据库应用、ERP和协同工作群件等服务。因为设备和服务器众多，系统管理员压力太大等原因，越权访问、误操作、滥用、恶意破坏等情况时有发生，这严重影响信息系统运行效能，另外黑客恶意访问也有可能获取系统权限，闯进部门内部网络，造成不可估量损失。怎样提升系统运维管理水平，跟踪服务器上用户操作行为，预防黑客入侵和破坏，提供控制和审计依据，降低运维成本，满足相关标准要求，越来越成为信息系统关心问题。运维堡垒主机着手于事前规范、事中管控和事后审计三方面，能够非常有效地达成梳理、规范、防范、监控、管理和审计等目标。可实现对全部运维人员管理，实现统一身份认证、访问控制与运维资源管理，并能够录像方式将全部些人员全部操作统计下来，增强对运维人员及运维操作安全管理，躲避越权访问或者误操作等带来数据泄密及系统破坏风险。所以XX单位非常有必要布署一套运维堡垒主机来实现账户安全维护。布署设计：运维审计系统布署在安全管理域，冗余、旁路布署在管理交换机上，经过交换机访问控制策略限定只能由堡垒主机内控管理平台直接访问服务器远程维护端口。维护人员对网络设备、安全设备和服务器系统进行远程维护时，首先以Web方式登录运维审计系统，然后经过运维审计系统上展现访问资源列表直接访问授权资源。数据库安全审计经过布署数据库审计系统，主要用于监视并统计对数据库服务器各类操作行为，经过对网络数据分析，实时地、智能地解析对数据库服务器各种操作，并记入审计数据库中方便日后进行查询、分析、过滤，实现对目标数据库系统用户操作监控和审计。实现对数据库操作及系统状态进行详细审计，范围覆盖到每个用户，做到事前预防，事后溯源，从而把握数据库系统整体安全。布署设计：数据库审计布署于数据库前端交换机上，经过端口镜像搜集信息。主机防病毒技术依照等级保护基本要求，三级业务系统应该住几层布署主机防病毒软件，并确保与互联网出口处网络防病毒设备实现病毒库异构。各类病毒、木马恶意代码等是对信息系统重大危害，病毒在暴发时将使路由器、3层交换机、防火墙等网关设备性能急速下降，而且占用整个网络带宽。对病毒防护不但仅是在网络边界层面经过硬件设备进行识别和阻断，更主要是将病毒消亡或封堵在终端这个源头上，从而实现针对病毒纵深防护多层面防御。所以，需要在全部终端主机上布署网络防病毒系统，加强终端主机病毒防护能力并及时升级杀毒软件软件版本以及病毒特征库。布署设计：在xx单位内部每台终端设备上布署杀毒软件，定时升级软件版本及病毒特征库、定时全盘扫描病毒。漏洞扫描技术XX单位网络庞大、结构复杂，布署设备很多，因为不一样部门用户计算机水平不一样，大多人员不知道对系统定时升级，信息维护人员也极难去判断网络设备及安全设备存在漏洞需要升级。所以，布署一套漏洞扫描系统实时扫描整个网络内漏洞非常有必要，对整个网络安全体系维护非常主要。布署设计：在XX单位安全管理安全域布署漏洞扫描设备，对整个网络系统内设备定时进行漏洞扫描，检验安全隐患。应用安全安全应用交付应用交付产品（ADC）集成高性能链路负载均衡和4-7层服务器应用负载均衡，确保应用数据在错综复杂网络中取得最好传输路径。完善链路、应用服务健康检验机制，及时诊疗出不能正常工作或负载过重链路和服务器。能够依照应用、链路健康情况，智能调整流量在多链路、多服务器之间分配，并自动完成切换，提升网络和应用可用性，保障业务连续性。另外，应用交付本身具备应用层防火墙、4~7层DDoS防护等功效，能够阻挡绝大多数来自应用层功效，同时也提升应用交付系统本身抗攻击性，实现应用安全。云数据中心网络流量复杂，为了保障应用安全可靠交付到客户端，需精准应用识别与控制，防止传统队列机制所带来广域网下行带宽浪费，实现优先级管理、带宽保障以及带宽公平使用，提升应用体验。云数据中心应用具备弹性和迁移能力，一款设计良好，具备良好虚拟化技术兼容性，同时具备强大应用层安全防护功效安全应用交付产品（SADC）也是必不可少。所以，有必要布署一套安全应用交付系统对业务访问请求进行负载分担，确保业务连续性以及应用安全；同时能够跟云计算平台联动，做到自动启停虚拟机以及业务配置自动分发；也能够支持应用交付设备本身硬件级虚拟化，将多个应用进行隔离，每个应用单独使用一套虚拟应用交付，更符合云计算应用场景。布署设计：安全应用交付设备冗余、旁路布署于业务系统交换机之上，对应用进行负载分担。VPN依照等级保护要求，三级业务系统必须加密传输，所以需要VPN技术实现应用系统远程访问及数据传输加密，证数据在网上传输机密性、完整性，提供端对端、点到端安全传输处理方案。布署设计：VPN设备旁路布署于关键交换机上，实现传输链路加密。安全管理中心伴随网络安全意识增强、网络安全建设工作推进，等级保护、分级保护和行业信息安全管理等标准、规范实施，越来越多单位急需构建信息安全管理平台。鉴于其网络规模、业务应用和安全管理人员实际情况，部分安全管理者发觉与标准SOC平台高灵活性和扩展性相比，一款功效简练、布署方便、使用简单、价格适宜SOC平台更能贴近其管理需求。依照XX单位信息系统实际情况，有必要布署一套安全管理平台来愈加好管理整个网络系统。布署设计：安全管理中心布署在安全管理域，经过网络协议搜集来自服务器、网络设备和安全设备日志进行综合分析，针对相关操作系统和数据库日志搜集需要布署安全插件。云计算平台安全设计以强身份认证为基础，云计算平台可提供虚拟化层面云安全防护功效和云管理层面云安全运维功效，能够为云平台提供全方面安全保护功效。及时发觉安全隐患，在出现安全损失之前进行处理。强身份认证云计算平台具备强身份认证安全体系，用户在登录系统时，除了输入用户名密码之外，还需要输入一串随时间改变随机生成验证码，经过双原因认证技术躲避弱密码及暴力破解系统密码风险，保障云数据中心用户安全。同时具备详细管理用户行为审计系统，可确保事后用户行为可溯源。云安全防护系统基于虚拟化层面云安全防护用于确保云环境下虚拟网络和数据安全。基于SDN/NFV实现虚拟网络安全，包含访问控制、流量控制、在宿主机层面实现Hypervisor层防火墙。确保云操作系统本身健壮性，API安全访问机制。云安全运维云安全运维用于支撑云数据中心安全运维，功效包含：实现对云环境中虚拟安全设备集中管理；对虚拟机进行各种监控，并对监控数据分析生成报表；对宿主机和虚拟化设备日志进行安全审计并进行深入分析。虚拟机安全设计云计算虚拟化基础架构除了具备传统物理服务器风险之外，同时也会带来其虚拟系统本身安全问题。新安全威胁出现自然就需要新方法来处理。虚拟化安全防护关键点动态安全传统信息化系统安全是静态，配置好安全策略后，所防护设备不会频繁发生改变，安全策略不需要时常改动。而云计算平台是一个动态环境，快速布署新应用程序、基础环境不停改变、虚拟机在整个数据中心漂移，都要求安全服务必须跟上改变，同时也要考虑弹性伸缩。这需要安全服务及策略自动化布署，不然安全要么无法发挥作用，要么成为系统提供服务过程中瓶颈。虚拟机之间产生攻击假如仍对云计算环境使用传统安全防护模式，造成主要防护边界还是位于物理主机边缘，从而无视了同一物理主机上不一样虚拟机之间相互攻击和相互入侵安全隐患。复杂攻击能够轻易攻陷虚拟化平台中最脆弱虚拟机系统，一旦虚拟机被别有专心破坏人员控制，受感染虚拟机将会成为跳板,从虚拟机层面横向移动，窃取有价值数据而不被传统防护伎俩所发觉。更高安全需求云计算环境下安全相比于传统安全，不但没有降低，反而有更高要求。传统网络环境下访问控制、入侵检测、病毒防护、DDoS防护、数据防泄漏、加密传输、垃圾邮件过滤、应用安全防护等伎俩在虚拟化环境下依然需要，而且因为大二层网络架构东西向流量之间不经过边界安全设备，需要在物理机内部实现软件定义安全防护，而实现如此众多功效，需要高效安全架构，不能占用太多物理资源。传统网络划分不再适合虚拟化环境传统网络层面，安全部分是紧密耦合网络拓扑结构，然而一旦网络环境改变，就需要手动更网络配置布署。而云计算环境中网络拓扑，经常性会发生，网络改变也意味着安全改变，再使用传统网络划分模式管理安全，将造成很高操作开销和影响业务灵敏性。经过以上分析得知，即使传统安全设备能够物理网络层和操作系统提供安全防护，不过云计算环境中新安全威胁，比如：虚拟主机之间通讯访问控制问题，攻击和病毒经过虚拟交换机传输问题等，传统安全设备无法提供相关防护，所以在构架安全虚拟化平台时，需要一个低资源占用，高效率，而且能够防护东西向流量全方面防护方案。虚拟化安全方案在虚拟化数据中心共享域和专有域，其密级、架构、功效都类似，故在设计方案时总体来考虑。跟传统网络经过安全设备做各个业务区域隔离、流量分析不一样，虚拟化环境下同一个物理机当中多个虚拟机中可能布署多个业务，而业务之间流量直接经过虚拟化操作系统vSwitch进行转发，不出物理机，无法进行有效网络隔离以及流量分析。所以，需要一个软件定义安全方式，在每台物理机上分配一台单独虚拟机作为集中安全网关模块，该网关模块会与Hypervisor深度结合，对进出每一个虚拟机全部流量进行捕捉、分析及控制，从而实现虚拟平台内部东西向流量之间防护。其具备详细功效以下：功效强大威胁防御提供对虚拟化平台立体威胁防御，包含：恶意代码防护恶意代码包含：病毒、蠕虫、木马后门等，包含实时扫描、预设扫描及手动扫描功效，处理方法包含去除、删除、拒绝访问或隔离恶意软件。检测到恶意软件时，能够生成警报日志。防火墙它可用于启用正确服务器运行所必需端口和协议上通信，并阻止其余全部端口和协议，降低对服务器进行未授权访问风险。其功效以下：虚拟机隔离：需要对不一样单位（租户）虚拟机业务系统进行隔离，且无需修改虚拟交换机配置即可提供虚拟分段。细粒度过滤：经过实施关于IP地址、Mac地址、端口及其余内容防火墙规则过滤通信流。可为每个网络接口配置不一样策略。覆盖全部基于IP协议：经过支持全数据包捕捉简化了故障排除，而且可提供宝贵分析看法，有利于了解增加防火墙事件–TCP、UDP、ICMP等。侦察检测：检测端口扫描等活动。还可限制非IP通信流，如ARP通信流。灵活控制：状态型防火墙较为灵活，可在适当初以一个受控制方式完全绕过检验。它可处理任何网络上都会碰到通信流特征不明确问题，此问题可能出于正常情况，也可能是攻击一部分。预定义防火墙配置文件：对常见企业服务器类型（包含Web、LDAP、DHCP、FTP和数据库）进行分组，确保即使在大型复杂网络中也可快速、轻松、一致地布署防火墙策略。可操作汇报：经过详细日志统计、警报、仪表板和灵活汇报，DeepSecurity防火墙软件模块可捕捉和跟踪配置更改（如策略更改内容及更改者），从而提供详细审计统计。入侵检测和阻止(IDS/IPS)在操作系统和企业应用程序安装补丁之前对其漏洞进行防护，以提供及时保护，使其免受已知攻击和零日攻击。基于模式匹配、异常检测、统计分析等入侵检测和协议分析技术，阻挡各种入侵攻击，如蠕虫、木马、间谍软件、广告软件、缓冲区溢出、扫描、非法连接、SQL注入、XSS跨站脚本等攻击，攻击特征库可在线更新或离线更新。异常流量清洗对畸形报文及分布式拒绝服务攻击（DDOS）进行防御，将异常流量进行清洗，放行正常流量。WEB应用防护Web应用防护规则可防御SQL注入攻击、跨站点脚本攻击及其余针对Web应用程序漏洞攻击，在代码修复完成之前对这些漏洞提供防护，识别并阻止常见Web应用程序攻击，并可实现网页防篡改功效。应用程序控制应用程序控制能够识别网络中七层流量，可针对访问网络应用程序提供更深入可见性控制能力。能够阻止隐藏或封装在正常四层数据报文中恶意程序或者恶意软件，并能够对网络中非业务流量进行精准限制。日志审计对全部可疑或有害网络事件进行统计，提供有效行为审计、内容审计、行为报警等功效。满足分级保护对于安全审计立案及安全保护方法要求，提供完整流量统计，便于信息追踪、系统安全管理和风险防范。虚拟机之间数据流量检验及控制利用细粒度防火墙策略和一流立体威胁防御功效，对全部虚拟机之间数据流量进行检验，从而确保虚拟机安全性。与虚拟化操作系统Hypervisor深度结合，在管理程序内部无缝实施安全防护方法。安全网关模块支持分离虚拟应用，从而防止相互感染以及外部威胁。集成IPS利用基于署名和协议异常入侵防御功效，来保护FTP、HTTP和VoIP等关键业务服务免遭已知和未知攻击。提供对特征库更新，方便实施最新防护方法。增强动态虚拟化环境安全性当虚拟机从一个物理机向另一个物理机进行实时迁移或者新增虚拟机时，不能够终端对虚拟机保护。当虚拟机在不一样物理机之间漂移时，安全策略能够在保持开放连接情况下跟随虚拟机实时迁移，无需手动配置安全策略，对虚拟机防护伴随漂移实时生效，不产生中止。在创建新虚拟机时，依照配置好模板自动实施安全策略。完全虚拟化安全网关依赖传统物理安全设备对虚拟机间流量进行检测会影响性能，同时也会增加网络结构复杂性。经过布署完全虚拟化安全网关模块，能够防止复杂网络结构，并可降低网络延时、提升安全检测提升性能、优化布署成本。安全网关模块以虚拟机形式布署在每一台物理机上，在逻辑上提供透明或者网关等多个布署方式。利用集成防火墙、IPS、VPN、DDoS防护、防病毒、僵尸网络防护、防垃圾邮件、URL过滤、Web安全、数据防泄漏等功效，保护虚拟机免遭外部威胁以及相互感染，并可经过安全网关模块对不一样业务