深信服网络安全解决方案-20160225

深信服整体网络安全解决方案深信服网络安全解决方案-20160225全文共47页，当前为第1页。深信服虚拟防火墙安全解决方案深信服网络安全解决方案-20160225全文共47页，当前为第2页。虚拟化引入安全风险APP1OS1APP2OS2APP3OS3APP4OS4VM1VM2VM3VM4传统安全风险虚拟化后安全风险网络安全风险主机安全风险应用安全风险数据安全风险边界概念的弱化平台与租户的安全权责划分多租户间的安全风险VM之间安全访问风险Hypervisor引入的安全威胁深信服网络安全解决方案-20160225全文共47页，当前为第3页。传统硬件安全设备在云数据中心应对不足传统出口安全过滤汇聚交换机A虚拟平台vswitchWEB10.1.1.0/24汇聚交换机AOA10.1.2.0/24云数据中心出口设备不适合制订针对不同的租户或业务的细化安全策略云数据中心出口流量巨大，不宜展开全面应用层防护虚拟化边界模糊，物理设备无法直接分区防护出口设备不能对虚拟网络东西向威胁直接过滤物理设备引流防护使核心设备负载增大物理设备无法防护平台和虚机间威胁（虚机逃逸）安全不是100%，虚拟网络也要保护物理设备不满足多租户和业务分级等保需求物理设备不匹配云计算灵活弹性的特点深信服网络安全解决方案-20160225全文共47页，当前为第4页。vAF虚拟网络安全防护

传统防火墙功能网络防病毒IPS入侵防御应用识别和控制Web应用安全网站防篡改僵尸网络监测业务漏洞监测深信服网络安全解决方案-20160225全文共47页，当前为第5页。部署vAF前后——边界区域清晰云数据中心WebServersMailServersOAServersvRouterHypervisor云数据中心WebServersMailServersOAServersvRouterHypervisorvAFvAFvAF存在问题1、没有专门虚拟区域划分设备，导致边界混乱2、缺失虚拟区域之间的访问控制，风险范围扩大；解决问题1、vAF提供了清晰的虚拟机区域划分逻辑，边界清晰可控2、vAF提供了严格的虚拟区域访问控制策略，防止非授权接入；深信服网络安全解决方案-20160225全文共47页，当前为第6页。部署vAF前后——防范虚机之间攻击云数据中心WebServersMailServersOAServersvRouterHypervisor风险虚机扩散扩散扩散扩散云数据中心WebServersMailServersOAServersvRouterHypervisor风险虚机扩散扩散扩散扩散vAFvAFvAF存在问题1、某台虚机出现安全风险，容易将安全风险扩散到同租户的其他虚机2、某台虚机出现安全风险，容易将风险扩散到没有边界防护的其他区域或同一宿主机解决问题1、vAF支持和vsafe结合，直接从虚拟平台底层引流，实现对同区域、同网段的风险检测和清洗2、不同区域之间的业务互访首先由vAF进行安全控制和清洗，避免了安全风险的进一步扩散深信服网络安全解决方案-20160225全文共47页，当前为第7页。部署vAF之后——防御多种攻击Internet云数据中心WebServersMailServersOAServersvRouterHypervisor合法用户登录黑客收集信息伪造身份登录种植恶意内容vAFvAFvAF解决问题1、vAF提权全面的L2到L7安全功能，并根据黑客攻击过程，提供事前、事中、事后，完整的安全保护2、vAF具备和物理设备相同的安全功能，包括入侵防御、WAF、防病毒、僵尸检测、漏洞检测、防泄密、防篡改、敏感字过滤等功能3、vAF能以虚机方式部署在云平台内部，满足随需扩展和灵活适配深信服网络安全解决方案-20160225全文共47页，当前为第8页。云数据中心安全保护网络资源NGAFNGAFNGAF保障传统安全网络安全主机安全风险应用安全风险数据安全风险vAF保障虚拟化安全平台与租户的安全权责划分多租户间的安全风险VM之间安全访问风险Hypervisor引入的安全威胁深信服网络安全解决方案-20160225全文共47页，当前为第9页。安全是云计算重要环节深信服网络安全解决方案-20160225全文共47页，当前为第10页。云计算的发展趋势传统数据中心虚拟化数据中心私有云公用云成本高昂灵活可靠硬件设备堆砌资源解耦，一虚多按需取用按需租用深信服网络安全解决方案-20160225全文共47页，当前为第11页。云安全事件危害极大SonyPSN事件攻击者通过注册PSN服务，并以其为跳板对PSN云平台进行攻击，在突破隔离的基础上，充分利用了平台内部流量不可见的特性进行信息窃取AWS成为僵尸网络沃土

AmazonEC2被ZEUS僵尸网络工具包利用建立C&C服务器；恶意人员以6美元为代价对EC2发动DDoSVMWarevMA漏洞vMA4.0、4.1、5.0.0.1等版本在实现上存在加载任意文件导致的本地权限提升漏洞，攻击者可利用此漏洞以提升的权限执行任意代码深信服网络安全解决方案-20160225全文共47页，当前为第12页。传统数据中心安全建设深信服网络安全解决方案-20160225全文共47页，当前为第13页。内网外网服务器数据库服务器数据库服务器数据库安全风险三：外联业务，如数据中心和分支连接，远程管理等，必然引入外联过程中的安全风险安全风险四：来自数据中心内部不同业务区域的安全风险传播，非授权互访等安全风险安全风险五：多链路接入的智能选路、链路负载；应用服务负载、网络带宽分级保障，流量统计等。安全风险一：数据中心需要开放面对公众的服务，这必然导致存在来自互联网各种攻击风险安全风险二：内部办公网的员工电脑存在有意识或者无意识攻击行为。这些攻击，可能来自本地的办公网络，也可能来自远端经过广域网的分支机构网络传统数据中心安全需求深信服网络安全解决方案-20160225全文共47页，当前为第14页。防火墙硬件AD核心交换区链路负载IPSecVPNSSL

VPN统一接入平台

广域网安全隔离边界安全

移动接入区分支接入区业务发布区网络接入区DMZ服务器链路负载出口安全互联网接入流控服务器数据库服务器数据库服务器数据库网络以区域为边界安全部署在区域边界传统数据中心安全方案深信服网络安全解决方案-20160225全文共47页，当前为第15页。云数据中心带来的变化深信服网络安全解决方案-20160225全文共47页，当前为第16页。虚拟化云计算的变化HardwareHardwareHardwareAPPOSHypervisorHypervisor软硬件的分离引入虚拟化层（Hypervisor），实现操作系统与硬件的解耦APPOSAPPOSHardwareAPPOSHardwareAPPOSHardwareAPPOSHardwareAPPOSHardwareAPPOSHardwareAPPOSAPPOSAPPOSAPPOSAPPOSAPPOS深信服网络安全解决方案-20160225全文共47页，当前为第17页。虚拟化云计算网络变化引入了hypervisor软件层虚拟机直接在hypervisor通讯多系统共用主机虚拟机动态漂移SERVER-1SERVER-2SERVER-n云计算虚拟化网络业务1业务2业务3深信服网络安全解决方案-20160225全文共47页，当前为第18页。云计算虚拟化带来新的安全问题SERVER1SERVER2SERVER3SERVER4SERVER5SERVER6HypervisorHypervisorHypervisorHypervisor东西向流量不可视东西向安全不可控安全边界缺失虚机安全接入不同安全级VM共Host虚拟机动态漂移Hypervisor引入漏洞虚机业务负载深信服网络安全解决方案-20160225全文共47页，当前为第19页。云计算虚拟化网络安全问题如何在新环境中建立安全架构、机制和防护措施？传统IT威胁、弱点新威胁、新弱点边界缺失东西向攻击南北向安全Hypervisor引入漏洞VM迁移后的安全接入虚机安全虚机业务负载……非授权访问DoS/DDoS网络入侵平台漏洞接入安全链路负载……传统的安全问题依旧存在新技术引入新问题FWAnti-DDoSIPS漏洞识别VPNLB……硬件产品解决平台边界安全新型防护体系如何构建？深信服网络安全解决方案-20160225全文共47页，当前为第20页。深信服云数据中心安全方案深信服网络安全解决方案-20160225全文共47页，当前为第21页。云数据中心安全建设需求虚拟化云计算网络内部主机安全云数据中心物理网络边界平台防护流量管理接入安全木马、病毒僵尸主机漏洞攻击运维平台入侵防御访问控制平台漏洞DDoS防护智能选路流量统计链路可靠性带宽分级保障云间安全互联运维安全接入基础平台网络安全监控虚拟化网络安全监控关联DC安互联入用户访问安全接入应用漏洞攻击渗透测试网页篡改Web攻击应用访问控制数据窃取统一管理平台安全策略集中下发安全日志统一收集运维南北向网络安全业务安全业务接入

东西向网络安全虚机逃逸APT

访问控制数据窃取Web安全业务负载业务接入环境安全深信服网络安全解决方案-20160225全文共47页，当前为第22页。云数据中心安全建设方案云计算虚拟化网络云数据中心物理网络边界平台防护流量管理接入安全运维平台入侵防御访问控制平台漏洞DDoS防护智能选路流量统计链路可靠性带宽分级保障云间安全互联运维安全接入基础平台网络安全监控虚拟化网络安全监控关联DC安全接入用户访问安全接入应用漏洞攻击渗透测试网页篡改Web攻击应用访问控制数据窃取统一管理平台安全策略集中下发安全日志统一收集运维南北向网络安全业务安全业务接入

东西向网络安全虚机逃逸APT

访问控制数据窃取Web安全业务负载业务接入NGAF硬件VPN硬件AC硬件ADvAF（云固）vAF（云基/云固）vVPNvAD环境安全主机安全木马、病毒僵尸主机漏洞攻击vAF（云固）云安全服务SC平台、外置数据中心、vAFvCenter、标准API、合作开发深信服网络安全解决方案-20160225全文共47页，当前为第23页。硬件解决物理网络边界安全功能专业：5款产品入围Gartner魔力象限，NGAF获NSSLAB最高评价形态多样：硬件产品、NFV产品、虚拟化插件产品、云安全服务性能齐全：百兆、千兆、万兆、超万兆集群深信服网络安全解决方案-20160225全文共47页，当前为第24页。软件定义云计算网络内部安全Hypervisor功能与硬件一致安全资质齐全百兆-千兆性能深信服网络安全解决方案-20160225全文共47页，当前为第25页。云数据中心整体安全架构SERVER-1SERVER-2SERVER-n防火墙硬件AD核心交换区云计算虚拟化网络支撑运维区网管、SOC、认证等业务1业务2业务3链路负载IPSecVPNSSL

VPN统一接入平台

广域网安全隔离边界安全

移动接入区分支接入区业务发布区网络接入区DMZ服务器链路负载出口安全互联网接入流控深信服网络安全解决方案-20160225全文共47页，当前为第26页。软件定义安全SERVER-1SERVER-2SERVER-n虚拟化云计算网络业务1业务2业务3业务远程接入访问IT远程接入运维远端分支DC互联虚机服务负载应用健康检测服务智能加速东西向安全（云固）南北向安全防护L2-L7层整体安全流量可视/策略跟随深信服网络安全解决方案-20160225全文共47页，当前为第27页。软件定义安全软件定义安全级在虚拟化内部解决安全问题功能/性能按需选配和扩展灵活便捷深入010203深信服网络安全解决方案-20160225全文共47页，当前为第28页。2023/6/6深信服云安全的价值灵活扩展不依赖于专用硬件，快速形成软件安全资源池根据云业务量，动态扩展所需安全组件/服务降低投资利旧已有虚拟化基础设施，降低整体采购成本避免安全专用硬件设备的超前投资，提升利润率一台虚机即可搞定安全问题,提升安全投资效率增强安全保障在最接近虚拟机的区域提供安全，提升防护效果vNGAF提供了全面的安全保障，消除防护短板深信服网络安全解决方案-20160225全文共47页，当前为第29页。案例-X省移动云数据中心项目业务1业务2业务3业务1业务2业务3业务1业务2业务3安全管理平台云固云固云固深信服网络安全解决方案-20160225全文共47页，当前为第30页。案例-Z集团云数据中心…....Z集团云数据中心子公司A：邮件系统互联网子公司C：研发系统互联网互联网子公司B：财务系统vADvSSL软件版AD云基选择云安全产品原因：安全性高，深入到云内部提供安全，并基于业务实际需求制定安全策略按业务部门数量，灵活按需部署节省投资，不依赖于专用硬件，并缩短上线周期云基云基深信服网络安全解决方案-20160225全文共47页，当前为第31页。网络安全攻防实验室方案深信服网络安全解决方案-20160225全文共47页，当前为第32页。网络信息安全教育的特点与时俱进信息安全教育持续教育面向需求深入实践信息安全领域知识覆盖面宽信息安全知识更新快信息安全教育注重应用和实践能力需要建立专业的实践环境信息安全教育是一种持续教育需要专业的、可持续发展的企业给予支持信息安全教育需要面向多样化、多层次的人才需求人才的培养应该与社会的发展相结合深信服网络安全解决方案-20160225全文共47页，当前为第33页。3如何建立网络信息安全实验室深信服网络安全解决方案-20160225全文共47页，当前为第34页。网络信息安全实验的方向网络安全实验室和信息安全实验室针对不同层面的培养方向，建立不同的实验室建立综合实验室信息安全课程初级实验辅助信息安全初级课程，提供学员动手操作环境信息安全课程高级实验将信息安全扩展到网络、设备层面，提供学员动手操作环境信息安全科研实验提供教研室进行信息安全的科研环境重点是信息安全出现的热点、难点，及经验的交流深信服网络安全解决方案-20160225全文共47页，当前为第35页。网络信息安全实验的内容认知实验信息安全常识防病毒常识个人终端安全防护普教职教、高教高教、科研初级、中级实验路由与交换安全防火墙和入侵检测操作系统安全数据库与中间件安全高级实验黑客攻防技术渗透方法深信服网络安全解决方案-20160225全文共47页，当前为第36页。4网络安全攻防实验室介绍深信服网络安全解决方案-20160225全文共47页，当前为第37页。典型组件搭配效果展示WAFIPS学生端防护单元信息安全云平台教师电脑云平台控制器Switch深信服网络安全解决方案-20160225全文共47页，当前为第38页。攻防实验—“网页篡改”的体验与防御按照实验说明对目标机开始渗透！存在漏洞的WEB服务器！……取得权限后，植入代码！对漏洞进行修复