云数据中心安全方案

云数据中心安全方案云数据中心安全方案全文共9页，当前为第1页。隔离威胁防御可视化建立边界–网络、计算、虚拟化设定策略–功能、设备、组织访问控制–网络、资源、应用阻止数据中心内部外部攻击，加固安全域和边界应对各类主机应用漏洞带来的网络侵入控制病毒及恶意软件的传播了解安全保护主体了解主体网络行为生成合规性报告建立取证分析能力云安全数据中心建设三大重点云数据中心安全方案全文共9页，当前为第2页。私有云数据中心·完整安全解决方案业务3业务2业务1ASA虚墙Endpoints

vm

vm

vm

vm

vm

vm

vm

vm

vmNetflow

vm

vm

vm下一代入侵检测ASAv流量分析服务器Lancope

StealWatchOrchestration(Cloud)APICTalosNGIPSv威胁防御灵活隔离云数据中心安全方案全文共9页，当前为第3页。传统Vlan网络架构核心问题VLAN

1VLAN

2VLAN

3传统Vlan网络架构核心问题难以实现云计算的资源池和多云扩展难以实现云计算所需的“可扩展二层环境”环路、不稳定、“脑裂”、横向扩展性差、无负载、广播风暴、网关问题4096

Vlan数限制云环境中虚机漂移受限于三层阻隔云数据中心安全方案全文共9页，当前为第4页。VxLANNGFabric形成动态可横向扩展的资源融合架构VxLAN网络架构优势实现云计算资源池所需的按需弹性扩展通过MAC-In-UDP方式实现云计算所需的“可扩展二层环境”没有二层广播、组播和单播洪泛等问题16MVxLAN数目AnycastGateway:网关“无处不在”云数据中心安全方案全文共9页，当前为第5页。Upto200subinterfacesVLANswith802.1qCiscoASAv+Hyper-V10“physical”interfaces(vNICs)perCiscoASAvinstanceHypervisor–MicrosoftHyper-VVMVMVMVMVMVMVMVMVMVMVMVMVirtualSwitch(VxLANEnabled)Cisco®

ASAv(Active)CiscoASAv(Standby)云数据中心安全方案全文共9页，当前为第6页。ASAv部署方法GatewayCisco防火墙Segment-1Segment-4VTEPVTEPhost2host3VirtualHostSegment-2VxLAN20001Segment-3VxLAN2000通过与vSwitch构建VTEPPair,实现防火墙对VxLAN流量的直接控制,不管VxLANAnywhere.透明墙部署能力每个Bridge-Group支持4个zone最大bridge-group可以到250个支持NAT满足NondisruptivePaymentCardIndustry(PCI)compliance主机间传统2层边界允许vNIC,VLAN,VxLANinterfaceshost4host5VirtualHosthost6host7VirtualHostV200V100云数据中心安全方案全文共9页，当前为第7页。防火墙市场占有率第一，超过全部市场的三成全球防火墙安全市场·领导地位云数据中心安全方案全文共9页，当前为第8页。CiscoASAv9.5防火墙功能与管理功能列表CiscoASAFeatureSetCiscoASAv基本全部ASA功能集10vNICinterfaces，VLANtagging全功能Cisco®ASA平台功能特性（虚墙、集群暂时除外）SDN(CiscoAPIC)与传统管理工具(CiscoASDMandCiscoSecurityManager)动态路由协议支持OpenShortestPathFirst(OSPF),EnhancedInteriorGatewayRoutingProtocol(EIGRP),andBorderGateway

Protocol(BGP)，ISISIPv6ALG支持,地址转换功能(NAT)66,46,and64RESTAPI，可编程配置与监控接口CiscoTrustSec®PolicyEnforcementPoint(PEP)withsecuritygrouptag(SGT)-basedaccesscontrollists(AC