2024发电企业云平台安全方案

发电企业云平台安全方案2024目录TOC\o"1-2"\h\u32661.云平台安全方案简介 4319842.云平台安全方案设计原则 5117152.1.安全域划分原则 511902.2.安全域细粒度划分 6152622.3.安全域内业务平面划分 7155533.硬件安全设计方案（平台安全） 7318453.1.安全物理环境 853143.2.安全通信网络 993463.3.安全区域边界 1137544.防火墙安全方案 11225724.1.防火墙安全功能 11100244.2.内容安全防护功能 19116144.3.虚拟防火墙功能 2682365.安全计算环境 28232046.软件安全设计方案（租户安全） 29186916.1.安全通信网络与边界安全 29248956.2.安全计算环境 30308306.3.云安全服务设计 31136747.平台基础安全 32205581、宿主机和虚拟化安全 32158152、防IP/MAC/DHCPserver仿冒 34245433、防DoS/DDoS攻击 3528794、系统加固 3583435、数据保护 35299156、镜像安全 36274217、热补丁 37244118、日志管理和安全审计 37115229、云服务安全 383036310、访问通道控制 391154211、安全管理 4038438.主机安全防护方案设计 41234408.1.主机安全应用场景 41224238.2.主机安全防护功能设计 42216138.3.态势感知方案设计 4223989.云防火墙方案设计 43116819.1.云防火墙应用场景 43264319.2.云防火墙功能设计 431436710.Web应用防火墙方案设计 441472510.1.Web应用防火墙应用场景 442092010.2.Web应用防火墙功能设计 45271611.密钥管理服务方案设计 45599011.1.密钥管理服务应用场景 452223311.2.密钥管理服务功能设计 4663912.数据库审计方案设计 461209412.1.数据库审计应用场景 47431712.2.数据库审计功能设计 47399313.数据脱敏方案设计 482228313.1.数据脱敏应用场景 482725413.2.数据脱敏功能设计 49534914.堡垒机方案设计 501682014.1.堡垒机应用场景 502672014.2.堡垒机功能设计 51634115.云安全管理中心方案设计 512234415.1.云安全管理中心应用场景 511378715.2.云安全管理中心功能设计 522872816.身份服务方案设计 53449916.1.身份服务应用场景 53105316.2.身份服务功能设计 53431517.安全管理体系认证 551766417.1.安全管理制度 551718817.2.安全组织架构 551534017.3.人员安全管理 552845817.4.系统建设管理 552230817.5.系统运维管理 56云平台安全方案简介本次XX集团公司云平台安全技术解决方案，从安全技术、安全管理以及安全服务三个维度进行设计。根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）第三级信息系统要求，等级保护三级安全技术从安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面进行构建。图：安全整体体系XX集团公司云平台安全技术解决方案的建设分为“一个中心，三重保护”。“一个中心”指的是安全管理中心，是对信息系统的安全策略及安全机制实施统一管理的平台。按照等保的《基本要求》，第三级（含）以上的信息系统安全保护环境需要设置安全管理中心，本方案提供的智能安全分析平台包括数据采集子系统、数据检索子系统、威胁分析子系统，提供专业级的安全分析能力，实现对云负载、各类应用及数据的安全保护。“三重保护”指的是按照分域保护的思想，将平台从结构上划分为不同的安全区域，各个安全区域内部的网络设备、服务器、应用系统形成单独的计算环境，各个安全区域之间的访问关系形成区域边界，各个安全区域之间的连接链路和网络设备构成了通信网络，因此整体安全保障技术体系将从保护计算环境、保护区域边界、保护通信网络三个层面分别进行构建，最终形成三重纵深防御的安全体系，并且它们始终都在安全管理中心的统一管控下有序地运行。保护计算环境：计算环境是对信息系统的信息进行存储、处理的相关部件，包括网络平台、系统平台和业务应用。通过主机安全、密钥管理、数据库审计等能力对计算环境进行保护。保护区域边界：区域边界是信息系统计算环境与通信网络之间实现连接的相关部件。平台侧区域边界安全通过网络设备进行防护，租户侧区域边界安全通过Web应用防火墙进行防护。考虑到相邻的信息系统存在区域边界设备共享的情况，如果不同安全级别的信息系统通过同一套安全措施进行边界保护，这个边界保护措施及其所采用的保护策略应满足最高级别信息系统的安全保护要求。保护通信网络：通信网络是对信息系统计算环境之间进行信息传输的相关部件，平台侧通信网络安全通过防火墙等网络设备进行防护，租户侧通信网络安全通过边界防火墙服务、云防火墙、虚拟VPC等能力进行防护。考虑到不同安全级别的信息系统共享同一网络线路和网络设备传输数据的情况，该通信网络的安全保护措施及其所采用的保护策略应满足最高级别信息系统的安全保护要求。云平台安全方案设计原则安全域划分原则根据整体XX集团公司的网络设计，为了提高网络的安全性和可靠性，在规划网络安全建设的时候采用安全域的规划概念。安全域（SecurityDomain）是指网络中具有相同的安全保护需求、并相互信任的区域或网络实体的集合。一个安全域可划分为若干安全子域，安全子域也可继续依次细化为次级安全域、三级安全域等。安全域的划分，就是从安全角度将系统划分成不同的区域，以便实行分门别类的防护。首先参考“运行环境相似”原则，也就是把云平台上运行的业务系统放在一起保护，其次参考“安全策略一致”原则，将面向不同网络的业务系统分开。从整体网络规划上，依据等级保护的要求，利用一个中心三重防护的思想结合业务功能和网络安全风险将数据中心划分为多个安全区域，实现物理和逻辑控制并用的隔离手段，提升网络面对入侵和内部的分区自我保护和容错恢复能力。1、安全计算环境计算域网络、服务器与数据中心对定级系统的信息进行存储、处理及实施安全策略的相关部件。2、安全区域边界计算域边界安全措施对安全计算环境边界以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。3、安全通信网络即计算域网络的出口，系统安全计算环境之间进行信息传输及实施安全策略的相关部件。4、安全管理中心支撑对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。安全域细粒度划分根据业务功能以及不同的安全级别，不同的安全域内部又可以进一步划分不同的安全子域：网络中内部安全域可划分为数据中心核心交换区、网络服务区、数据中心计算区、数据中心存储区；云管理安全域可划分为运维运营管理区、公共服务区、管理服务DMZ区。DMZ区部署面向外网和租户的前置部件，如负载均衡器、代理服务器等，以及服务部件，如服务控制台、API网关等。用户对DMZ区的访问行为不可信，所以需要对DMZ单独划分平面。公共服务区：该区域主要部署IaaS/PaaS/SaaS服务化组件如IaaS/PaaS/SaaS服务控制部件，以及一些基础设施服务部件如DNS、NTP、补丁服务等。此区域内的部件根据业务需要受限开放给租户。政务云管理员可以从内网区访问该区域进行操作和管理。运维运营管理区：该区域主要部署运维运营组件，管理员可以通过此区域对其他区域进行统一的业务系统运维运营管理。安全域内业务平面划分图：安全域内业务平面划分与隔离为保证租户业务不影响管理操作，确保设备、资源和流量不会脱离有效监管，本云平台将其网络的通信平面基于不同业务职能、不同安全风险等级和不同权限需要划分为租户数据平面、管理面、数据存储平面等，以保证关乎不同业务的网络通信流量得到合理且安全的分流，便于实现职责分离租户数据平面：作为租户提供业务通道和虚拟机之间通信平面，租户对其用户提供业务应用。业务控制平面：支撑云服务API的安全交互。平台运维平面：实现基础设施和平台（网络设备、服务器、存储）的后台运维管理。BMC管理平面：作为云平台基础设施服务器的硬件后端管理平面，用于应急维护。数据存储平面：仅供计算区内计算节点与存储节点间的数据安全传输与存储。每个安全区域内，根据所承载业务的隔离要求划分不同网络平面，如计算业务区内有租户平面、管理面（业务控制平面、BMC管理平面、平台运维平面）、数据存储平面等。硬件安全设计方案（平台安全）XX集团公司云平台的平台层安全体系可以依据等保2.0安全要求划分为安全物理环境、安全通信网络、安全区域边界、安全计算环境等。平台安全涉及的硬件设备不在本次项目内，方案层面进行完整设计。安全硬件设备根据项目实际情况选择配置，现网已有硬件设备可以选择利旧，但云平台必须配置云平台管理防火墙，保障云平台管理区安全。安全物理环境数据中心已制定并实施完善的物理和环境安全防护策略、规程和措施。数据中心不但有妥善的选址，在设计施工和运营时，合理划分了机房物理区域，合理布置了信息系统的组件，以防范物理和环境潜在危险（如火灾、电磁泄露等）和非授权访问，而且提供了足够的物理空间、电源容量、网络容量、制冷容量，以满足基础设施快速扩容的需求。同时，运维运营团队严格执行访问控制、安保措施、例行监控审计、应急响应等措施，以确保数据中心的物理和环境安全。访问控制：数据中心严格管理人员及设备进出，在数据中心园区及建筑的门口设置了7*24小时保安人员进行登记盘查，限制并监控来访人员授权活动范围。门禁控制系统在不同的区域采取不同安全策略的门禁控制系统，严格审核人员出入权限。数据中心的重要配件，由仓储系统中的专门电子加密保险箱存放，且由专人进行保险箱的开关；数据中心的任何配件，都必须提供授权工单方能领取，且领取时须在仓储管理系统中登记。由专人定期对所有物理访问设备和仓储系统物资进行综合盘点追踪。机房管理员不但开展例行安检，而且不定期审计数据中心访问记录，确保非授权人员不可访问数据中心。安保措施：数据中心采用当前通用的机房安保技术监测，并消除物理隐患。对机房外围、出入口、走廊、电梯、机房等进行7*24小时闭路电视监控，并与红外感应、门禁等联动。保安人员对数据中心定时巡查，并设置在线巡更系统。对非法闯入和其他安保事件及时进行声光报警。电力保障：数据中心采用多级保护方案保障业务7*24小时持续运行，日常电力供应采用来自不同变电站的双路市电供电。配备柴油发电机，在市电断电时可启动柴油机供电，以备不时之需。并配备了不间断电源（UPS–UninterruptedPowerSupply），提供短期备用电力供应。在机房供电线路上配置了稳压器和过压防护设备。在供电设备及线路上还设置冗余或并行的电力电缆线路为计算机系统供电。温湿度控制：通过精密空调、集中加湿器自动调节，数据中心机房温湿度保持在设备运行所允许的范围内，使设备元器件处于良好运行状态。机柜冷热通道有合理的布置，利用架空地板下空间作为静压箱来给机柜送风，并设置了冷通道密闭，以防止局部热点。消防能力：数据中心建筑防火等级均按一级设计施工，使用了A级防火材料，满足国家消防规范。采用了阻燃、耐火电缆，在管内或线槽铺设，并设置了漏电检测装置。部署了自动报警和自动灭火系统，能够迅速准确发现并通报火情。自动报警系统与供电、监控、通风设备联动，即使意外情况造成无人值守，也能开启自动灭火系统，得以控制火情。例行监控：数据中心的电力、温湿度、消防等环境运行状态通过日常巡检制度得到例行监控，安全隐患能被及时发现并修复，确保设备稳定运行。供水排水：数据中心的供水和排水系统均有合理规划，保证了总阀门正常可用，确保关键人员知晓阀门位置，以免信息系统受到漏水事故破坏。机房建筑和楼层均有抬高场地，在外围设置了绿化地排水沟，加速排水，以降低场地积水倒灌风险。建筑满足防水一级标准，保证了雨水不能通过屋顶、墙壁向机房渗透。数据中心也配备了及时排水的设施，供水灾时使用。防静电：数据中心机房铺设了防静电地板，导线连接地板支架与接地网，机器接地以导走静电。在机房大楼顶部设置了避雷带，供电线路安装了多级避雷器，导走电流。安全通信网络云数据中心节点众多、功能区域复杂。为了简化网络安全设计，阻止网络攻击在数据中心环境中的扩散，最小化攻击影响，数据中心环境参考ITUE.408安全区域的划分原则并结合业界网络安全的优秀实践，对数据中心环境网络进行安全区域，网络层面的划分和隔离。安全区域内部的节点具有相同的安全等级。数据中心环境从网络架构设计、设备选型配置到运行维护诸方面综合考虑，对承载网络采用各种针对物理和虚拟网络的多层安全隔离，接入控制和边界防护技术，同时严格执行相应的管控措施，确保环境安全。边界划分如下图所示，虚线框为本次建设范围，出口区不在本次建设范围内：图：安全域划分及网络边界保护数据中心环境根据业务功能和网络安全风险将数据中心划分为多个安全区域，实现物理和逻辑控制并用的隔离手段，提升网络面对入侵和内鬼的分区自我保护和容错恢复能力。在这里介绍以下四个重要安全区域：网络服务区：数据中心环境网络服务区主要部署了面向外网和租户的前置部件，如负载均衡器、代理服务器等，以及服务部件，如服务控制台、API网关等。租户对DMZ区的访问行为不可信，所以需要对网络服务区单独隔离，防止外部请求接触服务后端部件。此区域部件面临极高安全风险，除部署了防火墙、防DDoS措施外，还部署了应用防火墙（WAF）、入侵检测设备（IPS&AV）以及网络流量审计系统，以保护基础网络、平台。云管理区：该区域主要部署部IaaS/PaaS/SaaS服务化组件等。此区域内的部件根据业务需要受限开放给租户，且租户访问此区域部件和服务必须经过DMZ区。环境管理员可以从内网区访问该区域进行操作和管理。计算资源交付区：此区域提供租户所需的基础设施资源，包括计算、存储、网络资源，如租户虚拟机、磁盘、虚拟网络。租户之间通过多层安全控制手段实现资源隔离，租户不能访问其它租户的资源；平台侧管理平面、数据存储平面隔离，且与租户数据平面隔离。该区域还可以支撑对进出互联网的租户流量做DDoS防护及入侵检测与防御，保障租户业务。运维管理区（OM–OperationsManagement）：该区域主要部署运维墙，数据中心环境运维人员必须先通过虚拟专用网络（VPN–VirtualPrivateNetwork）接入该区域，再通过堡垒机（PBH）访问被管理节点。管理员可从此区域访问所有区域的运维接口。此区域不向其他区域开放接口。除了上述网络分区，同时也对不同区域的安全级别进行了划分，根据不同的业务功能，确定不同的攻击面以及不同的安全风险，比如说直接暴露在互联网的区域，安全风险最高，而与互联网几乎没有交互并且不向其他区域开放接口的OM区，攻击面最小，安全风险相对容易控制。安全区域边界本次方案设计通过防火墙实现安全区域边界能力。防火墙安全方案本次项目建设采用华为USG6600E系列AI防火墙来完成实现云平台安全建设，华为USG系列防火墙在提供NGFW能力的基础上，联动其他安全设备，主动防御网络威胁，增强边界检测能力，有效防御高级威胁，同时解决性能下降问题。NP提供快速转发能力，防火墙性能显著提升。防火墙安全功能（1）安全区域管理基于安全区域的隔离华为USG系列防火墙统一安全网关的安全隔离是基于安全区域，这样的设计模型为用户在实际使用统一安全网关的时候提供了十分良好的管理模型。华为统一安全网关提供了基于安全区域的隔离模型，每个安全区域可以按照网络的实际组网加入任意的接口，因此统一安全网关的安全管理模型是不会受到网络拓扑的影响。可管理的安全区域业界很多防火墙一般都提供受信安全区域（trust）、非受信安全区域（untrust）、非军事化区域（DMZ）三个独立的安全区域，这样的保护模型可以适应大部分的组网要求，但是在一些安全策略要求较高的场合，这样的保护模型还是不能满足要求。华为统一安全网关默认提供四个安全区域：trust、untrust、DMZ、local，在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域，本地安全区域可以定义到统一安全网关本身的报文，保证了统一安全网关本身的安全防护。例如，通过对本地安全区域的报文控制，可以很容易的防止不安全区域对统一安全网关本身的Telnet、ftp等访问。华为统一安全网关还提供自定义安全区域，可以最大定义16个安全区域，每个安全区域都可以加入独立的接口。基于安全区域的策略控制华为统一安全网关支持根据不同的安全区域之间的访问设计不同的安全策略组（ACL访问控制列表），每条安全策略组支持若干个独立的规则。这样的规则体系使得统一安全网关的策略十分容易管理，方便用户对各种逻辑安全区域的独立管理。基于安全区域的策略控制模型，可以清晰的分别定义从trust到untrust、从DMZ到untrust之间的各种访问，这样的策略控制模型使得华为统一安全网关的网络隔离功能具有很好的管理能力。（2）NAT功能优异的地址转换性能华为统一安全网关采用基于连接的方式提供地址转换特性，针对每条连接维护一个Session表项，并且在处理的过程中采用优化的算法，保证了地址转换特性的优异性能。在启用NAT的时候，性能下降的非常少，这样就保证了在通过华为统一安全网关提供NAT业务的时候不会成为网络的瓶颈。灵活的地址转换管理华为统一安全网关提供了基于安全区域的管理功能，利用“安全区域”的概念把统一安全网关管理的网络按照功能区域、安全要求等因素从逻辑上划分为几个逻辑子网，每个逻辑子网称为一个“安全区域”。默认情况，统一安全网关提供了4个默认的安全区域：trust、untrust、DMZ、local，一般情况下，untrust区域是连接Internet的，trust区域是连接内部局域网的，DMZ区域是连接一些内部服务器的，例如放置邮件服务器、FTP服务器等。统一安全网关的地址转换功能是按照安全区域之间的访问进行配置的，这样就可以非常方便的进行网络管理。例如，对于内部服务器的网络如果有足够的IP地址，可以直接使用公网IP地址，在DMZ->untrust区域间不使用地址转换，而内部局域网使用私网地址，在trust->untrust区域间使用地址转换。同时地址转换可以和ACL配合使用，利用ACL来控制地址转换的范围，因此即使在同一个网络区域，有公网、私网混合组网的情况，统一安全网关依然可以方便的设定地址转换的规则。强大的内部服务器支持内部服务器就是可以使得外部网络的用户可以访问到内部网络，比如可以对外提供Web服务器。很多统一安全网关实现内部服务器的时候是提供一个“静态映射”，将一个私有地址和一个公有地址绑定，这个方式的最大弱点就是浪费合法的IP地址。华为统一安全网关的地址转换功能可以对内部服务器的支持到达端口级。允许用户按照自己的需要配置内部服务器的端口、协议、提供给外部的端口、协议。对于上面的例子使用的地址转换，不仅可以保证做为WEB服务器的地址，同时可以做为FTP服务器的地址，同时可以使用:8080提供第二台WEB服务器，还可以满足内部用户同时使用的地址进行访问Internet。华为统一安全网关提供了基于端口的内部服务器映射，可以使用端口来提供服务，同时也可以提供地址的一对一映射。同时，每台统一安全网关可以提供多达256个内部服务器映射，而且不会影响访问的效率。强大的业务支撑地址转换比较难处理的情况是报文载荷中含有地址信息的情况，这种情况的代表协议是FTP。华为统一安全网关的地址转换现在已经非常完善的支持了ICMP重定向、不可达、FTP（支持被动主动两种模式）、H323、NetMeeting、PPTP、L2tp、DNS、NetBIOS、SIP、QQ、MSN等特殊协议。依靠现在支持的各种业务，统一安全网关已经可以提供非常好的业务支撑，可以满足绝大部分的Internet业务，使得地址转换不会成为网络业务的瓶颈。为了更好的适应网络业务的发展，华为统一安全网关还提供了一种“用户自定义”的ALG功能，对于某些特殊业务应用，通过命令行进行配置就可以支持这种业务的ALG，通过这样的方式更可以保证华为统一安全网关对业务的支撑，达到快速响应的效果。另外华为统一安全网关在结构上面，充分考虑了地址转换需要支持特殊协议的问题。从结构上保证可以非常快速的支持各种特殊协议，并且对报文加密的情况也做了考虑。因此在应用程序网关方面，统一安全网关在程序设计、结构方面做了很大的努力和考虑，在针对新出现的各种特殊协议的开发方面上，华为统一安全网关可以保证会比其他设备提供更快、更好的反应，可以快速的响应支持用户的需求，支持多变的网络业务。无数目限制的PAT方式转换华为统一安全网关可以提供PAT（PortAddressTranslation）方式的地址转换，PAT方式的地址转换使用了TCP/UDP的端口信息，这样在进行地址转换的时候使用的是“地址＋端口”来区分内部局域网的主机对外发起的不同连接。这样使用PAT方式的地址转换技术，内部局域网的很多用户可以共享一个IP地址上网了。因为TCP/UDP的端口范围是1~65535，一般1～1024端口范围是系统保留端口，因此从理论上计算，通过PAT方式的地址转换一个合法的IP地址可以提供大约60000个并发连接。但是华为统一安全网关采用专利技术提供了一种“无限制端口”连接的算法，可以保证使用一个公网IP地址可以提供无限个并发连接，通过这种技术就突破了PAT方式上网的65535个端口的限制，更大的满足了地址转换方式的实际使用，更加节省了公网的IP地址。（3）安全策略控制灵活的规则设定华为统一安全网关可以支持灵活的规则设定，可以根据报文的特点方便的设定各种规则。可以依据报文的协议号设定规则可以依据报文的源地址、目的地址设定规则可以使用通配符设定地址的范围，用来指定某个地址段的主机针对UDP和TCP还可以指定源端口、目的端口针对目的端口、源端口可以采用大于、等于、介入、不等于等方式设定端口的范围针对ICMP协议，可以自由的指定ICMP报文的类型和Code号，可以通过规则针对任何一种ICMP报文可以针对IP报文中的TOS域设定灵活的规则可以将多个报文的地址形成一个组，作为地址本，在定义规则时可以按组来设定规则，这样规则的配置灵活方便高速策略匹配通常，防火墙的安全策略都是由很多规则构成的，因此在进行策略匹配的时候会影响防火墙的转发效率。华为统一安全网关采用了ACL匹配的专门算法，这样就保证了在很多规则的情况下，统一安全网关依然可以保持高效的转发效率，系统在进行上万条ACL规则的查找时，性能基本不受影响，处理速度保持不变，从而确保了ACL查找的高速度，提高了系统整体性能。MAC地址和IP地址绑定华为统一安全网关根据用户配置，将MAC和IP地址进行绑定从而形成关联关系。对于从该IP地址发来的报文，如果MAC地址不匹配则被丢弃；对于发往该IP地址的报文都被强制发送到指定的MAC地址处，从而有效避免IP地址假冒的攻击行为。动态策略管理－黑名单技术华为统一安全网关可以将某些可疑报文的源IP地址记录在黑名单列表中，系统通过丢弃黑名单用户的所有报文，从而有效避免某些恶意主机的攻击行为。统一安全网关提供如下几种黑名单列表维护方式：手工添加黑名单记录，实现主动防御与攻击防范结合自动添加黑名单记录，起到智能保护可以根据具体情况设定"白名单"，使得即使存在黑名单中的主机，依然可以使用部分的网络资源。例如，即使某台主机被加入到了黑名单，但是依然可以允许这个用户上网。黑名单技术是一种动态策略技术，属于响应体系。统一安全网关在动态运行的过程中，会发现一些攻击行为，通过黑名单动态响应系统，可以抑制这些非法用户的部分流量，起到保护整个系统的作用。（4）攻击防范功能优秀的Dos防御能力的必要条件Internet上的DOS攻击已经成为很常见的攻击行为，Dos（Denyofservice）是一类攻击方式的统称，其攻击的基本原理就是通过发送各种垃圾报文导致网络的阻塞、服务的瘫痪。Dos攻击方式其利用IP无连接的特点，可以制造各种不同的攻击手段，而且攻击方式非常简单，普通到一台PC、一个发包工具就可以制造Dos攻击，因此Dos攻击方式在Internet上非常流行，对企业网、甚至骨干网都造成了非常严重的影响，引发很大的网络事故，因此优秀的Dos攻击防范功能是统一安全网关的必备功能。一个优秀的Dos攻击防御体系，应该具有如下最基本的特征：防御手段的健全和丰富，因为Dos攻击手段种类比较多，因此必须具有丰富的防御手段，才可以保证真正的抵御Dos攻击。优秀的处理性能，因为Dos攻击伴随这一个重要特征就是网络流量突然增大，如果防火墙本身不具有优秀的处理能力，则防火墙在处理Dos攻击的同时本身就成为了网络的瓶颈，根本就不可能抵御Dos攻击。因为Dos攻击的一个重要目的就是使得网络瘫痪，网络上的关键设备点发生了阻塞，则Dos攻击的目的就达到了。这里同时需要提醒大家注意的是，防火墙设备不但要考察转发性能，同时一定要考察对业务的处理能力。在进行Dos攻击防御的过程中，防火墙的每秒新建能力就成为保证网络通畅的一个重要指标，Dos攻击的过程中，攻击者都是在随机变化源地址因此所有的连接都是新建连接。准确的识别攻击能力。很多防火墙在处理Dos攻击的时候，仅仅能保证防火墙后端的流量趋于网络可以接受的范围，但是不能保证准确的识别攻击报文。这样处理虽然可以保证网络流量的正常，可以保证服务器不会瘫痪，但是这样处理还是会阻挡正常用户上网、访问等的报文，因此虽然网络层面是正常的，但是真正的服务还是被拒绝了，因此还是不能达到真正的Dos攻击防御的目的。华为统一安全网关产品，对上述各个方面都做了详尽的考虑，因此Dos防御的综合性能、功能等方面在同类防火墙产品中都具有很强的优势。丰富的Dos防御手段华为统一安全网关产品根据数据报文的特征，以及Dos攻击的不同手段，可以针对ICMPFlood、SYNFlood、UDPFlood等各种Dos攻击手段进行Dos攻击的防御。同时，华为统一安全网关可以主动识别出数十种常见的攻击种类，很多种攻击种类造成的后果就是Dos形式的攻击，华为统一安全网关可以主动发现并隔断这些非法攻击，消除了内部网络遭受攻击的可能。通过对各种攻击的防御手段，利用华为统一安全网关可以组建一个安全的防御体系，保证网络不遭受Dos攻击的侵害。针对不同的攻击特点，华为统一安全网关采用了一些不同的防御技术，这样保证在抵御Dos攻击的时候更有针对性，使得设备的抵御特性更加完整。华为统一安全网关不但在攻击手段上面进行了详细考虑，同时也在使用方式和网络适应性方面做了周全的考虑，攻击防范既可以针对一台特定的主机也可以针对一个安全区域的所有主机进行保护。高级的TCP代理防御体系华为统一安全网关支持使用TCP代理方式来防止SYNFlood类的Dos攻击，这种攻击可以很快的消耗服务器资源，导致服务器崩溃。在一般的Dos防范技术中，在攻击发生的时候不能准确的识别哪些是合法用户，哪些是攻击报文。华为统一安全网关采用了TCP透明代理的方式实现了对这种攻击的防范，统一安全网关通过精确的验证可以准确的发现攻击报文，对正常报文依然可以通过，允许这些报文访问统一安全网关资源，而攻击报文则被丢弃。有些攻击是建立一个完整的TCP连接用来消耗服务器的资源。华为统一安全网关可以实现增强代理的功能，在客户端与统一安全网关建立连接以后察看客户是否有数据报文发送，如果有数据报文发送，再与服务器端建立连接否则丢弃客户端的报文。这样可以保证即使采用完成TCP三次握手的方式消耗服务器资源，也可以被统一安全网关发现。扫描攻击防范扫描窥探攻击是利用ping扫描（包括ICMP和TCP）来标识网络上存活着的系统，从而准确的定位潜在的目标；利用TCP和UDP端口扫描，就能检测出操作系统的潜在服务。攻击者通过扫描窥探能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入系统做好准备。华为统一安全网关通过比较分析，可以灵活高效地检测出这类扫描窥探报文，从而预先避免后续的攻击行为。这些扫描窥探包括：地址扫描、端口扫描、IP源站选路选项、IP路由记录选项、利用tracert工具窥探网络结构等。畸形报文防范华为统一安全网关可以提供针对各种畸形报文的防范，主要包括Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文、TCP报文标志位（如ACK、SYN、FIN等）不合法、PingofDeath攻击、TearDrop攻击等，可以自动的检测出这些攻击报文。（5）ASPF深度检测功能华为统一安全网关提供了ASPF技术，ASPF是一种高级通信过滤技术，它检查应用层协议信息并且监控基于连接的应用层协议状态。华为统一安全网关依靠这种基于报文内容的访问控制，能够对应用层的一部分攻击加以检测和防范，包括对于FTP命令字、SMTP命令的检测、HTTP的Java、ActiveX控件等的检测。ASPF技术是在基于会话管理的技术基础上提供深层检测技术的，ASPF技术利用会话管理维护的信息来维护会话的访问规则，通过ASPF技术在会话管理中保存着不能由静态访问列表规则保存的会话状态信息。会话状态信息可以用于智能的允许/禁止报文。当一个会话终止时，会话管理会将该会话的相关信息删除，统一安全网关中的会话也将被关闭。针对TCP连接，ASPF可以智能的检测“TCP的三次握手的信息”和“拆除连接的握手信息”，通过检测握手、拆连接的状态检测，保证一个正常的TCP访问可以正常进行，而对于非完整的TCP握手连接的报文会直接拒绝。在普通的场合，一般使用的是基于ACL的IP包过滤技术，这种技术比较简单，但缺乏一定的灵活性，在很多复杂应用的场合普通包过滤是无法完成对网络的安全保护的。例如对于类似于应用FTP协议进行通信的多通道协议来说，配置统一安全网关则是非常困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道，对于一般的包过滤防火墙来说，配置安全策略时无法预知数据通道的端口号，因此无法确定数据通道的入口。这样就无法配置准确的安全策略。ASPF技术则解决了这一问题，它检测IP层之上的应用层报文信息，并动态地根据报文的内容创建和删除临时的规则，以允许相关的报文通过。ASPF使得统一安全网关能够支持一个控制通道上存在多个数据连接的协议，同时还可以在应用非常复杂的情况下方便的制订各种安全的策略。许多应用协议，如Telnet、SMTP使用标准的或已约定的端口地址来进行通信，但大部分多媒体应用协议（如H.323、SIP）及FTP、netmeeting等协议使用约定的端口来初始化一个控制连接，再动态的选择端口用于数据传输。端口的选择是不可预测的，其中的某些应用甚至可能要同时用到多个端口。ASPF每一个应用的每一个连接所使用的端口，打开合适的通道让会话中的数据能够出入统一安全网关，在会话结束时关闭该通道，从而能够对使用动态端口的应用实施有效的访问控制。当报文通过统一安全网关时，ASPF将对报文与指定的访问规则进行比较，如果规则允许，报文将接受检查，否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接，ASPF将动态的修改规则，对于回来的报文只有属于一个已经存在对应的有效规则，才会被允许通过。在处理回来的报文时，状态表也会随时更新。当一个连接被关闭或超时后，该连接对应的状态表将被删除，确保未经授权的报文不能随便通过。内容安全防护功能（1）一体化检测机制USG一体化检测机制不仅提供了强大的内容安全功能，还使得即使在内容安全功能全开的情况下，也可以保持较高性能功能。一体化检测机制是指设备仅对报文进行一次检测，就可以获取到后续所有内容安全功能所需的数据，从而大幅提升设备处理。（2）反病毒功能反病毒功能可以对网络中传输的文件进行扫描，识别出其中携带的病毒，并且予以记录或清除。病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒通常被携带在文件中，通过网页、邮件、文件传输协议进行传播。内网主机一旦感染病毒，就可能导致系统瘫痪、服务中止、数据泄露，令企业蒙受巨大损失。下一代USG防火墙提供的反病毒功能对最容易传播病毒的文件传输与共享协议以及邮件协议进行检测和扫描，可以防范多种躲避病毒检测的机制，实现针对病毒的强大防护能力。支持丰富的应用层协议和应用程序支持对HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB传输的文件进行病毒检测。支持对部分常见的基于HTTP协议的应用程序设置例外动作。支持对压缩文件进行病毒扫描支持对zip、gzip压缩文件进行解压，然后再进行病毒扫描。支持海量的病毒特征库下一代USG系列防火墙自带的病毒特征库支持检测3000多个主流的病毒家族，可以覆盖100万种常见的流行病毒，海量的病毒特征库使得下一代USG系列防火墙拥有强大的病毒检测能力。同时华为通过专业的病毒分析团队，实时跟踪最新出现的病毒类型，并对其进行分析，在第一时间更新病毒特征库供网络管理员下载使用，使得下一代USG系列防火墙始终拥有最新最强大的病毒识别能力。支持针对不同流量配置不同的防护措施，支持添加应用例外和病毒例外定制病毒防护策略通过安全策略，网络管理员可以针对不同流量制定细粒度的防护策略，对不同的网络环境采取不同级别的保护。同时，通过对部分常见的基于HTTP协议的应用程序设置额外的防护动作，或者根据日志将部分误报的病毒类型添加到病毒例外中，可以对反病毒策略进行灵活的调整，以保证业务的正常传输。（3）入侵防御功能入侵防御功能主要可以防护应用层的攻击或入侵，例如缓冲区溢出攻击、木马、后门攻击、蠕虫等。华为下一代USG系列防火墙的入侵防御功能可以通过监控或者分析系统事件，检测应用层攻击和入侵，并通过一定的响应方式，实时地中止入侵行为。支持多种部署方式，支持针对不同流量配置不同的防护措施华为下一代USG系列防火墙支持直路部署和旁路部署两种部署模式。在直路部署时可以作为IPS设备工作，实时检测威胁事件的发生并及时中止其流量传输，保护内部网络；在旁路部署时可以作为IDS设备工作，检测并记录网络中发生的可疑事件，及时通知网络管理员采取行动，或者帮助管理员进行事后检查，同时又不影响流量的正常传输。通过安全策略，网络管理员可以针对不同流量制定细粒度的防护策略，对不同的网络环境采取不同级别的保护。支持对应用层报文进行深度解析通过强大的报文深度识别功能，以及不断更新的应用特征库，华为下一代USG系列防火墙可以对数千种常见的应用程序进行报文深度解析，并检测出其中携带的攻击和入侵流量。根据基于应用的安全策略，可以对不同的应用程序作出不同的响应工作，方便管理员灵活部署入侵防御功能。支持进行报文分片重组和TCP流重组之后再进行威胁检测支持网络攻击利用IP报文分片和TCP流乱序重组等技术躲避威胁检测的行为，华为下一代USG系列防火墙支持将IP分片报文重组还原为原始报文后再进行检测，还支持对TCP流进行重组，按照流序号还原为正序流后再进行检测。支持海量的签名库，支持自定义签名IPS设备通常使用签名来识别攻击流量的特征，签名库的容量就代表了设备识别应用层威胁的能力。然而新型的攻击层出不穷，威胁日新月异，所以华为通过专业的签名开发团队密切跟踪全球知名安全组织和软件厂商发布的安全公告，对这些威胁进行分析和验证，生成保护各种软件系统（操作系统、应用程序、数据库）漏洞的签名库。此外，通过遍布全球的蜜网（通过诱使黑客进行攻击捕捉攻击行为特征的站点），实时捕获最新的攻击、蠕虫病毒、木马，提取威胁的特征，发现威胁的趋势。在此基础上，当新的漏洞被发现时，华为能够在最短时间内发布最新的签名，及时升级检测引擎和签名库，来防御针对该漏洞的已知的和未知的攻击，真正实现零日防御。华为下一代USG系列防火墙自带的签名库可以识别出数千种应用层攻击行为。通过签名库的不断升级，还可以持续获取最新的识别和防护能力。网络管理员还可以根据自己掌握的流量信息自行定义签名，使得华为下一代USG系列防火墙的入侵防御功能更加完善。超低的签名误报率误报率是衡量签名库质量的重要标准，代表着签名的准确率。出现误报有可能会影响网络正常业务，同时会产生大量的攻击事件，管理员需要在海量日志数据中寻找真正有价值的攻击内容。误报的原因一般是签名不够精确，或者检测机制不够完善。华为拥有众多安全研究人员，具有丰富数据来源，从而可以分析更多的样本，签名编写完成后经过了完备的误报测试，所以发布的签名几乎是零误报率。得益于签名的超低误报，华为下一代USG系列防火墙默认开启阻截的签名的比率非常高，在不影响用户正常业务的情况下，可以最大程度地化解威胁。这样，管理员就无需对照冗长的日志来查看是否有误报，以及是否需要关闭一些签名。（4）数据泄露防护数据泄密防护（DateLeakagePrevention，DLP）是通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。数据泄露防护的主要目的是保护企业或个人的重要数据。由于窃取数据的手段众多，所以实现数据泄露防护需要一组技术来实现。华为下一代USG系列防火墙提供的数据泄露防护技术主要防止的是数据在网络传输过程中发生泄露，例如：通过网络通信工具将机密数据从企业内部网络传输到外部网络。大部分的数据泄露都是由企业内部员工有意或无意造成的。外部网络的黑客通过入侵技术进入企业内网主机，获取控制权限并获取机密数据，甚至长期监控内网主机运行的情况。由于内网主机无意中感染木马或其他间谍病毒，机密数据被病毒自动搜寻并发送至外部网络。在内网主机与外网主机进行必要通信的过程中，由于黑客进行了截取导致机密数据泄露。为了解决以上问题，根据数据泄露的途径，华为下一代USG系列防火墙分别提供了不同的技术应对：表1数据泄露防护技术泄露途径技术说明通过HTTP、FTP等文件传输协议，或者即时通信软件等应用程序以文本或文件的方式泄露应用识别、文件过滤、数据过滤基于强大的应用识别能力，华为下一代USG系列防火墙可以对具有网络通信功能的应用程序以及传输协议进行报文的深度解析，识别其中包含的文件和信息。数据过滤根据文本或文件中出现的关键词，文件过滤根据文件的类型等信息分别对流量进行过滤。通过电子邮件程序以文本或附件的方式泄露邮件过滤、文件过滤、数据过滤邮件过滤根据邮件的收发件人地址、附件大小、附件个数等信息对邮件进行过滤。文件过滤根据邮件附件的文件类型信息对邮件进行过滤。数据过滤根据邮件的收发件人地址、主题、正文、附件文件名中出现的关键字对邮件进行过滤。外网中的黑客通过入侵内网方式窃取数据入侵防御对网络攻击、应用层攻击以及入侵行为的监控，及时阻断外网队内网的渗透和数据窃取。内网主机因为感染病毒无意中泄露反病毒对木马及其他间谍病毒的扫描与识别，避免内网感染具有类似功能的病毒，防止危害在内网泛滥。在内网与外网的正常通信过程中，数据被黑客窃取VPN针对内网主机与外网主机的通信，或者两个被Internet隔离的内网之间的通信，采用VPN加密技术对通信过程进行保护，防止数据被窃听、篡改、伪造和重放。除了以上主动防御措施外，华为下一代USG系列防火墙还可以通过对网络中出现的应用行为进行审计，记录相应的源、目的、时间、传输的文件、进行的操作等等信息，从而实现对数据泄露行为的监管、追溯与事后取证。通过华为下一代USG系列防火墙提供的这一系列技术，结合企业内部已有的对存储介质的存放管理、文档数据的加密管理、用户认证与网络资源的授权等等技术，可以对企业数据进行端到端的安全保护，实现完整的数据泄露防护方案。（5）WEB安全防护随着云技术的发展，越来越多的应用开始往Web上进行迁移。Web已经从单纯的提供网页浏览演变成为集金融、社交、音乐、视频、游戏等领域为一身的综合平台。Web业务的丰富和发展同时也带来了多种多样的安全风险，通过综合多种技术可以实现对Web站点和访问行为的安全防护。Web安全问题中最为显著的就是非法网站和恶意网站。非法网站是指暴力、色情等不被当地法律法规或者企业管理制度所允许访问的网络资源。非法网站带来的危害包括影响社会稳定、降低员工工作效率、占用企业带宽、浪费企业网络资源等；恶意网站是指挂马网站、钓鱼网站等试图在用户浏览过程中向用户主机植入木马、进行SQL注入和跨站脚本攻击、利用浏览器/系统漏洞获取主机权限或数据、骗取用户钱财等存在恶意行为的网站。恶意网站有可能带来用户或企业的大量经济损失。恶意网站的显著特征就是在没有安全机制保护的情况下，用户对其恶意行为完全不知情，往往在无意中就造成了损失；URL过滤根据用户访问的URL地址对URL访问行为进行控制。管理员可以根据华为下一代USG系列防火墙提供的海量URL分类数据库，以及自己定义的URL地址及分类，对不同的URL地址设置不同的处理措施。同时，华为下一代USG系列防火墙提供的URL分类数据包含了大量已知的挂马网站、钓鱼网站等恶意网站的网址。用户在访问URL时，设备可以自动查询这个URL是否属于恶意网站，并作出相应的处理措施。由于URL地址的数量极其庞大，而且每天都增加，作用也可能发生改变。华为提供的海量URL分类数据库可以及时跟踪Internet上的URL地址变化，实时更新URL分类信息，保证了URL过滤功能的不断增强。同时，管理员也可以在本地网络搭建URL分类查询服务器。由本地URL分类查询服务器从华为的查询服务器上学习完整的URL分类信息，本地网络中的多台USG系列防火墙再向该服务器进行查询。这种部署方式节约了网络带宽，提高了查询速度，还可以在内网中的USG系列防火墙无法直接连接Internet时，仍能实现实时查询。（6）应用行为控制应用行为控制可以对企业网络中的特定网络行为进行控制，以避免安全风险，提高管理效率，在现代企业中，网络是不可或缺的工作平台和工具，但是同时因为员工滥用网络的行为，会带来一系列的问题：由于员工在工作时间内浏览与工作无关的网站网页、下载音乐视频等行为导致工作效率的下降和企业网络资源的浪费。由于员工通过网络向外传输文本或文件，泄露企业的机密信息。由于员工在网络上发表不符合当地法律法规或者企业管理制度的言论，对企业形象或利益造成损失。华为下一代USG系列防火墙提供的应用行为控制功能，可以有效地监控和控制以上网络行为，避免企业利益的损失，提升企业效率：HTTP行为控制：支持对论坛发帖、表单提交、用户登录等HTTPPOST行为进行阻断。支持对网页浏览行为进行阻断。支持对HTTP代理上网行为进行阻断。支持根据HTTP上传/下载的文件大小进行告警或阻断。FTP行为控制：支持根据FTP上传/下载的文件大小进行告警或阻断。支持对FTP删除文件行为进行阻断。（7）垃圾邮件过滤垃圾邮件过滤功能可以根据邮件发送服务器的IP地址以及邮件内容对垃圾邮件进行拦截。通常来说，凡是未经用户许可就强行发送到用户的邮箱中的任何电子邮件都可以称之为垃圾邮件。垃圾邮件最初只是宣传广告的传播途径，但是演变至今已经对网络的正常运转产生了非常恶劣的影响：占用网络带宽，造成邮件服务器拥塞，进而降低整个网络的运行效率。侵犯收件人的隐私权，占用收件人信箱空间，耗费收件人的时间、精力和金钱。有的垃圾邮件还盗用他人的电子邮件地址做发信地址，严重损害了他人的信誉。包含木马和病毒，被黑客利用，成为网络攻击的工具。严重影响ISP的形象。在国际上，频繁转发垃圾邮件的主机会被上级国际因特网服务提供商列入国际垃圾邮件数据库，从而导致该主机不能访问国外许多网络。而且收到垃圾邮件的用户会因为ISP没有建立完善的垃圾邮件过滤机制，而转向其它ISP。传播虚假、反动、色情等内容，对现实社会造成危害。华为下一代USG系列防火墙提供的垃圾邮件过滤技术包括：本地定义黑白名单，对允许通过的邮件服务器进行控制。向Internet上的RBL服务器实时查询邮件服务器是否属于垃圾邮件服务器。RBL服务器可以提供完整、丰富、不断更新的已知垃圾邮件服务器清单。根据邮件的发件人、主题与正文内容中出现的关键字对邮件进行过滤，实现对未知垃圾邮件的基于内容的防护。虚拟防火墙功能虚拟防火墙是将一台物理设备从逻辑上划分为多台独立的虚拟防火墙设备的功能。每台虚拟防火墙都可以拥有自己的管理员、路由表和安全策略。虚拟系统目前主要用于以下三个场景：1）设备租赁：目前有部分小型企业，其资金不足以支持购买一台网络安全设备以及相应的License和售后服务，但是其业务开展又急需网络安全设备的保护。这时，网络服务提供商或者专门的设备租赁商可以购买一台网络安全设备，再通过虚拟系统技术将这台物理设备划分为多台独立的虚拟设备，分别向不同的企业网络提供安全功能。多个企业共享硬件资源，但是实际流量又被完全隔离。这样即节约了设备购置和维护的费用，又保证了各个企业的网络安全性。对于网络服务提供商和设备租赁商来说，此项服务也可以作为利润的来源。2）大中型企业的网络隔离：大中型企业的网络都具有大量的网络设备，和严密的网段、权限划分，以对公司的核心资产进行保护。虽然传统防火墙可以通过安全区域对网络进行隔离，但是在组网和需求复杂的情况下，通过接口划分的安全区域可能并不能满足需求，或者导致策略配置异常复杂，容易出错。同时由于网络管理员权限相同，不同网络的多个管理员操作同一台设备，更加容易造成配置的冲突。通过虚拟系统技术，可以在实现网络隔离的基础上，使得业务管理更加清晰和简便。3）云计算：新兴的云计算技术，其核心理念是将网络资源和计算能力存放于网络云端。网络用户只需通过网络终端接入公有网络，就可以访问相应的网络资源，使用相应的服务。在这个过程中，不同用户之间的流量隔离、安全防护和资源分配是非常重要的一环。通过虚拟系统技术，就可以让部署在云计算中心和数据中心出口的USG具备云计算网关的能力，对用户流量进行隔离的同时提供强大的安全防护能力。为了实现每个虚拟系统的业务都能够做到正确转发、独立管理、相互隔离，华为下一代USG系列防火墙主要实现了三个方面的虚拟化：（1）路由虚拟化：每个虚拟防火墙都拥有各自的路由表及会话表，相互独立隔离。（2）安全功能虚拟化：每个虚拟防火墙都可以配置独立的安全策略及其他安全功能，只有属于该虚拟系统的报文才会受到这些配置的影响。（3）配置虚拟化：每个虚拟防火墙都拥有独立的虚拟系统管理员和配置界面，每个虚拟系统管理员只能管理自己所属的虚拟系统。通过以上三个方面的虚拟化，使得华为下一代USG系列防火墙的虚拟防火墙功能非常易于使用。当创建虚拟防火墙之后，每个虚拟防火墙的管理员和用户都像在使用一台独享的防火墙设备安全计算环境数据中心环境通过对服务器物理资源的抽象，将CPU、内存、I/O等物理资源转化为一组统一管理、可灵活调度、可动态分配的逻辑资源，并基于这些逻辑资源，在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境，检测到虚拟资源隔离失效时进行告警。通过平台任务日志对非授权的操作如新建虚拟机、重启虚拟机、删除虚拟机等操作进行记录并支持审计。审计服务提供对各种资源（包含网络设备，网络节点）操作记录的收集、存储和查询功能。应当支持在宿主机部署了入侵检测能力，可检测恶意代码感染和传播情况，并进行告警。用户使用企业主机安全服务实现恶意代码检测，并提出告警。应当支持通过镜像工厂，由专业安全团队对虚拟机操作系统公共镜像进行安全加固，并及时修复系统安全漏洞，最终生成安全更新了的公共镜像，并通过镜像服务持续提供给租户。同时提供相关加固和补丁信息以供用户对镜像进行测试、排除故障及其他运维活动时参考。由客户根据相关应用运行及安全运维策略，选择直接使用最新的公共镜像重新创建虚拟机或自行创建已安装安全补丁的私有镜像。部署主机安全防护，对主机服务器、中间件进行漏洞扫描、基线配置，包括入侵防范，恶意代码查杀，虚机逃逸检测等功能。提供对操作系统面临的安全威胁分析，以及析操作系统补丁和应用系统组件版本分析提供相应的整改建议，并在用户的许可下完成相关漏洞的修复和补丁组件的加固工作。部署平台侧数据库审计系统，对平台管理面关键数据库提供审计能力，提供用户行为审计、多维度分析、实时告警和报表等功能，保障管理面数据库的安全，满足用户合规要求。部署平台堡垒机纳管系统账号，包括：网络设备，管理面主机资产，并提供提供安全接入通道、双因素认证、账号托管、录屏审计、权限管理、报表等能力，满足运维审计的合规需求。软件安全设计方案（租户安全）安全通信网络与边界安全（一）性能冗余XX集团公司云平台提供各类规格的计算、存储、网络等资源，如各规格的cpu、内存、磁盘、带宽等等，可根据业务系统需求，按需选用，且可弹性扩容，满足业务处理能力高峰期需要；（二）安全区域划分XX集团公司云平台上，使用VPC、子网等服务，将网络从逻辑上划分为网络层、应用层、主机层和数据层。（三）安全区域隔离与访问控制XX集团公司云平台上区域隔离除了使用子网外，还提供安全组服务，虚拟防火墙，通过对IP和端口设置白名单访问策略，达到访问控制和隔离效果，保证云上资源如云主机、RDS等，通过受控端口提供服务，策略设置遵循端口最小化原则。（四）安全通信协议网络中使用安全的通信协议，特别是对外提供服务的协议，建议租户使用安全协议，如使用https替代http，VPN等加密传输隧道。（五）入侵防范XX集团公司云平台提供多维度的纵深防御体系，针对四到七层的各类攻击行为进行监测并抵御：提供边界防火墙针对流量进行检测及防御，以抵御南北向攻击行为；通过Web应用防火墙，为租户提供Web攻击防护能力。提供态势感知能力，针对各关键网络节点的攻击行为进行监测和分析，将租户网络中所有安全事件进行集中管理并展示。（六）恶意代码防范XX集团公司云平台上，一方面通过边界防火墙进行网络防病毒检测，另一方面提供云主机的恶意代码防范能力，以满足等保要求“应在关键网络节点处对恶意代码进行检测和清除”。安全计算环境（一）主机安全为用户提供覆盖主流操作系统的主机加固&防护解决方案，提升云主机账户安全性，预防暴力破解风险，也满足了等保相关主机加固的要求。（二）应用安全应用安全，是XX集团公司业务安全建设重点，应参考等保标准对身份认证、访问控制、入侵防范（安全编码、测试等）等进行严格的控制。Web应用防火墙等对租户应用层安全提供保护。（三）数据安全本方案的RDS服务，采用高可用跨AZ部署，将RDS的主备实例分布部署在不同可用区，达到主备的能力。配置RDS的备份策略。提供数据库审计服务，旁路模式，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警。云安全服务设计安全方案总体功能架构华为云Stack有很多安全服务，其他功能架构图如上图，包括平台基础安全、主机安全、云防火墙、Web应用防火墙、边界防火墙、密钥管理、数据库审计、数据安全管理中心、堡垒机、身份服务、云安全管理中心、态势感知（安全云脑）。本次采购了云堡垒机、主机安全、态势感知（安全云脑）、数据库审计，其他安全服务后续根据项目需要可以灵活选择配置。安全方案部署架构安全方案逻辑架构图如上图所示，云安全管理中心提供专业级的安全分析、态势感知能力，实现对云负载、各类应用的安全保护管理。身份服务提供云平台用户账户统一管理能力，实现认证和权限管理。密钥管理提供平台密钥的生命周期管理能力，堡垒机提供统一身份管理，防止越权操作。在业务服务器中，通过主机安全、网络ACL和安全组等能力保护计算环境安全，数据库审计对云上数据库进行审计、分析和实时告警，数据脱敏提供数据分级分类、数据安全风险识别、数据水印溯源和数据静态脱敏等基础数据安全能力。通过流量监控、云防火墙、Web应用防火墙等来保护通信网络和区域边界的安全。平台基础安全平台基础安全通过华为云StackFusionGuard实现，具备基础的安全保护能力，包括宿主机和虚拟化安全、云服务安全、安全管理等。1、宿主机和虚拟化安全1）网络平面隔离将云平台的网络通信平面划分管理网络、租户网络、存储网络，网络之间采用VLAN隔离。各个租户的网络采用VXLAN隔离。通过网络平面隔离保证管理平台操作不影响业务运行，最终用户不能破坏基础平台管理。网络平面划分租户平面：为用户提供业务通道，为虚拟机之间通信平面，对外提供业务应用。每个租户下可创建多个租户网络，租户下的虚拟机可接入租户网络，实现虚拟机之间的互通。存储平面：为块存储设备提供通信平面，并为虚拟机提供存储资源，但不直接与虚拟机通信，而通过虚拟化平台转化。管理平面：负责整个云计算系统的管理、业务部署、系统加载等流量的通信。2）资源隔离华为统一虚拟化平台（UnifiedVirtualizationPlatform，UVP）通过对服务器物理资源的抽象，将CPU、内存、I/O等物理资源转化为一组统一管理、可灵活调度、可动态分配的逻辑资源，并基于这些逻辑资源，在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境。3）CPU隔离UVP直接运行于物理服务器之上，提供虚拟化能力，为虚拟机提供运行环境。基于硬件虚拟化的CPU隔离主要是指虚拟化平台与虚拟机之间的隔离，虚拟机内部的权限分配和虚拟机与虚拟机之间的隔离。CPU隔离是通过Root和Non-Root两种运行模式的切换、各运行模式下的运行权限分配以及以VCPU（VirtualCPU）的形式呈现的虚拟计算资源的分配与切换等方式来实现的。通过CPU隔离机制，UVP可以控制虚拟机对物理设备以及虚拟化运行环境的访问权限，从而实现虚拟化平台与虚拟机之间以及不同虚拟机之间在信息和资源上的隔离，也就是说，一个虚拟机无法获取到其他虚拟机或虚拟化平台的信息和资源，保证了虚拟机运行在合法的空间内，避免某个虚拟机对UVP或其他虚拟机发起攻击。4）内存隔离虚拟化平台还负责为虚拟机提供内存资源，保证每个虚拟机只能访问到其自身的内存。为实现这个目标，虚拟化平台管理虚拟机内存与真实物理内存之间的映射关系。保证虚拟机内存与物理内存之间形成一一映射关系。虚拟机对内存的访问都会经过虚拟化层的地址转换，保证每个虚拟机只能访问到分配给它的物理内存，无法访问属于其他虚拟机或虚拟化平台自身使用的内存。5）I/O隔离虚拟化平台还给虚拟机提供了虚拟I/O设备，包括磁盘、网卡、鼠标、键盘等。虚拟化平台为每个虚拟机提供独立的设备，避免多个虚拟机共享设备造成的信息泄露。2、防IP/MAC/DHCPserver仿冒二层网络安全防止用户虚拟机IP和MAC地址仿冒、防止用户虚拟机DHCPServer仿冒都是通过二层网络安全策略实现的：防止IP地址和MAC仿冒（IP和MAC绑定）：防止虚拟机用户通过修改虚拟网卡的IP、MAC地址发起IP、MAC仿冒攻击，增强用户虚拟机的网络安全。具体技术能力包括通过DHCPsnooping生成IP-MAC的绑定关系，然后通过IP源侧防护（IPSourceGuard）与动态ARP检测（DAI，DynamicARPInspection）对非绑定关系的报文进行过滤。防止DHCPServer仿冒(DHCPServer隔离)：禁止用户虚拟机启动DHCPServer服务，防止用户无意识或恶意启动DHCPServer服务，影响正常的虚拟机IP地址分配过程。3、防DoS/DDoS攻击系统通过限制虚拟端口的连接跟踪数来抵御来自云平台外部或平台内部其他虚拟机的大流量攻击，此类攻击会产生大量连接跟踪表项，如果不做限制，会耗尽连接跟踪表资源，不能接受新的连接请求，最终导致业务及管理流量中断。4、系统加固1）操作系统加固云平台中计算节点、管理节点均使用欧拉操作系统，为保证平台安全，必须对欧拉操作系统进行安全加固，主要内容如下：2）数据库加固云平台中包含的数据库必须进行加固，其中数据库安全配置包括账号密码安全配置、文件权限配置、远程连接配置、数据导入导出配置和安全审计相关配置等。3）Web安全加固云平台对于提供Web服务的节点需要进行如下的安全配置，包括对JRE、tomcat、nginx等进行加固配置，启动HTTPS访问方式，支持的加密算法配置、对相关目录进行权限控制等，以增强Web服务平台访问安全性。5、数据保护1）数据存储多备份机制云数据中心的数据存储采用多重备份机制，每一份数据都有一个或者多个备份，即使存储载体（如硬盘）出现了故障，也不会引起数据的丢失，同时也不会影响系统的正常使用。系统对存储数据按位或字节的方式进行数据校验，并把数据校验信息均匀的分散到阵列的各个磁盘上；阵列的磁盘上既有数据，也有数据校验信息，但数据块和对应的校验信息存储于不同的磁盘上，当某个数据盘被损坏后，系统可以根据同一带区的其他数据块和对应的校验信息来重构损坏的数据。2）服务数据备份为保证云平台的业务安全，对云服务使用的配置数据/数据库进行了定期的备份，防止重要数据丢失，并能够从这些数据中快速恢复业务，保证业务的连续性。数据库支持本地在线备份方式和异地备份方式：3）数据加密SSH（SecureShell）是目前较可靠，专为远程登录会话和其他网络服务提供安全性保障的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。透过SSH可以对所有传输的数据进行加密，并防止DNS欺骗和IP欺骗。OpenSSH支持的加密算法为AES128，AES256，AES192。而基于内部的加解密组件开发应用时，支持HMACSha256完整性校验算法，默认使用AES256算法进行加解密。6、镜像安全镜像是一个包含了软件及必要配置的云服务器模版或裸金属服务器模板，至少包含操作系统，还可以包含各种预装的应用软件（例如，数据库软件）。私有镜像是用户自行创建的镜像，共享镜像是用户自己定义并分享给其他用户的镜像，由用户社区在自愿基础上维护。客户可通过服务云镜像服务（ImageManagementService，IMS）控制台或API对自己的镜像进行管理。IMSAPI面临来自攻击者或恶意租户的攻击，可能导致跨租户数据泄露、管理服务中断等严重后果。IMS基于统一身份认证服务（IAM）来进行认证，即租户需先在IAM进行登录，再以返回的Token使用IMS服务。IMS采用了基于多租户的权限模型、严格参数校验、安全通讯协议、敏感信息保护、审计日志等安全措施，从而保护管理系统免受各种恶意攻击。IMS对租户的所有操作进行权限判断，只有符合权限要求才允许执行，并对所有关键操作进行审计记录。审计日志实现持久化，租户可以对其进行长期而且精确的回溯。7、热补丁软件因自身设计缺陷而存在很多漏洞，需要定期为系统安装安全补丁以修补这些漏洞，以防止病毒、蠕虫和黑客利用操作系统漏洞对系统进行攻击。云平台提供安全补丁方案用户可以通过升级工具，将系统安全补丁安装到虚拟化平台上。根据补丁激活和生效对业务体验的影响，补丁分为热补丁和冷补丁。两者区分如下：热补丁：HP（HotPatch），在不停止进程的情况修改进程的缺陷，即安装过程对系统无影响。通过将制作好的补丁文件加载到补丁区，然后将有缺陷的函数用补丁文件中的相应函数替换。冷补丁：CP（ColdPatch），将接口板软件制作成冷补丁包，主控板上运行冷补丁后，将基线版本中相应的软件替换为冷补丁包中的软件，当接口板复位重新向主控板请求加载软件时，接口板加载冷补丁包中的软件，激活和生效过程中对业务体验会产生影响。8、日志管理和安全审计操作日志：操作日志记录操作维护人员的管理维护操作，日志内容详实，包括用户、操作类型、客户端IP、操作时间、操作结果等内容，以支撑审计管理员的行为，能及时发现不当或恶意的操作。操作日志也可作为抗抵赖的证据。运行日志：运行日志记录各节点的运行情况，可由日志级别来控制日志的输出。各节点的运行日志包括级别、线程名称、运行信息等内容，维护人员可通过查看运行日志，了解和分析系统的运行状况，及时发现和处理异常情况。黑匣子日志：黑匣子日志记录系统严重故障时的定位信息，主要用于故障定位和故障处理，便于快速恢复业务，计算和管理节点异常时产生的黑匣子日志本地存放。通过对操作日志和运行日志进行审计，可以发现管理员的不当操作和系统的异常行为，从而采取一定的处理措施进行后续防护。而日志一般建议导出到专门的存储的设备进行备份，并做到权限控制防止日志被篡改或者删除，从而作为证据进行管理员或者黑客恶意行为的抗抵赖识别。安全审计支撑：安全审计是指利用系统记录、系统活动和用户活动等信息，审查和检验操作事件的环境及活动，从而发现系统漏洞、入侵行为或改善系统性能的过程。9、云服务安全1）租户隔离在云平台中租户一般对应一个企业，租户中内置多级VDC（VirtualDataCenter）对应企业不同部门，每个部门可以设置配额，对应部门对资源的预算。VDC是与企业/组织层级关系相匹配的资源分配单元，系统为每个租户默认创建一个一级VDC，VDC内能够完成用户管理、配额管理、项目管理、产品定义、资源发放、服务保障等功能。租户支持多级VDC，最大5级。一级VDC由系统管理员进行维护，一级VDC支持有多个管理员。企业内部的租户是通过不同的VDC来进行隔离的。VDC可以按照组织来划分，一个组织分配一个VDC，运营管理员创建和维护一级VDC，但组织内可能存在多个子组织的情况，为满足多个子组织的需要，系统提供多级VDC功能，VDC管理员可以在VDC内再划分多个子VDC，灵活匹配用户的组织模型，VDC可以支持5级VDC嵌套，每个VDC支持一个或多个VDC管理员，VDC管理员可以导出本级及本级以下的所有VDC信息。2）帐户安全（1）管理员分权管理管理员通过Portal登录管理云系统，包括查看资源、发放虚拟机等。系统支持对Portal用户进行访问控制，支持分权管理，便于维护团队内分职责共同有序地维护系统。帐号密码密码符合。为了增强系统安全性，请定期修改用户密码，避免密码泄露等安全风险。密码长度建议至少为8位。密码必须为如下4种字符组合的3种：小写字母、大写字母、数字、特殊字符：~!@#$%^&*()-_=+\|[{}];:'",<.>/?和空格、密码不能为帐号或者帐号的倒写。确保密码的保密性。例如：可以设置密码最小长度、密码是否含特殊字符、密码有效时长等。密码在系统中不会明文存储。（2）防暴力破解暴力破解是指，攻击者猜想用户的密码，然后不断进行尝试登陆获取对应的用户信息和权限。Web-UI当前对用户登陆的密码错误进行统计，连续错误5次则锁定该帐号15分钟。（3）网络隔离VPC能够为VDC（VirtualDataCenter）提供安全、隔离的网络环境，为VDC中的应用或虚拟机提供网络资源。VPC由VDC业务管理员创建，VDC业务用户仅能查看和使用。每个VDC至少有一个VPC，单一个VDC内允许申请多个VPC，VPC之间网络空间隔离，部门或组织按业务安全隔离要求规划VPC。虚拟局域网（VLAN）隔离是通过虚拟网桥实现虚拟交换功能，虚拟网桥支持VLANtagging功能，实现VLAN隔离，确保虚拟机之间的安全隔离。10、访问通道控制系统所有的访问通道都有认证鉴权：接入认证机制：所有能对系统进行管理的通信端口及协议都有接入认证机制（标准协议没有认证机制的除外）。设备外部可见的能对系统进行管理的物理接口都有接入认证机制。通信矩阵：系统所有的对外通信连接是系统运行和维护必需的，使用到的通信端口都在产品通信矩阵文档中列出。1）网络传输安全管理员和用户访问管理系统，均采用HTTPS方式，传输通道采用TLS加密。2）API安全API是用户业务对外开放的接口，也是业户受到攻击的入口，所以需要利用API网关对API访问进行安全配置和防护。3）敏感数据保护为了保护敏感数据，系统中对敏感数据做了如下的处理：4）日志管理和日志脱敏支持以下日志管理和日志脱敏：11、安全管理1）证书管理通过统一Web纳管解决方案各部件的内部证书，实现各部件内部证书统一在线申请和替换，解决手工替换证书复杂且容易出错的问题，提升运维效率。运维人员对内部证书进行运维主要是两种场景：第一次上线：替换全部部件的预置证书。定期替换或证书到期替换：