云安全防护：云主机云网络云应用云数据安全防护

浅谈云安全

汉柏opzoon

目录

目录..................................................................................2

1“云”的本质是什么.................................................................1

2随“云”而来的服务与技术..........................................................2

3随“云”而来的安全焦虑.............................................................3

3.1云用户最关心的安全问题........................................................3

3.2云服务环境的安全隐患...........................................................3

4汉柏云安全防护解决方案.............................................................7

4.1云安全防护体系结构.............................................................8

4.1.1云安全系统的主要组件...........................................................8

4.1.2云安全系统设计框架.............................................................8

4.1.3云安全系统提供全方位防护解决方案.............................................10

4.1.4云安全系统如何适应虚拟化环境.................................................11

4.2云主机病毒防护................................................................14

4.3云网络安全防护................................................................15

4.3.1云网络安全风险分析............................................................15

4.3.2同一节点内部东西向流量安全防护...............................................16

4.3.3租户内部的网络安全防护.......................................................18

4.3.4云网络南北向流量安全防护.....................................................19

4.3.5云网络南北向流量负载均衡.....................................................24

4.3.6云网络边界安全防护...........................................................24

4.4云应用安全防护................................................................25

4.4.1云环境下“应用”面临的安全风险...............................................25

4.4.2云环境下应用安全防护解决方案.................................................26

4.5云数据安全防护................................................................27

4.5.1云环境下“数据”面临的安全风险...............................................27

4.5.2数据泄露与污染防范...........................................................27

4.5.3超级管理员风险防范...........................................................30

4.6云运维安全防护.................................................................31

4.7云移动访问安全防护............................................................32

5信息安全云服务....................................................................35

5.1信息安全云服务有哪些..........................................................35

5.2安全云服务的价值..............................................................36

5.3汉柏信息安全云服务............................................................38

5.3.1汉柏安全云服务体系结构........................................................38

5.3.2多租户识别技术................................................................39

5.3.3汉柏安全云服务特点...........................................................42

6结语..............................................................................43

1“云”的本质是什么

众说纷纭，“云”的本质是什么？

1.云不等价于“虚拟化”

虚拟化只是实现云的技术手段之一，比如计算虚拟化、网络虚拟化、存储虚拟化、安全虚拟

化、终端虚拟化等都是实现云的关键技术，但是并不是实现云的唯一技术。

2.云不等价于“软件定义”

软件定义数据中心也是实现云的技术手段之一，软件定义数据中心底层可能会采用虚拟化技

术，比如汉柏的云平台OPV-Suite就是如此；软件定义数据中心也有在应用层开放API,

底层并不一定采用虚拟化技术，比如Facebook的云数据中心则采用这种方式。

3.云的本质是”按需“提供信息技术服务

云本质问题就是云到底解决了什么问题。

过去20年，IT发展经历了集中、分散再到集中的路线，只是20年前的集中与今天的集中

形上相似，本质上不同。今天的集中模式或者说云模式为什么能够发展起来？一是当前的网

络条件已经能够满足这种对网络质量要求较高的集中模式，二是IT成本不断降低的趋势迫

使人们不得不考虑集约发展，做到按需提供IT服务。

如何做到“按需提供IT服务”？

“弹性”：IT服务实现弹性，可伸可缩，则要求IT服务的“颗粒度”要足够的小。

“可编程"：IT服务实现了弹性，颗粒度足够小之后，如何管理和控制这些颗粒化的IT服

务？传统的IT服务管理要么管理粒度比较粗，要么管理方式由各厂商固化，无法做到灵活

的调整与控制。

“自动化”：IT服务做到了足够的细粒度，也做到了足够的管理控制粒度，那么则意味着运

维管理的复杂度大幅度上升，在硬件成本上得到了降低，但运维成本急剧上升，这也是云模

式无法接受的，所以云模式要求能够实现运维管理自动化和智能化。

2随“云”而来的服务与技术

云计算模式的发展，给我们带来了什么变化呢?

MobileDevices-Anywhere7X24-Anytime

图1云服务模式

D随时随地的享受云服务

2）按需享受云服务

为了实现按需提供IT服务的特征，目前云技术主要分为两大技术阵营：虚拟化与非虚拟化。

什么情况下需要用虚拟化技术，什么情况下可以不用虚拟化技术呢？

下图提供了一种视角：

8P

』z

n

=

>

p

zo

e二

n

z

/

V

U

O

N

图2虚拟化与非虚拟化阵营

将对外或对内能够按需提供服务的企业进行了分类，可以看到做SaaS和内容服务的提供

商，一般租户不超过4K个，比如Google、Facebook并未采用虚拟化技术，但是同样可以

提供按需服务的云服务，而在企业服务、租户大于4K的提供商多半采用了虚拟化技术。

私有云或公有云出现后，传统应用面临云化的趋势，如何做应用云化，并非将传统应用简单

的运行在虚机或容器中就算云应用了，必须能够符合云特征“按需提供应用服务”才能算云

应用。

3随“云”而来的安全焦虑

3.1云用户最关心的安全问题

表1用户关心的云安全问题

序号安全问题

1是否随时随地都能够获得相应质量的云服务

2数据资产是否受到法律保护（所有权）

3数据资产是否会非法泄露（管理权、隐私权）

4数据资产是否会非法使用（使用权）

3.2云服务环境的安全隐患

3.2.1从云服务环境结构角度分析

云数据中心安全问题

通道安全问题

终端安全问题

云服务中心

务

平云

计

云

云

算

计

网

物

算

络

理

平

平

环

台

台

管

境

理

平

台

接入安全

网

虚

卷

应

■B散

络

理

拟

用理

H霜

X

安

安

安

安

安

化

全

全

全全

全

安

身份认证安全全

图3云服务环境

云服务环境主要由终端、管道和数据中心构成。所以云服务环境的安全隐患主要包括这三个

方面的安全隐患。

终端安全隐患

D非法终端及用户接入云

2）具有安全风险的终端及用户接入云

数据中心安全隐患

一般云数据中心的结构大致有两种：

曲

曲

G曲

TenantA

EnterpriseNetwork

TenantB

EnterpnseNetwork

DataCenter

图4多租户云数据中心

DataCenter2

图5云数据中心互联

1）云终端或用户访问控制，包括认证、授权、审计等

2）云服务交付可靠性及质量等

3）云资产比如用户数据防泄漏、防篡改、防丢失等

数据中心安全隐患从防护的角度来看主要有：物理安全、虚拟化安全、网络安全、应用安全、

数据安全、运维安全等。

另外，下面几个安全问题也是云数据中心需要重点关注和解决的：

1）跨云的安全管理与监控

2）云内部的安全风险识别、防范、安全事件的及时响应

3）国家范围内的网络安全统一监控、控制、应急系统

管道道安全隐患

1）数据在传输过程的泄漏、篡改等

2）网络带宽与质量保障

3.2.2从云服务环境虚拟化角度分析

虚拟计算环境的安全隐患

虚拟计算环境主要由虚机VM、虚拟化系统Hypervisor两者构成。

从主机安全防护的角度来看，存在运行在虚机VM上的GuestOS病毒、入侵等安全隐患。

从边界安全防护的角度来看，存在虚机VM之间、虚机VM与Hypervisor之间、虚机VM

与网络。、存储。之间都会存在身份认证、访问控制、负载均衡、入侵攻击等安全隐患。

从应用安全防护的角度来看，存在运行在虚机VM上的应用隔离、分布式集群等安全隐患。

从数据安全防护的角度来看，存在存储在虚机VM的静态与动态数据的生产、流入流出、

导人导出、访问、污染、销毁、备份与恢复等安全隐患。

从运维管理的角度来看，存在虚机迁移、逻辑安全域划分与隔离、虚拟计算环境的维护管理

等安全隐患。

虚拟网络环境的安全隐患

从网络边界防护的角度来看，存在虚机VM南北向流量、东西向流量访问、入侵、躲避等

安全隐患。

从网络应用防护的角度来看，存在流量质量无法保障、访问流量不均衡等安全隐患。

从网络数据安全防护的角度来看，存在数据在网络传输过程中拦截、泄漏、篡改、丢失等安

全隐患。

从网络管理的角度来看，存在异常流量无法及时检测到、网络入侵隐匿、网络访问非法、网

络审计等安全隐患。

虚拟存储环境的安全隐患

安全隐患一：不同租户的数据隔离不够

不同租户之间

数据在传编时

之间的数据保

护问题，如存

云安全服务

区域在LUN映射

问题、后台超

级管理员、软

件漏洞

7

互联网区域l、TER?^X

不同租户之间，前

端平台的数据保护

如存在超级管理员

数件漏洞等风险,

图6不同租户的数据隔离

安全隐患二：租户数据未备份、丢失、无法恢复等

图7租户数据存储的安全隐患

4汉柏云安全防护解决方案

4.1云安全防护体系结构

汉柏为解决云环境下的纷繁复杂的安全隐患，整合多种安全产品，借鉴SDN的理念，推出

汉柏云安全产品OPC-Sec,以提供全面的云安全防护解决方案。

4.1.1云安全系统的主要组件

下图是汉柏云安全产品OPC-Sec的主要组件:

图8汉柏安全云系统结构

上图中黄色组件组成了汉柏云安全系统。PC-Sec,总体上分为两类，一类属于控制服务平

面，包括上图中的OPC-SecController、OPC-SecManager和APIs;一类属于安全防护

平面，包括上图中的vFW、SoC、FW（硬件）、NGFW等。

控制服务平面充当云安全系统的Master角色，安全防护平面充当云安全系统的worker角

色。控制服务平面主要负责云安全系统的策略制定与下发、接收与监控worker的工作状态、

云安全系统本身的分布式管理等；安全防护平面负责接收来自控制服务平面的指令并执行、

充当控制服务平面的探针收集并上传相关的信息等。

云安全系统在跨云管理设计方面主要考虑：

1.云与云之间安全隧道的建立，比如采用IPSECVPN或者IPSECoverGREVPN等，以

确保云与云之间数据传输的完整性和机密性；

2.云与云之间相关安全信息的实时同步以及安全策略的联动，以防范跨云安全事件的及时发

现、告警和阻止。

4.1.2云安全系统设计框架

汉柏云安全产品OPC-Sec的设计框架如下:

Qopenstack0—

Orchestratoramazon

webservices

ComputeAPIsNetworkAPIs

StorageAPIs

OPC-SecController

图9汉柏云安全系统的部署结构

在安全管理、安全隔离、安全防护三个方面的设计如下图所示:

图10汉柏云安全系统设计的理论框架

在管理与控制方面，借鉴了SDN的思路，采用Controller与worker相分离的思路，安全风

险的挖掘、安全策略的制定等复杂工作由Controller来负责进行，通过BGP、OpenFlow等

协议与worker进行通信。每个云数据中心有一个控制服务平面，一般会运行在一台或多台

物理服务器之上。

云安全系统支持多租户，所以为租户提供的网络服务、安全服务一是要能够按需提供，二是

必须要能够做到租户服务之间的逻辑隔离，汉柏云安全系统在提供的网络服务通过Overlay

技术比如VXLAN、NVGRE、STT、MPLSoverGRE、MPLSoverUDP等实现租户网络服

务的灵活定制与隔离；汉柏云安全系统提供信息安全服务通过三种网络功能虚拟化NFV技

术实现租户安全服务的灵活定制与隔离。

每台物理节点上会以虚机形式运行一个虚拟防火墙vFW,多个vFW之间通过隧道通信。vFW

的主要职责有：

1）在Controller的指导下建立相互之间的VXLAN、NVGRE等隧道，以实现多个租户之间

的逻辑隔离

2）同一个租户内部流量路由及访问控制

在云数据中心内部一般会将为每个租户提供的安全服务比如防火墙、IPS等用专门的节点来

部署，这些安全服务可以是以虚机形态运行的虚拟防火墙、IPS、WAF、DDoS、LB等，也

可以是以硬件形态提供。这些安全服务通过服务链的方式灵活的加入或撤出某个租户的网络

之中。

边界服务主要针对出入云数据中心的东西向流量提供安全防护。出入云数据中心的东西向流

量主要有三类：一类是租户对外提供服务的东西向访问流量，一类是外部访问云内的运维管

理流量，一类是云之间的流量比如租户虚机迁移、数据备份等。

4.1.3云安全系统提供全方位防护解决方案

汉柏云安全产品OPC-Sec以网络节点、网络边界、网络边界与网络节点联动三个方面为出

发点，在云的基础设施、虚拟化、网络、应用、数据、内容、移动及管理等多个方面提供全

面的防护解决方案。

图11汉柏云安全系统提供全方位的安全防护解决方案

表2云核心安全问题及解决方案

序号云的核心安全问题和解决方案

1物理安全门禁、机房监控系统、云监控

2基础设施安全系统完整性保护、OS/DB/Web加固、安全补丁、病毒防护等

3虚拟化安全虚拟机隔离、基于主机的vFW/vIPS、恶意VM预防

4网络安全防火墙、IDS/IPSsAnti-DDOSs僵尸网络/蠕虫检测、

网络平面隔离、传输安全（3SL、VPN）

5应用安全负载均衡、集群、WAF

6数据安全数据隔离、数据访问控制、剩余信息保护、快照加密、

用户数据加密存储

7内容安全内容监管、内容还原与审计

8移动安全移动设备安全、移动接入安全、移动应用安全

9运维管理安全多因素接入认证、集中用户管理和认证、集中日志审计、

镜像签名和完整性保护、安全可视化、风险挖掘、智能安全策略

SOX法案、SAS70、PCI/HIPAA等

4.1.4云安全系统如何适应虚拟化环境

绝大多数的云数据中心都会采用虚拟化技术，所以汉柏云安全系统也必须能够适应

vSphere、KVM、XEN等多种Hypervisor,同时也需要能够与多种云平台比如vmware的

vCD、OpenStacks汉柏OPV-Suite等对接。

汉柏云安全系统OPC-Sec通过下图所示的"安全代理”框架适应KVM、XEN、vSphere

等多种Hypervisoro

图12无代理虚拟化环境防护框架

表3汉柏云安全实现方式

Securityagent运行模式汉柏云安全实现方式

以一个虚机形式运行完整的安全系统，如果底层Hypervisor是vSphere,则将vShield

通过某种导流机制将虚机之间、虚机与Endpoint作为导流模块，汉柏云安全的Security

资源之间访问信息流都导入到agentagent即vFW利用Endpoint提供的API进行流

vm中，处理完毕后再原路回注，类似量的牵引与回注；

于Hypervisor的钩子函数如果底层Hypervisor是KVM,则修改OVS或

LinuxBridge使得进出虚机VM的流量都先经过

汉柏的Securityageng即vFM处理后，再将流

量回注到目标虚机VM中。

作为Hypervisor的一个模块，利用如果底层Hypervisor是vSphere,汉柏云安全

Hypervisor提供的API进行安全检测Securityagent调用VMSafeAPI进行相关的安

和控制处理全处理；

如果底层Hypervisor是KVM或XEN,汉柏云安

全Securityagent通过调用相应API进行资源隔

离和数据隔离的处理。

表4汉柏云安全解决之道

安全防护汉柏云安全的解决之道

基础设施安全这种情况Securityagent就是vFW,作为本节点所有虚机的病毒网关，

（防病毒）也就是所有进出本节点虚机的流量都必须经过vFW的检测和过滤。

虚拟化安全Securityagent主要负责资源QoS和数据隔离。

资源QoS的处理原理：采用令牌桶机制，使得虚机vCPL）、vMem、

Network10、Storage10等资源既相互隔离，同时资源占用遵循既定

的策略；

数据隔离：每个虚机内部都有动态数据和静态数据，必须要求这些数

据是严格隔离，防止数据泄露等。

网络安全分为云网络边界安全防护、租户内部的网络安全防护和租户之间的网

络安全防护。

汉柏云安全系统通过每个节点上的Securityagent（vFW）.节点之

间的隧道、服务链机制、安全服务节点、边界网络安全服务，再加上

云安全Controller,提供完整的三方面的云网络安全防护解决方案。

应用安全汉柏云安全系统通过每个节点上的securityagent来负责运行在本节

点虚机上的应用的安全检查与防护，通过在云边界部署的安全网关系

统比如IPS、抗DDoS、WAF等来负责云应用管理节点的安全防护。

数据安全云数据安全主要涉及到数据生产、存储、消费、传播等环节的安全。

汉柏云安全系统通过”筑围墙、加锁、认证授权、加密、打标签、跟

踪、审计“等全套方法来解决数据在各个环节的安全隐患。

内容安全云内容安全主要涉及到文件、邮件、网页浏览等方面的安全。

汉柏云安全系统通过强大的关键字检测、URL分类与过滤、邮件代理

等技术手段来解决云环境下内容流动的安全隐患。

下图是汉柏云安全系统与OpenStack对接示意图:

图13汉柏云安全系统与Openstack对接

4.2云主机病毒防护

云主机病毒防护目前主要有两种思路，一种是传统病毒厂商的思路，另外一种是传统网络安

全厂商的思路。

传统病毒厂商提供的病毒防护解决方案主要有三种：

第一种将传统PC机的病毒查杀软件经过精简和优化，使得运行在云主机上消耗资源尽可能

少；

第二种即所谓的代理病毒解决方案，即需要在GuestOS中安装病毒检测agent;

第三种叫无代理病毒解决方案，其核心思想是无需在guestos中安装杀毒agent,这种解

决方案又有两种做法，一种是传统的杀毒厂商提供的方法，通过每个节点上嵌入到

hypervisor中的杀毒模块直接扫描虚拟化系统的文件系统，从而发现并处理病毒；另外一

种是传统网络安全厂商比如汉柏提供的方法，每个节点上以虚机形式运行虚拟病毒查杀网

关，检查进出虚机的流量从而发现并处理病毒。这两种方式都支持本地和云端病毒库两种模

式。

汉柏的无代理病毒防护解决方案优势：

1）提升物理服务器的效率

相同硬件配置提高搭载虚机数量和提升虚机性能。

2）基于物理节点，简化管理

基于主机安装，一次安装。虚机无需安装代理。

3）自动继承的防护

虚机镜像即装即防。

4.3云网络安全防护

一般云网络的结构如下:

图14多租户云网络结构

云网络安全防护主要涉及几种情况：

1）租户Project与云外互访的网络安全

2）租户Project之间的网络安全

3）租户Project内部的网络安全

租户Project内部的网络安全又包括：安全区域VN内部的网络安全、安全区域VN之间的

网络安全、安全区域VN与租户外的网络安全三个方面。

4.3.1云网络安全风险分析

D传统风险依旧，防护对象扩大一方面，一些安全风险并没有因为虚拟化的产生而规避

针对每个虚拟机，其业务承载和服务提供和原有的单台服务器基本相同，因此传统模型下的

服务器所面临的问题虚拟机也同样会遇到另一方面，服务器虚拟化的出现，扩大了需要防护

的对象范围，如IPS入侵防御系统就需要考虑以Hypervisor和vCenter为代表的特殊虚拟

化软件，由于其本身所处的特殊位置和在整个系统中的重要性，任何安全漏洞被利用，都将

可能导致整个虚拟化环境的全部服务器的配置混乱或业务中断。

2）同一节点的虚机东西向访问流量不出节点带来的安全隐患

目前无论是vmware还是openstack,虚拟化系统的设计都使得同一节点的不同虚机之间二

层访问流量不出节点，则引出各种安全隐患：

a.如何判断VM之间的二层流量交换是规则允许范围内的合法访问还是非法访问？

b.更进一步，即使不同VM之间的流量允许交换，如何判断这些流量是否存在诸如针对应用

层安全漏洞的网络攻击行为？

c.外层网络安全管理员无法对这些流量进行监控或者实施各种高级安全策略如防火墙规则

或者入侵防御规则

3）不同租户的内部网络可能是重叠的

一般云网络都需要支持多租户，每个租户的内部网络结构大都由租户网络的管理员来进行设

计和构建，所以有很大的概率造成多个租户内部网络的IP地址是重叠的，比如都使用的192

网段，这种情况存在如下安全隐患与难题：

a.多个重叠的租户网络如何与云外部进行通信

b.如何制定租户网络之间的访问控制与安全策略

4.3.2同一节点内部东西向流量安全防护

方案1：软件引流与回注

在Hypervisor层内嵌重定向软件模块，凡是在同一个物理节点内部的虚机之间二层访问流

量，先引入到虚拟机vFW、vIPS、vDPkvAV中进行检查。此时可以根据需求将不同的VM

划分到不同的安全域，并配置各种安全域间隔离和互访的策略。

1）vmware云环境下的东西向流量安全问题解决方案

图15Vmware云环境下的东西向流量防护

2)OpenStack云环境下的东西向流量安全问题解决方案

改造OVS或Linuxbridge,将所有VM之间的流量交换在进入到OVS或linuxbridge之前,

先引入到虚拟机vFW、vIPS、vDPI、vAV进行检查。

TORSwflch

图16软件引流与回注

方案2:硬件引流与回注

硬件防火墉

东西向流量防护

图17硬件引流与回注

通过VEPA等技术实现将这些流量引入到外部的交换机。在接入交换机转发这些流量之前,

可以通过镜像或者重定向等技术，将流量先引入到专业的安全设备进行深度报文检查、安全

策略配置或是允许/拒绝其访问。

4.3.3租户内部的网络安全防护

租户内部的网络多数情况下是跨节点的，同时大多是二层网络结构（不排除也有三层网络结

构，但是考虑到跨数据中心的虚机迁移等问题，大多数情况下还是采用大二层网络结构），

所以租户内部虚机VM之间访问具有如下特点：

♦同一租户的虚机在不同的物理节点上，互访的流量出物理节点

♦同一租户的虚机都处于一个大的二层网络，互访流量要能够穿越三层网络

♦同一租户的内部网络可能需要划分不同的安全区域VN,安全区域之间的安全策略不同

根据上面的特点，汉柏云安全系统根据自身提供的解决方案特点，构建了如下所示的租户

Project内部的网络部署逻辑结构：

图18租户内部网络安全防护

每个计算节点上运行一个vRouter（即securityagent），计算节点之间建立VXLAN或MPLS

overUDP隧道，服务节点通过服务链机制加入到不同安全区域VN之间提供安全防护。

上面黄色和青色分别是一个租户里面的两个安全区域VN（虚拟网络），红色代表服务节点。

1）computenode1同一个计算节点上的同一个虚拟VNa有两个虚机VM,这两个虚机VM

之间网络安全则属于“东西向流量”防护的范畴

2）Computenode1与computenode2上黄色部分组成一个虚拟网络VNa,computenode

1上的虚机VM1a访问computenode2上的虚机VM2a的网络安全则属于"东西向流量”

防护范畴

3）对于虚拟网络VNa来说，与外部虚拟网络VNb的网络安全仍然属于“东西向流量”防

护范畴

4）对于虚拟网络VNa或b与云外部internet的网络安全则属于"南北向流量”防护范畴

1.VN内部的网络安全

上面的1）和2）都属于虚拟网络VN内部的网络安全问题，如何做防护？

在OpenStack的Neutron或nova-network提供的解决方案是通过securitygroup来解决，

基于IP来进行简单的访问控制；OVS提供的解决方案是通过虚拟交换机的ACL来实施控

制，汉柏云安全系统通过seclist机制来解决上面的1）和2）的防护问题。

2.VN之间的网络安全

上面的3）属于虚拟网络VN之间的网络安全问题，如何做防护？

在OpenStack的Neutron或nova-network提供的解决方案是通过securitygroup来解决，

基于IP来进行简单的访问控制；OVS提供的解决方案是通过虚拟交换机的ACL来实施控

制，汉柏云安全系统通过服务链来解决上面的3）的防护问题。

服务链工作机制如下图所示：

tenanttenantservicetenanttenant

vm-tl-avm-tl-avm-slvm-t2-a

tenantroutinginstanceroutingroutingtenantroutinginstance

instanceinstance

、IMst-routing-

src-routinQ-iltancecolinMfhci-rciMnoiRsiance—/instance

图19服务链运行机制

4.3.4云网络南北向流量安全防护

纵向流量包括从客户端到服务器侧的正常流量访问请求，以及不同VM之间的三层转发的

流量。这些流量的共同特点是其交换必然经过外置的硬件安全防护层，我们也称之为纵向流

量控制层。

一方面，这些流量的防护方式，和传统的数据中心的安全防护相比没有本质区别；另一方面，

在虚拟化环境下的云安全部署，因为存在多租户的服务模型，因此对于设备的虚拟化实现程

度又有了更高的要求。

纵向流量的防护在前面已经阐述，与传统的防护没有太大差异。

但是纵向流量存在多租户的概念，则对安全也提出了需求，能够实现基于租户的安全防护。

安全云服务底层技术仍然是采用“基于租户实施安全防护”，只不过将安全防护特性作为服

务以云方式对租户提供。

方案1：

1）vFW工作在路由模式

2）租户与vFW之间是一对一关系

3）进入vFW的报文不带vlan

OusterBaO.12.0/24.VIAN301)

Host2

方案一1

（VM-FW路由方式）br200

进入虚拟防火墙的报文不带vlan|bondgQ0|

（一对一的方式）10.1210

OusterA(10.110/24VLAN308

SESRrVJS2202.1621

RI或王：192.188.6L0/24”

202.162.11Hort1

vianlOO1921B8.60.1

L2Switch

vlaMOO202.16210

Firewall—

NAT：19218&6d2

=>20226220VM

20216JI

其械生：192.188.S0.0/24«>"p68/

202162J0L3Switch172.1611

vlin200192J8R611(Router：

vUMOO20216211onVM

NAT192188612202162l«n30010.LLI17216.12

->202162.Ulan30110.12.1

lan400202.162.1

图20南北向流量安全防护解决方案1

方案2：

1）vFW工作在路由模式

2）租户与vFW之间是一对一关系

3）进入vFW的报文带vlan

ClusterBa0.L20/24,VLAN301）

方案二

（路由方式）

进入虚拟防火墙的报文带vian

（一对一的方式）

ClusterA(10.110/24VLAN300)

L2Switch

L3Switch