云计算信息安全等保三级规划方案

云计算数据中心（信息安全等级保护规划方案）

目录TOC\o"1-4"\h\z\u1 云计算带来的安全挑战 42 整体方案设计 42.1 基础安全设计 52.1.1 物理安全 机房选址 机房管理 机房环境 设备与介质管理 52.1.2 网络安全 安全域边界隔离技术 入侵防范技术 网络防病毒技术 WEB防火墙技术 网页防篡改技术 流量管理技术 上网行为管理技术 网络安全审计 82.1.3 主机安全 主机安全加固 运维堡垒主机 数据库安全审计 主机防病毒技术 漏洞扫描技术 102.1.4 应用安全 安全应用交付 VPN 112.1.5 安全管理中心 122.2 云计算平台安全设计 122.2.1 强身份认证 122.2.2 云安全防护系统 122.2.3 云安全运维 122.3 虚拟机安全设计 132.3.1 虚拟化安全防护要点 132.3.2 虚拟化安全方案 142.4 方案配置 182.4.1 方案合规性分析 182.4.2 三级系统安全产品配置清单： 19

云计算带来的安全挑战云计算模式当前已得到业界普遍认同，成为信息技术领域新的发展方向。但是，随着云计算的大量应用，云环境的安全问题也日益突出。在众多对云计算的讨论中，IDC的调查非常具有代表性：“对于云计算面临的安全问题，75%的用户对云计算安全担忧。”各种调研数据也表明：安全性是用户选择云计算的首要考虑因素。云计算的一个重要特征就是IT资源的大集中，而随着资源的集中，相应的安全风险也呈现集中化的趋势。虽然云计算相对传统计算网络具备一定的安全优势，但数据的大集中会引来不法分子众矢之的更多攻击。因此，做好云的安全防护要从建设云的阶段就开始规划设计，这样才能做到防患于未然。云计算在技术层面上的核心特点是虚拟化技术的运用带来的资源弹性和可扩展性，虚拟机和应用程序随时可能迁移或变更，仅仅依靠传统的基于物理环境拓扑的安全设备已经不能完全解决云计算环境下的安全问题。因此，虚拟化后的云计算系统需要重新构建安全防护体系。所以，在安全云的信息化建设过程中，我们应当正视可能面临的各种安全风险，对网络威胁给予充分的重视。为了云数据中心的安全稳定运行，确保项目的顺利实施，公司具备多年云计算中心构造、运维的经验，根据云数据中心现有的网络特点及安全需求，本着切合实际、保护投资、着眼未来的原则，提出本技术实施方案，以供参考。整体方案设计按照公司的经验，将从基础设施安全、操作系统安全、云计算环境安全三大部分进行全面分析和设计，为客户打造一套灵活、合理、可靠、合规的安全环境。基础安全设计物理安全物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境，并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。机房选址机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。机房管理机房出入口安排专人值守，控制、鉴别和记录进入的人员；需进入机房的来访人员须经过申请和审批流程，并限制和监控其活动范围；对机房划分区域进行管理，区域之间设置物理隔离装置，在重要区域前安装过渡区域；重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。机房环境合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料，耐火等级符合国家相关标准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理，防止尘埃脱落，机房应安装防静电活动地板。机房设置防雷保安器，要求防雷接地和机房接地分别安装且相隔一定的距离；机房设置火灾自动消防系统，能够自动检测火情、自动报警并自动灭火；机房及相关的工作房间应采用具有耐火等级的建筑材料；机房应采取区域隔离防火措施，将重要设备与其他设备隔离开；机房需配备空调系统，以保持房间恒湿、恒温的工作环境；机房供电线路上需配置稳压器和过电压防护设备；需提供短期的备用电力供应，满足关键设备在断电情况下的正常运行要求；设置冗余或并行的电力电缆线路为计算机系统供电；铺设线缆要求电源线和通信线缆隔离铺设，避免互相干扰；对关键设备和磁介质实施电磁屏蔽。设备与介质管理为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。此外，必须制定严格的出入管理制度和环境监控制度，以保障区域监控系统和环境监控系统的有效运行。对介质进行分类标识，存储在介质库或档案室中。利用光、电等技术设置机房防盗报警系统；对机房设置监控报警系统。网络安全安全域边界隔离技术根据《信息系统安全等级保护基本要求》，应该在XX单位各安全域的边界处部署防火墙设备，保证跨安全域的访问都通过防火墙进行控制管理。可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。同时可以和内网安全管理系统、网络入侵检测系统等进行安全联动，为网络创造全面纵深的安全防御体系。部署设计：下一代防火墙部署于互联网出口，串行于网络中。入侵防范技术根据等级保护基本要求，三级业务系统应该在互联网出口处实现入侵防范功能。入侵防范技术是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。可与防火墙配合，共同防御来自应用层到网络层的多种攻击类型，建立一整套的安全防护体系，进行多层次、多手段的检测和防护。因此，在互联网出口的下一代防火墙上启用入侵防御模块非常有必要。部署设计：下一代防火墙部署于互联网出口，串行于网络中。网络防病毒技术根据等级保护基本要求，三级业务系统应该在互联网出口处部署网络层防病毒设备，并保证与主机层防病毒实现病毒库的异构。在最接近病毒发生源安全边界处进行集中防护，对夹杂在网络交换数据中的各类网络病毒进行过滤，可以对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散，将经网络传播的病毒阻挡在外，可以有效防止病毒从其他区域传播到内部其他安全域中。因此，在互联网出口的下一代防火墙上启用防病毒模块非常有必要，可截断病毒通过网络传播的途径，净化网络流量。部署设计：下一代防火墙部署于互联网出口，串行于网络中。WEB防火墙技术XX单位网站承载了XX等重要职责，暴露在互联网上，随时会面临黑客攻击的危险，如今网络安全环境日益恶化，Web攻击方式多种多样，包括XSS跨站脚本、CGI缓冲区溢出、目录遍历、Cookie假冒等。为了应对Web攻击，WEB防火墙再配合网页防篡改技术，是保障Web服务能够持续可靠的提供服务的最佳选择。因此，在网站服务器之前部署WEB防火墙（WAF设备）非常有必要。部署设计：WAF设备部署于网站服务器之前，串行于网络中。网页防篡改技术XX单位网站承载了XX等重要职责，暴露在互联网上，随时会面临网页被篡改及黑客攻击的危险。网页防篡改技术通过文件底层驱动技术对Web站点目录提供全方位的保护，防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏。可保护网站安全运行，保障网站业务的正常运营，彻底解决了网站被非法修改的问题。因此，在WAF上启用网页防篡改功能非常有必要。部署设计：WAF设备部署于网站服务器之前，串行于网络中。流量管理技术根据等级保护基本要求，三级业务系统应该在互联网出口处进行流量控制，保证网络发生拥堵的时候优先保护重要的主机，可以对带宽进行优化，通过限制带宽占用能力强的应用以保护关键应用，通过多种复杂的策略来实现合理的带宽分配，可提升应用服务质量、提升带宽利用价值、优化网络应用、降低网络风险。因此，部署一套专业的流量管理设备非常有必要。部署设计：流量管理系统部署于互联网出口，串行于网络中。上网行为管理技术根据公安部等级保护基本要求，所有用户访问互联网需要部署上网行为管理系统，并保存3个月的日志。各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全。对于流经各主要边界（重要服务器区域、外部连接边界）需要设置必要的审计机制，进行数据监视并记录各类操作，通过审计分析能够发现跨区域的安全威胁，实时地综合分析出网络中发生的安全事件。一般可采取开启边界安全设备的审计功能模块，根据审计策略进行数据的日志记录与审计。同时审计信息要通过安全管理中心进行统一集中管理，为安全管理中心提供必要的边界安全审计数据，利于管理中心进行全局管控。边界安全审计和主机审计、应用审计、网络审计等一起构成完整的、多层次的审计系统。因此，必须部署一套上网行为管理系统实现对内部用户访问互联网的行为进行监控、日志进行记录。部署设计：上网行为管理系统部署于互联网出口，串行于网络中。网络安全审计针对用户访问业务系统带给我们的困扰以及诸多的安全隐患，需要通过网络安全审计系统利用实时跟踪分析技术，从发起者、访问时间、访问对象、访问方法、使用频率各个角度，提供丰富的统计分析报告，来帮助用户在统一管理互联网访问日志的同时，及时发现安全隐患，协助优化网络资源的使用。网络安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督，预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求，提供完整的上网记录，便于信息追踪、系统安全管理和风险防范。根据公安部等级保护基本要求，所有信息系统都需要部署网络审计系统，并保存3个月的日志。因此，必须部署一套网络审计系统对全网行为进行监控、日志进行记录。部署设计：网络审计系统旁路部署在核心交换上，实现全网的网络行为的统一审计，收集网络设备、安全设备、主机系统等设备的运行状况、网络流量、用户行为等日志信息，并对收集到的日志信息进行分类和关联分析，并可根据审计人员的操作要求生成统计报表，方便查询和生成报告，为网络事件追溯提供证据。主机安全主机安全加固操作系统作为计算机系统的基础软件是用来管理计算机资源的，它直接利用计算机硬件并为用户提供使用和编程接口。各种应用软件均建立在操作系统提供的系统软件平台之上，上层的应用软件要想获得运行的高可用性和信息的完整性、机密性，必须依赖于操作系统提供的系统软件基础。在网络环境中，网络系统的安全性依赖于网络中各主机系统的安全性，而主机系统的安全性正是由其操作系统的安全性所决定的，没有安全的操作系统的支持，网络安全也毫无根基可言。所以，操作系统安全是计算机网络系统安全的基础。而服务器及其上的业务数据又是被攻击的最终目标。因此，部署操主机安全加固产品，对操作系统进行加固，加强对关键服务器的安全控制，是增强系统总体安全性和核心一环。通过安装在服务器的安全内核保护服务器，它在操作系统的安全功能之上提供了一个安全保护层。通过截取系统调用实现对文件系统的访问控制，以加强操作系统安全性。可实现：加强认证，采用证书的方式来提高认证和授权的级别和强度对操作系统本身的加固，防止缓冲区溢出等攻击保护系统进程稳定运行，确保正常服务的提供对注册表进行保护，禁止非授权修改独特的授权模式，非授权程序无法运行系统用户的权限分离，尤其是超级用户系统资源如文件、目录等强访问控制，扩展操作系统本身的访问属性，并进一步对访问的时间、来源进行控制部署设计：在每台服务器上安全部署主机安全加固软件，使服务器环境有一个安全的环境，使业务系统能够安全、正常的运行。运维堡垒主机对运维的管理现状进行分析，我们认为造成这种不安全现状的原因是多方面的，总结起来主要有以下几点：各IT系统独立的帐户管理体系造成身份管理的换乱，而身份的唯一性又恰恰是认证、授权、审计的依据和前提，因此身份的混乱实际上造成设备访问的混乱。各IT系统独立管理，风险分散在各系统中，各个击破困难大，这种管理方式造成了业务管理和安全之间的失衡。核心服务器或设备的物理安全和临机访问安全通过门禁系统和录像系统得以较好的解决，但是对他们的网络访问缺少控制或欠缺控制力度，在帐号、密码、认证、授权、审计等各方面缺乏有效的集中管理技术手段。目前，XX单位使用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务、数据库应用、ERP和协同工作群件等服务。由于设备和服务器众多，系统管理员压力太大等因素，越权访问、误操作、滥用、恶意破坏等情况时有发生，这严重影响信息系统的运行效能，另外黑客的恶意访问也有可能获取系统权限，闯入部门内部网络，造成不可估量的损失。如何提高系统运维管理水平，跟踪服务器上用户的操作行为，防止黑客的入侵和破坏，提供控制和审计依据，降低运维成本，满足相关标准要求，越来越成为信息系统关心的问题。运维堡垒主机着手于事前规范、事中管控和事后审计三方面，能够非常有效地达到梳理、规范、防范、监控、管理和审计等目的。可实现对所有运维人员的管理，实现统一的身份认证、访问控制与运维资源管理，并可以录像的方式将所有人员的所有操作记录下来，增强对运维人员及运维操作的安全管理，规避越权访问或者误操作等带来的数据泄密及系统破坏风险。因此XX单位非常有必要部署一套运维堡垒主机来实现账户的安全维护。部署设计：运维审计系统部署在安全管理域，冗余、旁路部署在管理交换机上，通过交换机的访问控制策略限定只能由堡垒主机内控管理平台直接访问服务器的远程维护端口。维护人员对网络设备、安全设备和服务器系统进行远程维护时，首先以Web方式登录运维审计系统，然后通过运维审计系统上展现的访问资源列表直接访问授权资源。数据库安全审计通过部署数据库审计系统，主要用于监视并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时地、智能地解析对数据库服务器的各种操作，并记入审计数据库中以便日后进行查询、分析、过滤，实现对目标数据库系统的用户操作的监控和审计。实现对数据库的操作及系统状态进行详细的审计，范围覆盖到每个用户，做到事前预防，事后溯源，从而把握数据库系统的整体安全。部署设计：数据库审计部署于数据库前端交换机上，通过端口镜像收集信息。主机防病毒技术根据等级保护基本要求，三级业务系统应该住几层部署主机防病毒软件，并保证与互联网出口处的网络防病毒设备实现病毒库的异构。各类病毒、木马恶意代码等是对信息系统的重大危害，病毒在爆发时将使路由器、3层交换机、防火墙等网关设备性能急速下降，并且占用整个网络带宽。对病毒的防护不仅仅是在网络边界层面通过硬件设备进行识别和阻断，更重要的是将病毒消灭或封堵在终端这个源头上，从而实现针对病毒的纵深防护多层面的防御。因此，需要在所有终端主机上部署网络防病毒系统，加强终端主机的病毒防护能力并及时升级杀毒软件软件版本以及病毒特征库。部署设计：在xx单位内部每台终端设备上部署杀毒软件，定期升级软件版本及病毒特征库、定期全盘扫描病毒。漏洞扫描技术XX单位网络庞大、结构复杂，部署的设备很多，由于不同部门用户的计算机水平不同，大多的人员不知道对系统定期升级，信息维护人员也很难去判断网络设备及安全设备存在漏洞需要升级。因此，部署一套漏洞扫描系统实时扫描整个网络内的漏洞非常有必要，对整个网络的安全体系维护非常重要。部署设计：在XX单位安全管理安全域部署漏洞扫描设备，对整个网络系统内的设备定期进行漏洞扫描，检查安全隐患。应用安全安全应用交付应用交付产品（ADC）集成高性能链路负载均衡和4-7层服务器应用负载均衡，保证应用数据在错综复杂的网络中获得最佳传输路径。完善的链路、应用服务健康检查机制，及时诊断出不能正常工作或负载过重的链路和服务器。能够根据应用、链路的健康状况，智能调整流量在多链路、多服务器之间的分配，并自动完成切换，提升网络和应用的可用性，保障业务连续性。另外，应用交付本身具备应用层防火墙、4~7层DDoS防护等功能，能够阻挡绝大多数来自应用层的功能，同时也提升应用交付系统本身的抗攻击性，实现应用安全。云数据中心的网络流量复杂，为了保障应用安全可靠的交付到客户端，需精确应用识别与控制，避免传统队列机制所带来的广域网下行带宽的浪费，实现优先级管理、带宽保障以及带宽的公平使用，提升应用体验。云数据中心的应用具备弹性和迁移能力，一款设计良好，具备良好虚拟化技术兼容性，同时具有强大的应用层安全防护功能的安全应用交付产品（SADC）也是必不可少的。因此，有必要部署一套安全应用交付系统对业务的访问请求进行负载分担，保证业务连续性以及应用的安全；同时能够跟云计算平台联动，做到自动启停虚拟机以及业务配置自动分发；也能够支持应用交付设备本身的硬件级虚拟化，将多个应用进行隔离，每个应用单独使用一套虚拟的应用交付，更符合云计算的应用场景。部署设计：安全应用交付设备冗余、旁路部署于业务系统的交换机之上，对应用进行负载分担。VPN根据等级保护的要求，三级业务系统必须加密传输，因此需要VPN技术实现应用系统远程访问及数据传输的加密，证数据在网上传输的机密性、完整性，提供端对端、点到端的安全传输解决方案。部署设计：VPN设备旁路部署于核心交换机上，实现传输链路的加密。安全管理中心随着网络安全意识的增强、网络安全建设工作的推进，等级保护、分级保护和行业的信息安全管理等标准、规范的实施，越来越多的单位急需构建信息安全管理平台。鉴于其网络规模、业务应用和安全管理人员的实际情况，部分安全管理者发现与标准SOC平台的高灵活性和扩展性相比，一款功能简洁、部署方便、使用简单、价格适宜的SOC平台更能贴近其管理需求。根据XX单位信息系统的实际情况，有必要部署一套安全管理平台来更好的管理整个网络系统。部署设计：安全管理中心部署在安全管理域，通过网络协议收集来自服务器、网络设备和安全设备的日志进行综合分析，针对相关操作系统和数据库的日志收集需要部署安全插件。云计算平台安全设计以强身份认证为基础，云计算平台可提供虚拟化层面的云安全防护功能和云管理层面的云安全运维功能，可以为云平台提供全面的安全保护功能。及时发现安全隐患，在出现安全损失之前进行解决。强身份认证云计算平台具备强身份认证安全体系，用户在登录系统时，除了输入用户名密码之外，还需要输入一串随时间变化随机生成的验证码，通过双因素认证技术规避弱密码及暴力破解系统密码的风险，保障云数据中心用户安全。同时具备详细的管理用户行为审计系统，可确保事后用户行为可溯源。云安全防护系统基于虚拟化层面的云安全防护用于保证云环境下虚拟网络和数据的安全。基于SDN/NFV实现虚拟网络安全，包括访问控制、流量控制、在宿主机层面实现Hypervisor层防火墙。确保云操作系统自身的健壮性，API的安全访问机制。云安全运维云安全运维用于支撑云数据中心安全运维，功能包括：实现对云环境中虚拟安全设备的集中管理；对虚拟机进行各种监控，并对监控数据分析生成报表；对宿主机和虚拟化设备的日志进行安全审计并进行深入分析。虚拟机安全设计云计算的虚拟化基础架构除了具有传统物理服务器的风险之外，同时也会带来其虚拟系统自身的安全问题。新安全威胁的出现自然就需要新方法来处理。虚拟化安全防护要点动态的安全传统的信息化系统安全是静态的，配置好安全策略后，所防护的设备不会频繁的发生变化，安全策略不需要时常改动。而云计算平台是一个动态的环境，快速部署的新应用程序、基础环境不停的变化、虚拟机在整个数据中心漂移，都要求安全服务必须跟上变化，同时也要考虑弹性伸缩。这需要安全服务及策略的自动化部署，否则安全要么无法发挥作用，要么成为系统提供服务过程中的瓶颈。虚拟机之间产生的攻击如果仍对云计算环境使用传统的安全防护模式，导致主要的防护边界还是位于物理主机的边缘，从而忽视了同一物理主机上不同虚拟机之间的互相攻击和互相入侵的安全隐患。复杂的攻击可以轻易攻陷虚拟化平台中最脆弱的虚拟机系统，一旦虚拟机被别有用心的破坏人员控制，受感染的虚拟机将会成为跳板,从虚拟机层面横向移动，窃取有价值的数据而不被传统的防护手段所发现。更高的安全需求云计算环境下的安全相比于传统安全，不但没有降低，反而有更高的要求。传统网络环境下的访问控制、入侵检测、病毒防护、DDoS防护、数据防泄漏、加密传输、垃圾邮件过滤、应用安全防护等手段在虚拟化环境下依然需要，并且由于大二层网络架构的东西向流量之间不经过边界安全设备，需要在物理机内部实现软件定义的安全防护，而实现如此众多的功能，需要高效的安全架构，不能占用太多的物理资源。传统网络划分不再适合虚拟化环境传统网络层面，安全部分是紧密耦合网络拓扑结构的，然而一旦网络环境变化，就需要手动更网络配置部署。而云计算环境中的网络拓扑，经常性的会发生，网络变化也意味着安全的变化，再使用传统的网络划分的模式管理安全，将导致很高的操作开销和影响业务敏捷性。通过以上的分析得知，虽然传统安全设备可以物理网络层和操作系统提供安全防护，但是云计算环境中新的安全威胁，例如：虚拟主机之间通讯的访问控制问题，攻击和病毒通过虚拟交换机传播问题等，传统的安全设备无法提供相关的防护，因此在构架安全虚拟化平台时，需要一种低资源占用，高效率，并且能够防护东西向流量的全面防护方案。虚拟化安全方案在虚拟化数据中心的共享域和专有域，其密级、架构、功能都类似，故在设计方案时总体来考虑。跟传统网络通过安全设备做各个业务区域的隔离、流量的分析不同，虚拟化环境下同一个物理机当中的多个虚拟机中可能部署多个业务，而业务之间的流量直接通过虚拟化操作系统的vSwitch进行转发，不出物理机，无法进行有效的网络隔离以及流量的分析。因此，需要一种软件定义安全的方式，在每台物理机上分配一台单独的虚拟机作为集中安全网关模块，该网关模块会与Hypervisor深度结合，对进出每一个虚拟机的所有流量进行捕获、分析及控制，从而实现虚拟平台内部东西向流量之间的防护。其具备的具体功能如下：功能强大的威胁防御提供对虚拟化平台的立体威胁防御，包括：恶意代码防护恶意代码包括：病毒、蠕虫、木马后门等，包括实时扫描、预设扫描及手动扫描功能，处理措施包含清除、删除、拒绝访问或隔离恶意软件。检测到恶意软件时，可以生成警报日志。防火墙它可用于启用正确的服务器运行所必需的端口和协议上的通信，并阻止其他所有端口和协议，降低对服务器进行未授权访问的风险。其功能如下：虚拟机隔离：需要对不同单位（租户）的虚拟机业务系统进行隔离，且无需修改虚拟交换机配置即可提供虚拟分段。细粒度过滤：通过实施有关IP地址、Mac地址、端口及其他内容的防火墙规则过滤通信流。可为每个网络接口配置不同的策略。覆盖所有基于IP的协议：通过支持全数据包捕获简化了故障排除，并且可提供宝贵的分析见解，有助于了解增加的防火墙事件–TCP、UDP、ICMP等。侦察检测：检测端口扫描等活动。还可限制非IP通信流，如ARP通信流。灵活的控制：状态型防火墙较为灵活，可在适当时以一种受控制的方式完全绕过检查。它可解决任何网络上都会遇到的通信流特征不明确的问题，此问题可能出于正常情况，也可能是攻击的一部分。预定义的防火墙配置文件：对常见企业服务器类型（包括Web、LDAP、DHCP、FTP和数据库）进行分组，确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。可操作的报告：通过详细的日志记录、警报、仪表板和灵活的报告，DeepSecurity防火墙软件模块可捕获和跟踪配置更改（如策略更改内容及更改者），从而提供详细的审计记录。入侵检测和阻止(IDS/IPS)在操作系统和企业应用程序安装补丁之前对其漏洞进行防护，以提供及时保护，使其免受已知攻击和零日攻击。基于模式匹配、异常检测、统计分析等入侵检测和协议分析技术，阻挡各种入侵攻击，如蠕虫、木马、间谍软件、广告软件、缓冲区溢出、扫描、非法连接、SQL注入、XSS跨站脚本等攻击，攻击特征库可在线更新或离线更新。异常流量清洗对畸形报文及分布式拒绝服务攻击（DDOS）进行防御，将异常的流量进行清洗，放行正常流量。WEB应用防护Web应用防护规则可防御SQL注入攻击、跨站点脚本攻击及其他针对Web应用程序漏洞攻击，在代码修复完成之前对这些漏洞提供防护，识别并阻止常见的Web应用程序攻击，并可实现网页防篡改功能。应用程序控制应用程序控制能够识别网络中的七层流量，可针对访问网络的应用程序提供更进一步的可见性控制能力。能够阻止隐藏或封装在正常四层数据报文中的恶意程序或者恶意软件，并能够对网络中的非业务流量进行精确的限制。日志审计对所有可疑或有害的网络事件进行记录，提供有效的行为审计、内容审计、行为报警等功能。满足分级保护对于安全的审计备案及安全保护措施的要求，提供完整的流量记录，便于信息追踪、系统安全管理和风险防范。虚拟机之间的数据流量检查及控制利用细粒度的防火墙策略和一流的立体威胁防御功能，对所有虚拟机之间的数据流量进行检查，从而确保虚拟机的安全性。与虚拟化操作系统Hypervisor深度结合，在管理程序内部无缝实施安全防护措施。安全网关模块支持分离虚拟应用，从而避免相互感染以及外部威胁。集成的IPS利用基于签名和协议异常的入侵防御功能，来保护FTP、HTTP和VoIP等关键业务服务免遭已知和未知攻击。提供对特征库的更新，以便实施最新的防护措施。增强动态虚拟化环境的安全性当虚拟机从一个物理机向另一个物理机进行实时迁移或者新增虚拟机时，不能够终端对虚拟机的保护。当虚拟机在不同物理机之间的漂移时，安全策略能够在保持开放连接的情况下跟随虚拟机实时迁移，无需手动配置安全策略，对虚拟机的防护随着漂移实时生效，不产生中断。在创建新虚拟机时，根据配置好的模板自动实施安全策略。完全虚拟化的安全网关依赖传统物理安全设备对虚拟机间流量进行检测会影响性能，同时也会增加网络结构的复杂性。通过部署完全虚拟化的安全网关模块，可以避免复杂的网络结构，并可降低网络延时、提升安全检测提升性能、优化部署成本。安全网关模块以虚拟机的形式部署在每一台物理机上，在逻辑上提供透明或者网关等多种部署方式。利用集成的防火墙、IPS、VPN、DDoS防护、防病毒、僵尸网络防护、防垃圾邮件、URL过滤、Web安全、数据防泄漏等功能，保护虚拟机免遭外部威胁以及互相感染，并可通过安全网关模块对不同业务进行访问控制的隔离。对虚拟机提供即插即用的安全保护对虚拟机自动启动安全策略，而无需为虚拟机、VLAN或vSwitch改变网路拓扑，减少管理运维成本。统一管理通过专门的虚拟化安全管理平台对多个物理机之上的虚拟化安全网关模块进行统一管理及统一配置，无需登陆到每台物理机上进行运维。为增加部署的灵