云數(shù)據(jù)中心邊界防護(hù)及解決及方案v0文字說明

-.z云數(shù)據(jù)中心邊界平安解決方案-平安網(wǎng)關(guān)產(chǎn)品推廣中心馬數(shù)據(jù)中心的“云化〞數(shù)據(jù)中心，作為信息時代的重要產(chǎn)物之一，先后經(jīng)歷了大集中、虛擬化以及云計(jì)算三個歷史開展階段。在初期的大集中階段中，數(shù)據(jù)中心實(shí)現(xiàn)了將以往分散的IT資源進(jìn)展物理層面的集中與整合，同時，也擁有了較強(qiáng)的容災(zāi)機(jī)制；而隨著業(yè)務(wù)的快速擴(kuò)，使我們在軟、硬件方面投入的本錢不斷增加，但實(shí)際的資源使用率卻很低下，而且靈活性缺乏，于是便通過虛擬化技術(shù)來解決本錢、使用率以及靈活性等等問題，便又很快開展到了虛擬化階段。然而，虛擬化雖然解決了上述問題，但對于一個處于高速開展的企業(yè)來講，仍然需要不斷地進(jìn)展軟、硬件的升級與更新，另外，持續(xù)增加的業(yè)務(wù)總會使現(xiàn)有資源在一定時期的擴(kuò)展性受到限制。因此，采用具有彈性擴(kuò)展、按需效勞的云計(jì)算模式已經(jīng)成為當(dāng)下的熱點(diǎn)需求，而在這個過程中，數(shù)據(jù)中心的“云化〞也自然成為開展的必然！傳統(tǒng)邊界防護(hù)的“困局〞云計(jì)算的相關(guān)技術(shù)特點(diǎn)及其應(yīng)用模式正在使網(wǎng)絡(luò)邊界變得模糊，這使云數(shù)據(jù)中心對于邊界平安防護(hù)的需求和以往的應(yīng)用場景相比也會有所不同。在云計(jì)算環(huán)境下，如何為“云端接入〞、“應(yīng)用防護(hù)〞、“虛擬環(huán)境〞以及“全網(wǎng)管控〞分別提供完善、可靠的解決方案，是我們需要面對的現(xiàn)實(shí)問題。因此，對于解決云數(shù)據(jù)中心的邊界平安問題，傳統(tǒng)網(wǎng)關(guān)技術(shù)早已束手無策，而此時更需要依靠下一代網(wǎng)關(guān)相關(guān)技術(shù)來提供一套體系化的邊界平安解決方案！天融信云數(shù)據(jù)中心邊界平安防護(hù)解決方案面對上述問題，天融信解決方案如下：通過TopConnect虛擬化接入與TopVPN智能集群相結(jié)合，實(shí)現(xiàn)“云端接入〞平安需求；通過在物理邊界部署一系列物理網(wǎng)關(guān)來對各種非法訪問、攻擊、病毒等等平安威脅進(jìn)展深度檢測與防御，同時，利用網(wǎng)關(guān)虛擬化技術(shù)還可以為不同租戶提供虛擬網(wǎng)關(guān)租用效勞，實(shí)現(xiàn)“應(yīng)用防護(hù)〞平安需求；通過TopVSP虛擬化平安平臺，為虛擬機(jī)之間的平安防護(hù)與虛擬化平臺自身平安提供相應(yīng)解決方案，實(shí)現(xiàn)“虛擬環(huán)境〞平安需求；通過TopPolicy智能化管理平臺來將全網(wǎng)的網(wǎng)絡(luò)及平安設(shè)備進(jìn)展有效整合，提供智能化的平安管控機(jī)制，實(shí)現(xiàn)“全網(wǎng)管控〞平安需求；技術(shù)特點(diǎn)虛擬化網(wǎng)關(guān)虛擬化：天融信網(wǎng)關(guān)虛擬化技術(shù)提供了物理網(wǎng)關(guān)“一虛多〞的虛擬化平安防護(hù)解決方案。在數(shù)據(jù)中心多租戶的需求背景下，網(wǎng)關(guān)虛擬化能夠使部署在物理邊界的網(wǎng)關(guān)設(shè)備為不同租戶提供虛擬網(wǎng)關(guān)租用效勞，使不同租戶流量在同一物理設(shè)備上實(shí)現(xiàn)流量邏輯隔離。功能方面，網(wǎng)關(guān)虛擬化實(shí)現(xiàn)了從網(wǎng)絡(luò)層到應(yīng)用層的全功能虛擬化特性，并為租戶提供了基于虛擬系統(tǒng)的自定義平安效勞解決方案，從而使策略部署變得更加靈活，而權(quán)限與責(zé)任的界定也更加清晰！虛擬機(jī)平安防護(hù)〔TopVSP〕：面對數(shù)據(jù)中心虛擬計(jì)算環(huán)境，傳統(tǒng)物理網(wǎng)關(guān)已無用武之地，而將虛擬機(jī)流量牽引至物理網(wǎng)關(guān)的解決方案又面臨嚴(yán)重的效率問題，僅僅只是過度方案。因此，在該需求背景下，天融信TopVSP通過與各類虛擬化平臺的完美整合，利用虛擬化平安網(wǎng)關(guān)〔vGate〕、租戶系統(tǒng)平安代理〔TD〕以及虛擬化平臺接入引擎〔TAE〕三大系統(tǒng)組件，為虛擬計(jì)算環(huán)境提供了一套全方位的平安防護(hù)解決方案。其中，“虛擬化平安網(wǎng)關(guān)〔vGate〕〞是將天融信自主平安操作系統(tǒng)TOS以虛擬機(jī)的形式運(yùn)行在虛擬化平臺上，用于實(shí)現(xiàn)外部到虛擬機(jī)以及虛擬機(jī)之間的虛擬邊界平安防護(hù)。租戶系統(tǒng)平安代理〔TD〕則是安裝在各租戶操作系統(tǒng)〔即虛擬機(jī)〕上的平安代理效勞，用于對租戶系統(tǒng)進(jìn)展信息收集以及進(jìn)展相關(guān)平安檢查等工作。而虛擬化平臺接入引擎〔TAE〕在實(shí)現(xiàn)了將數(shù)據(jù)流重定向到vGate的同時，還實(shí)現(xiàn)了對虛擬化平臺自身的平安加固與權(quán)限控制。因此，TopVSP實(shí)際上不僅實(shí)現(xiàn)了虛擬機(jī)之間的平安防護(hù)，還為虛擬化平臺自身以及租戶系統(tǒng)提供了相關(guān)的平安解決方案。另外，TopVSP能夠?qū)崟r感知虛擬機(jī)產(chǎn)生的熱遷移動作，并在第一時間完成與TopPolicy智能化管理平臺的指令交互，將策略動態(tài)下發(fā)至遷移后的目標(biāo)vGate，從而實(shí)現(xiàn)平安策略的動態(tài)同步遷移。遠(yuǎn)程接入虛擬化〔TopConnect〕：TopConnect為終端到云端的接入提供了一套基于虛擬化技術(shù)的遠(yuǎn)程接入解決方案。其通過VPN智能集群與部桌面資源效勞器相結(jié)合，為遠(yuǎn)程終端提供虛擬桌面和虛擬應(yīng)用發(fā)布功能，使終端本地在無須運(yùn)行任何業(yè)務(wù)系統(tǒng)客戶端程序的根底上，完成與效勞端的業(yè)務(wù)交互，實(shí)現(xiàn)了終端與業(yè)務(wù)別離的“無痕訪問〞需求，從而有效防止了數(shù)據(jù)泄露的風(fēng)險(xiǎn)隱患。深度防御一體化智能過濾引擎：相比一般應(yīng)用場景，數(shù)據(jù)中心擁有規(guī)模龐大的業(yè)務(wù)應(yīng)用系統(tǒng)，在將應(yīng)用層防護(hù)作為根本需求的根底上，更加強(qiáng)調(diào)深度檢測的高效性，而實(shí)現(xiàn)這一切往往需要檢測引擎的良好支撐。天融信全系網(wǎng)關(guān)產(chǎn)品均采用一體化智能過濾引擎，其能夠在一次拆包過程中，對數(shù)據(jù)進(jìn)展并行深度檢測，從而保證了協(xié)議深度檢測的高效性。另外，一體化智能過濾引擎基于八元組高級訪問控制設(shè)計(jì)，除傳統(tǒng)的五元組控制以外，實(shí)現(xiàn)了用戶身份信息、應(yīng)用程序指紋及容特征的識別與控制，從而為計(jì)算資源池眾多業(yè)務(wù)應(yīng)用系統(tǒng)提供了更加高效與細(xì)粒度的威脅檢測與防護(hù)解決方案。雙引擎病毒檢測：在病毒防護(hù)解決方案中，針對數(shù)據(jù)中心復(fù)雜的應(yīng)用場景與大容量的數(shù)據(jù)處理這一特點(diǎn)，天融信網(wǎng)關(guān)系列產(chǎn)品采用了雙引擎設(shè)計(jì)以實(shí)現(xiàn)病毒檢測的高效與精準(zhǔn)兼顧。雙引擎殺毒同時支持快速〔流〕掃描與深度〔文件〕掃描兩種檢測引擎，可根據(jù)被檢測應(yīng)用層協(xié)議與應(yīng)用場景選擇不同的病毒檢測引擎，從而在數(shù)據(jù)中心高性能的網(wǎng)絡(luò)環(huán)境下仍然可以確保到達(dá)較高的病毒檢測率。高性能高性能系統(tǒng)平臺：天融信全系網(wǎng)關(guān)產(chǎn)品基于完全自主研發(fā)的TOS〔TopsecOperatingSystem〕平安操作系統(tǒng)平臺。因此，作為數(shù)據(jù)中心高性能邊界防護(hù)解決方案的核心，TOS以多核硬件平臺為根底，采用系統(tǒng)分層與引擎分組的設(shè)計(jì)思想，在確保高可靠性的根底上實(shí)現(xiàn)了高性能的設(shè)計(jì)目標(biāo)。其中，在硬件抽象層通過引入多種加速技術(shù)，實(shí)現(xiàn)了對CPU多核心之間合理的任務(wù)調(diào)度，同時，通過將各個平安引擎組與多核CPU的完美整合，使TOS在系統(tǒng)層面實(shí)現(xiàn)了全功能多核并行處理。數(shù)據(jù)層高速處理技術(shù)〔TopTURBO〕：TopTURBO是天融信在TOS平安操作系統(tǒng)上為中小型數(shù)據(jù)中心設(shè)計(jì)并開發(fā)的多核高性能數(shù)據(jù)處理技術(shù)，并被應(yīng)用于天融信NGFW?下一代防火墻獵豹與千兆多核系列產(chǎn)品。TopTURBO以INTELSNB多核硬件平臺為根底，在TOS平安操作系統(tǒng)的配合下，實(shí)現(xiàn)了從網(wǎng)絡(luò)層到應(yīng)用層的全功能多核并行流處理，并能夠獲得80Gbps的網(wǎng)絡(luò)吞吐以及大于20Gbps的攻擊檢測性能。并行多級架構(gòu)：并行多級架構(gòu)是面向大型數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境的分布式機(jī)架高性能解決方案，被應(yīng)用于天融信NGFW?下一代防火墻擎天系列產(chǎn)品。擎天采用NSE〔網(wǎng)絡(luò)效勞引擎〕與SE〔平安引擎〕別離的引擎部署模式，NSE完成L2/L3轉(zhuǎn)發(fā)并對整機(jī)各模塊進(jìn)展管理與監(jiān)控，而SE負(fù)責(zé)將數(shù)據(jù)流進(jìn)展網(wǎng)絡(luò)層平安處理與應(yīng)用層平安處理。其中，SE置TopASIC專用加速芯片，能夠有效提升單板吞吐性能與降低轉(zhuǎn)發(fā)延時。NSE、SE與用戶接口卡之間通過高速背板進(jìn)展互連，可通過部署多平安引擎與多網(wǎng)絡(luò)效勞引擎來實(shí)現(xiàn)整機(jī)流量的分布式并行處理與故障熱切換特性，最高可擴(kuò)展至240Gbps的網(wǎng)絡(luò)吞吐性能使其完全能夠滿足大型數(shù)據(jù)中心的高性能平安處理需求。高可靠多層級冗余化設(shè)計(jì)：數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境對高可靠性的要求近乎于苛刻，這使部署在數(shù)據(jù)中心的網(wǎng)關(guān)產(chǎn)品自身需要提供一套完善的高可用解決方案。針對這一需求，天融信網(wǎng)關(guān)系列產(chǎn)品均采用了多層級冗余化設(shè)計(jì)。在設(shè)計(jì)中，通過板卡冗余、模塊冗余以及鏈路冗余來構(gòu)建最底層的物理級冗余；使用雙操作系統(tǒng)來提供系統(tǒng)級冗余；而采用多機(jī)冗余及負(fù)載均衡進(jìn)展設(shè)備部署實(shí)現(xiàn)了方案級冗余。由物理級、系統(tǒng)級與方案級冗余共同構(gòu)成了多層級冗余化體系，從而最大程度上確保數(shù)據(jù)中心的業(yè)務(wù)連續(xù)性。智能化管控云管控：云管控以TopPolicy智能化管理平臺為核心，從全網(wǎng)管控、決策輔助與智能策略部署三個方面實(shí)現(xiàn)了基于云的管控機(jī)制。其中，全網(wǎng)管控提供了對數(shù)據(jù)中心各類網(wǎng)絡(luò)設(shè)備與平安設(shè)備的統(tǒng)一管理與監(jiān)控，同時，還實(shí)現(xiàn)了對物理網(wǎng)關(guān)與虛擬網(wǎng)關(guān)的“虛/實(shí)〞一體化管控；決策輔助則通過對收集到的各類事件信息進(jìn)展統(tǒng)計(jì)分析以及深入的數(shù)據(jù)挖掘，最終以豐富的圖形化展示方式為我們提供決策支持；在智能策略部署中，根據(jù)決策輔助過程的輸出結(jié)果能夠自動生成并下發(fā)平安策略到相應(yīng)的網(wǎng)關(guān)設(shè)備。另外，通過TopPolicy與TopVSP的聯(lián)動機(jī)制，能夠?qū)崟r感知虛擬機(jī)產(chǎn)生的熱遷移動作，從而實(shí)現(xiàn)平安策略的同步遷移。APT“狙擊〞：APT攻擊從情報(bào)搜集到完成攻擊，整個過程往往比較復(fù)雜，而且可能會持續(xù)幾天、幾個月，甚至更長的時間。因此，很難通過*一種平安檢測機(jī)制阻止一次攻擊就