深信服網(wǎng)絡(luò)安全解決方案 20160225

深信服整體網(wǎng)絡(luò)安全解決方案深信服虛擬防火墻安全解決方案虛擬化引入安全風險APP1OS1APP2OS2APP3OS3APP4OS4VM1VM2VM3VM4傳統(tǒng)安全風險虛擬化后安全風險網(wǎng)絡(luò)安全風險主機安全風險應用安全風險數(shù)據(jù)安全風險邊界概念的弱化平臺與租戶的安全權(quán)責劃分多租戶間的安全風險VM之間安全訪問風險Hypervisor引入的安全威脅傳統(tǒng)硬件安全設(shè)備在云數(shù)據(jù)中心應對不足傳統(tǒng)出口安全過濾匯聚交換機A虛擬平臺vswitchWEB10.1.1.0/24匯聚交換機AOA10.1.2.0/24云數(shù)據(jù)中心出口設(shè)備不適合制訂針對不同的租戶或業(yè)務(wù)的細化安全策略云數(shù)據(jù)中心出口流量巨大，不宜展開全面應用層防護虛擬化邊界模糊，物理設(shè)備無法直接分區(qū)防護出口設(shè)備不能對虛擬網(wǎng)絡(luò)東西向威脅直接過濾物理設(shè)備引流防護使核心設(shè)備負載增大物理設(shè)備無法防護平臺和虛機間威脅（虛機逃逸）安全不是100%，虛擬網(wǎng)絡(luò)也要保護物理設(shè)備不滿足多租戶和業(yè)務(wù)分級等保需求物理設(shè)備不匹配云計算靈活彈性的特點vAF虛擬網(wǎng)絡(luò)安全防護

傳統(tǒng)防火墻功能網(wǎng)絡(luò)防病毒IPS入侵防御應用識別和控制Web應用安全網(wǎng)站防篡改僵尸網(wǎng)絡(luò)監(jiān)測業(yè)務(wù)漏洞監(jiān)測部署vAF前后——邊界區(qū)域清晰云數(shù)據(jù)中心WebServersMailServersOAServersvRouterHypervisor云數(shù)據(jù)中心WebServersMailServersOAServersvRouterHypervisorvAFvAFvAF存在問題1、沒有專門虛擬區(qū)域劃分設(shè)備，導致邊界混亂2、缺失虛擬區(qū)域之間的訪問控制，風險范圍擴大；解決問題1、vAF提供了清晰的虛擬機區(qū)域劃分邏輯，邊界清晰可控2、vAF提供了嚴格的虛擬區(qū)域訪問控制策略，防止非授權(quán)接入；部署vAF前后——防范虛機之間攻擊云數(shù)據(jù)中心WebServersMailServersOAServersvRouterHypervisor風險虛機擴散擴散擴散擴散云數(shù)據(jù)中心WebServersMailServersOAServersvRouterHypervisor風險虛機擴散擴散擴散擴散vAFvAFvAF存在問題1、某臺虛機出現(xiàn)安全風險，容易將安全風險擴散到同租戶的其他虛機2、某臺虛機出現(xiàn)安全風險，容易將風險擴散到?jīng)]有邊界防護的其他區(qū)域或同一宿主機解決問題1、vAF支持和vsafe結(jié)合，直接從虛擬平臺底層引流，實現(xiàn)對同區(qū)域、同網(wǎng)段的風險檢測和清洗2、不同區(qū)域之間的業(yè)務(wù)互訪首先由vAF進行安全控制和清洗，避免了安全風險的進一步擴散部署vAF之后——防御多種攻擊Internet云數(shù)據(jù)中心WebServersMailServersOAServersvRouterHypervisor合法用戶登錄黑客收集信息偽造身份登錄種植惡意內(nèi)容vAFvAFvAF解決問題1、vAF提權(quán)全面的L2到L7安全功能，并根據(jù)黑客攻擊過程，提供事前、事中、事后，完整的安全保護2、vAF具備和物理設(shè)備相同的安全功能，包括入侵防御、WAF、防病毒、僵尸檢測、漏洞檢測、防泄密、防篡改、敏感字過濾等功能3、vAF能以虛機方式部署在云平臺內(nèi)部，滿足隨需擴展和靈活適配云數(shù)據(jù)中心安全保護網(wǎng)絡(luò)資源NGAFNGAFNGAF保障傳統(tǒng)安全網(wǎng)絡(luò)安全主機安全風險應用安全風險數(shù)據(jù)安全風險vAF保障虛擬化安全平臺與租戶的安全權(quán)責劃分多租戶間的安全風險VM之間安全訪問風險Hypervisor引入的安全威脅安全是云計算重要環(huán)節(jié)云計算的發(fā)展趨勢傳統(tǒng)數(shù)據(jù)中心虛擬化數(shù)據(jù)中心私有云公用云成本高昂靈活可靠硬件設(shè)備堆砌資源解耦，一虛多按需取用按需租用云安全事件危害極大SonyPSN事件攻擊者通過注冊PSN服務(wù)，并以其為跳板對PSN云平臺進行攻擊，在突破隔離的基礎(chǔ)上，充分利用了平臺內(nèi)部流量不可見的特性進行信息竊取AWS成為僵尸網(wǎng)絡(luò)沃土

AmazonEC2被ZEUS僵尸網(wǎng)絡(luò)工具包利用建立C&C服務(wù)器；惡意人員以6美元為代價對EC2發(fā)動DDoSVMWarevMA漏洞vMA4.0、4.1、5.0.0.1等版本在實現(xiàn)上存在加載任意文件導致的本地權(quán)限提升漏洞，攻擊者可利用此漏洞以提升的權(quán)限執(zhí)行任意代碼傳統(tǒng)數(shù)據(jù)中心安全建設(shè)內(nèi)網(wǎng)外網(wǎng)服務(wù)器數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫安全風險三：外聯(lián)業(yè)務(wù)，如數(shù)據(jù)中心和分支連接，遠程管理等，必然引入外聯(lián)過程中的安全風險安全風險四：來自數(shù)據(jù)中心內(nèi)部不同業(yè)務(wù)區(qū)域的安全風險傳播，非授權(quán)互訪等安全風險安全風險五：多鏈路接入的智能選路、鏈路負載；應用服務(wù)負載、網(wǎng)絡(luò)帶寬分級保障，流量統(tǒng)計等。安全風險一：數(shù)據(jù)中心需要開放面對公眾的服務(wù)，這必然導致存在來自互聯(lián)網(wǎng)各種攻擊風險安全風險二：內(nèi)部辦公網(wǎng)的員工電腦存在有意識或者無意識攻擊行為。這些攻擊，可能來自本地的辦公網(wǎng)絡(luò)，也可能來自遠端經(jīng)過廣域網(wǎng)的分支機構(gòu)網(wǎng)絡(luò)傳統(tǒng)數(shù)據(jù)中心安全需求防火墻硬件AD核心交換區(qū)鏈路負載IPSecVPNSSL

VPN統(tǒng)一接入平臺

廣域網(wǎng)安全隔離邊界安全

移動接入?yún)^(qū)分支接入?yún)^(qū)業(yè)務(wù)發(fā)布區(qū)網(wǎng)絡(luò)接入?yún)^(qū)DMZ服務(wù)器鏈路負載出口安全互聯(lián)網(wǎng)接入流控服務(wù)器數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫網(wǎng)絡(luò)以區(qū)域為邊界安全部署在區(qū)域邊界傳統(tǒng)數(shù)據(jù)中心安全方案云數(shù)據(jù)中心帶來的變化虛擬化云計算的變化HardwareHardwareHardwareAPPOSHypervisorHypervisor軟硬件的分離引入虛擬化層（Hypervisor），實現(xiàn)操作系統(tǒng)與硬件的解耦APPOSAPPOSHardwareAPPOSHardwareAPPOSHardwareAPPOSHardwareAPPOSHardwareAPPOSHardwareAPPOSAPPOSAPPOSAPPOSAPPOSAPPOS虛擬化云計算網(wǎng)絡(luò)變化引入了hypervisor軟件層虛擬機直接在hypervisor通訊多系統(tǒng)共用主機虛擬機動態(tài)漂移SERVER-1SERVER-2SERVER-n云計算虛擬化網(wǎng)絡(luò)業(yè)務(wù)1業(yè)務(wù)2業(yè)務(wù)3云計算虛擬化帶來新的安全問題SERVER1SERVER2SERVER3SERVER4SERVER5SERVER6HypervisorHypervisorHypervisorHypervisor東西向流量不可視東西向安全不可控安全邊界缺失虛機安全接入不同安全級VM共Host虛擬機動態(tài)漂移Hypervisor引入漏洞虛機業(yè)務(wù)負載云計算虛擬化網(wǎng)絡(luò)安全問題如何在新環(huán)境中建立安全架構(gòu)、機制和防護措施？傳統(tǒng)IT威脅、弱點新威脅、新弱點邊界缺失東西向攻擊南北向安全Hypervisor引入漏洞VM遷移后的安全接入虛機安全虛機業(yè)務(wù)負載……非授權(quán)訪問DoS/DDoS網(wǎng)絡(luò)入侵平臺漏洞接入安全鏈路負載……傳統(tǒng)的安全問題依舊存在新技術(shù)引入新問題FWAnti-DDoSIPS漏洞識別VPNLB……硬件產(chǎn)品解決平臺邊界安全新型防護體系如何構(gòu)建？深信服云數(shù)據(jù)中心安全方案云數(shù)據(jù)中心安全建設(shè)需求虛擬化云計算網(wǎng)絡(luò)內(nèi)部主機安全云數(shù)據(jù)中心物理網(wǎng)絡(luò)邊界平臺防護流量管理接入安全木馬、病毒僵尸主機漏洞攻擊運維平臺入侵防御訪問控制平臺漏洞DDoS防護智能選路流量統(tǒng)計鏈路可靠性帶寬分級保障云間安全互聯(lián)運維安全接入基礎(chǔ)平臺網(wǎng)絡(luò)安全監(jiān)控虛擬化網(wǎng)絡(luò)安全監(jiān)控關(guān)聯(lián)DC安互聯(lián)入用戶訪問安全接入應用漏洞攻擊滲透測試網(wǎng)頁篡改Web攻擊應用訪問控制數(shù)據(jù)竊取統(tǒng)一管理平臺安全策略集中下發(fā)安全日志統(tǒng)一收集運維南北向網(wǎng)絡(luò)安全業(yè)務(wù)安全業(yè)務(wù)接入

東西向網(wǎng)絡(luò)安全虛機逃逸APT

訪問控制數(shù)據(jù)竊取Web安全業(yè)務(wù)負載業(yè)務(wù)接入環(huán)境安全云數(shù)據(jù)中心安全建設(shè)方案云計算虛擬化網(wǎng)絡(luò)云數(shù)據(jù)中心物理網(wǎng)絡(luò)邊界平臺防護流量管理接入安全運維平臺入侵防御訪問控制平臺漏洞DDoS防護智能選路流量統(tǒng)計鏈路可靠性帶寬分級保障云間安全互聯(lián)運維安全接入基礎(chǔ)平臺網(wǎng)絡(luò)安全監(jiān)控虛擬化網(wǎng)絡(luò)安全監(jiān)控關(guān)聯(lián)DC安全接入用戶訪問安全接入應用漏洞攻擊滲透測試網(wǎng)頁篡改Web攻擊應用訪問控制數(shù)據(jù)竊取統(tǒng)一管理平臺安全策略集中下發(fā)安全日志統(tǒng)一收集運維南北向網(wǎng)絡(luò)安全業(yè)務(wù)安全業(yè)務(wù)接入

東西向網(wǎng)絡(luò)安全虛機逃逸APT

訪問控制數(shù)據(jù)竊取Web安全業(yè)務(wù)負載業(yè)務(wù)接入NGAF硬件VPN硬件AC硬件ADvAF（云固）vAF（云基/云固）vVPNvAD環(huán)境安全主機安全木馬、病毒僵尸主機漏洞攻擊vAF（云固）云安全服務(wù)SC平臺、外置數(shù)據(jù)中心、vAFvCenter、標準API、合作開發(fā)硬件解決物理網(wǎng)絡(luò)邊界安全功能專業(yè)：5款產(chǎn)品入圍Gartner魔力象限，NGAF獲NSSLAB最高評價形態(tài)多樣：硬件產(chǎn)品、NFV產(chǎn)品、虛擬化插件產(chǎn)品、云安全服務(wù)性能齊全：百兆、千兆、萬兆、超萬兆集群軟件定義云計算網(wǎng)絡(luò)內(nèi)部安全Hypervisor功能與硬件一致安全資質(zhì)齊全百兆-千兆性能云數(shù)據(jù)中心整體安全架構(gòu)SERVER-1SERVER-2SERVER-n防火墻硬件AD核心交換區(qū)云計算虛擬化網(wǎng)絡(luò)支撐運維區(qū)網(wǎng)管、SOC、認證等業(yè)務(wù)1業(yè)務(wù)2業(yè)務(wù)3鏈路負載IPSecVPNSSL

VPN統(tǒng)一接入平臺

廣域網(wǎng)安全隔離邊界安全

移動接入?yún)^(qū)分支接入?yún)^(qū)業(yè)務(wù)發(fā)布區(qū)網(wǎng)絡(luò)接入?yún)^(qū)DMZ服務(wù)器鏈路負載出口安全互聯(lián)網(wǎng)接入流控軟件定義安全SERVER-1SERVER-2SERVER-n虛擬化云計算網(wǎng)絡(luò)業(yè)務(wù)1業(yè)務(wù)2業(yè)務(wù)3業(yè)務(wù)遠程接入訪問IT遠程接入運維遠端分支DC互聯(lián)虛機服務(wù)負載應用健康檢測服務(wù)智能加速東西向安全（云固）南北向安全防護L2-L7層整體安全流量可視/策略跟隨軟件定義安全軟件定義安全級在虛擬化內(nèi)部解決安全問題功能/性能按需選配和擴展靈活便捷深入0102032024/9/4深信服云安全的價值靈活擴展不依賴于專用硬件，快速形成軟件安全資源池根據(jù)云業(yè)務(wù)量，動態(tài)擴展所需安全組件/服務(wù)降低投資利舊已有虛擬化基礎(chǔ)設(shè)施，降低整體采購成本避免安全專用硬件設(shè)備的超前投資，提升利潤率一臺虛機即可搞定安全問題,提升安全投資效率增強安全保障在最接近虛擬機的區(qū)域提供安全，提升防護效果vNGAF提供了全面的安全保障，消除防護短板案例-X省移動云數(shù)據(jù)中心項目業(yè)務(wù)1業(yè)務(wù)2業(yè)務(wù)3業(yè)務(wù)1業(yè)務(wù)2業(yè)務(wù)3業(yè)務(wù)1業(yè)務(wù)2業(yè)務(wù)3安全管理平臺云固云固云固案例-Z集團云數(shù)據(jù)中心…....Z集團云數(shù)據(jù)中心子公司A：郵件系統(tǒng)互聯(lián)網(wǎng)子公司C：研發(fā)系統(tǒng)互聯(lián)網(wǎng)互聯(lián)網(wǎng)子公司B：財務(wù)系統(tǒng)vADvSSL軟件版AD云基選擇云安全產(chǎn)品原因：安全性高，深入到云內(nèi)部提供安全，并基于業(yè)務(wù)實際需求制定安全策略按業(yè)務(wù)部門數(shù)量，靈活按需部署節(jié)省投資，不依賴于專用硬件，并縮短上線周期云基云基網(wǎng)絡(luò)安全攻防實驗室方案網(wǎng)絡(luò)信息安全教育的特點與時俱進信息安全教育持續(xù)教育面向需求深入實踐信息安全領(lǐng)域知識覆蓋面寬信息安全知識更新快信息安全教育注重應用和實踐能力需要建立專業(yè)的實踐環(huán)境信息安全教育是一種持續(xù)教育需要專業(yè)的、可持續(xù)發(fā)展的企業(yè)給予支持信息安全教育需要面向多樣化、多層次的人才需求人才的培養(yǎng)應該與社會的發(fā)展相結(jié)合3如何建立網(wǎng)絡(luò)信息安全實驗室網(wǎng)絡(luò)信息安全實驗的方向網(wǎng)絡(luò)安全實驗室和信息安全實驗室針對不同層面的培養(yǎng)方向，建立不同的實驗室建立綜合實驗室信息安全課程初級實驗輔助信息安全初級課程，提供學員動手操作環(huán)境信息安全課程高級實驗將信息安全擴展到網(wǎng)絡(luò)、設(shè)備層面，提供學員動手操作環(huán)境信息安全科研實驗提供教研室進行信息安全的科研環(huán)境重點是信息安全出現(xiàn)的熱點、難點，及經(jīng)驗的交流網(wǎng)絡(luò)信息安全實驗的內(nèi)容認知實驗信息安全常識防病毒常識個人終端安全防護普教職教、高教高教、科研初級、中級實驗路由與交換安全防火墻和