發(fā)電企業(yè)云平臺(tái)安全方案2024目錄TOC\o"1-2"\h\u32661.云平臺(tái)安全方案簡(jiǎn)介 4319842.云平臺(tái)安全方案設(shè)計(jì)原則 5117152.1.安全域劃分原則 511902.2.安全域細(xì)粒度劃分 6152622.3.安全域內(nèi)業(yè)務(wù)平面劃分 7155533.硬件安全設(shè)計(jì)方案（平臺(tái)安全） 7318453.1.安全物理環(huán)境 853143.2.安全通信網(wǎng)絡(luò) 993463.3.安全區(qū)域邊界 1137544.防火墻安全方案 11225724.1.防火墻安全功能 11100244.2.內(nèi)容安全防護(hù)功能 19116144.3.虛擬防火墻功能 2682365.安全計(jì)算環(huán)境 28232046.軟件安全設(shè)計(jì)方案（租戶安全） 29186916.1.安全通信網(wǎng)絡(luò)與邊界安全 29248956.2.安全計(jì)算環(huán)境 30308306.3.云安全服務(wù)設(shè)計(jì) 31136747.平臺(tái)基礎(chǔ)安全 32205581、宿主機(jī)和虛擬化安全 32158152、防IP/MAC/DHCPserver仿冒 34245433、防DoS/DDoS攻擊 3528794、系統(tǒng)加固 3583435、數(shù)據(jù)保護(hù) 35299156、鏡像安全 36274217、熱補(bǔ)丁 37244118、日志管理和安全審計(jì) 37115229、云服務(wù)安全 383036310、訪問(wèn)通道控制 391154211、安全管理 4038438.主機(jī)安全防護(hù)方案設(shè)計(jì) 41234408.1.主機(jī)安全應(yīng)用場(chǎng)景 41224238.2.主機(jī)安全防護(hù)功能設(shè)計(jì) 42216138.3.態(tài)勢(shì)感知方案設(shè)計(jì) 4223989.云防火墻方案設(shè)計(jì) 43116819.1.云防火墻應(yīng)用場(chǎng)景 43264319.2.云防火墻功能設(shè)計(jì) 431436710.Web應(yīng)用防火墻方案設(shè)計(jì) 441472510.1.Web應(yīng)用防火墻應(yīng)用場(chǎng)景 442092010.2.Web應(yīng)用防火墻功能設(shè)計(jì) 45271611.密鑰管理服務(wù)方案設(shè)計(jì) 45599011.1.密鑰管理服務(wù)應(yīng)用場(chǎng)景 452223311.2.密鑰管理服務(wù)功能設(shè)計(jì) 4663912.數(shù)據(jù)庫(kù)審計(jì)方案設(shè)計(jì) 461209412.1.數(shù)據(jù)庫(kù)審計(jì)應(yīng)用場(chǎng)景 47431712.2.數(shù)據(jù)庫(kù)審計(jì)功能設(shè)計(jì) 47399313.數(shù)據(jù)脫敏方案設(shè)計(jì) 482228313.1.數(shù)據(jù)脫敏應(yīng)用場(chǎng)景 482725413.2.數(shù)據(jù)脫敏功能設(shè)計(jì) 49534914.堡壘機(jī)方案設(shè)計(jì) 501682014.1.堡壘機(jī)應(yīng)用場(chǎng)景 502672014.2.堡壘機(jī)功能設(shè)計(jì) 51634115.云安全管理中心方案設(shè)計(jì) 512234415.1.云安全管理中心應(yīng)用場(chǎng)景 511378715.2.云安全管理中心功能設(shè)計(jì) 522872816.身份服務(wù)方案設(shè)計(jì) 53449916.1.身份服務(wù)應(yīng)用場(chǎng)景 53105316.2.身份服務(wù)功能設(shè)計(jì) 53431517.安全管理體系認(rèn)證 551766417.1.安全管理制度 551718817.2.安全組織架構(gòu) 551534017.3.人員安全管理 552845817.4.系統(tǒng)建設(shè)管理 552230817.5.系統(tǒng)運(yùn)維管理 56云平臺(tái)安全方案簡(jiǎn)介本次XX集團(tuán)公司云平臺(tái)安全技術(shù)解決方案，從安全技術(shù)、安全管理以及安全服務(wù)三個(gè)維度進(jìn)行設(shè)計(jì)。根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）第三級(jí)信息系統(tǒng)要求，等級(jí)保護(hù)三級(jí)安全技術(shù)從安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等方面進(jìn)行構(gòu)建。圖：安全整體體系XX集團(tuán)公司云平臺(tái)安全技術(shù)解決方案的建設(shè)分為“一個(gè)中心，三重保護(hù)”?！耙粋€(gè)中心”指的是安全管理中心，是對(duì)信息系統(tǒng)的安全策略及安全機(jī)制實(shí)施統(tǒng)一管理的平臺(tái)。按照等保的《基本要求》，第三級(jí)（含）以上的信息系統(tǒng)安全保護(hù)環(huán)境需要設(shè)置安全管理中心，本方案提供的智能安全分析平臺(tái)包括數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)檢索子系統(tǒng)、威脅分析子系統(tǒng)，提供專業(yè)級(jí)的安全分析能力，實(shí)現(xiàn)對(duì)云負(fù)載、各類應(yīng)用及數(shù)據(jù)的安全保護(hù)?！叭乇Ｗo(hù)”指的是按照分域保護(hù)的思想，將平臺(tái)從結(jié)構(gòu)上劃分為不同的安全區(qū)域，各個(gè)安全區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)形成單獨(dú)的計(jì)算環(huán)境，各個(gè)安全區(qū)域之間的訪問(wèn)關(guān)系形成區(qū)域邊界，各個(gè)安全區(qū)域之間的連接鏈路和網(wǎng)絡(luò)設(shè)備構(gòu)成了通信網(wǎng)絡(luò)，因此整體安全保障技術(shù)體系將從保護(hù)計(jì)算環(huán)境、保護(hù)區(qū)域邊界、保護(hù)通信網(wǎng)絡(luò)三個(gè)層面分別進(jìn)行構(gòu)建，最終形成三重縱深防御的安全體系，并且它們始終都在安全管理中心的統(tǒng)一管控下有序地運(yùn)行。保護(hù)計(jì)算環(huán)境：計(jì)算環(huán)境是對(duì)信息系統(tǒng)的信息進(jìn)行存儲(chǔ)、處理的相關(guān)部件，包括網(wǎng)絡(luò)平臺(tái)、系統(tǒng)平臺(tái)和業(yè)務(wù)應(yīng)用。通過(guò)主機(jī)安全、密鑰管理、數(shù)據(jù)庫(kù)審計(jì)等能力對(duì)計(jì)算環(huán)境進(jìn)行保護(hù)。保護(hù)區(qū)域邊界：區(qū)域邊界是信息系統(tǒng)計(jì)算環(huán)境與通信網(wǎng)絡(luò)之間實(shí)現(xiàn)連接的相關(guān)部件。平臺(tái)側(cè)區(qū)域邊界安全通過(guò)網(wǎng)絡(luò)設(shè)備進(jìn)行防護(hù)，租戶側(cè)區(qū)域邊界安全通過(guò)Web應(yīng)用防火墻進(jìn)行防護(hù)?？紤]到相鄰的信息系統(tǒng)存在區(qū)域邊界設(shè)備共享的情況，如果不同安全級(jí)別的信息系統(tǒng)通過(guò)同一套安全措施進(jìn)行邊界保護(hù)，這個(gè)邊界保護(hù)措施及其所采用的保護(hù)策略應(yīng)滿足最高級(jí)別信息系統(tǒng)的安全保護(hù)要求。保護(hù)通信網(wǎng)絡(luò)：通信網(wǎng)絡(luò)是對(duì)信息系統(tǒng)計(jì)算環(huán)境之間進(jìn)行信息傳輸?shù)南嚓P(guān)部件，平臺(tái)側(cè)通信網(wǎng)絡(luò)安全通過(guò)防火墻等網(wǎng)絡(luò)設(shè)備進(jìn)行防護(hù)，租戶側(cè)通信網(wǎng)絡(luò)安全通過(guò)邊界防火墻服務(wù)、云防火墻、虛擬VPC等能力進(jìn)行防護(hù)?？紤]到不同安全級(jí)別的信息系統(tǒng)共享同一網(wǎng)絡(luò)線路和網(wǎng)絡(luò)設(shè)備傳輸數(shù)據(jù)的情況，該通信網(wǎng)絡(luò)的安全保護(hù)措施及其所采用的保護(hù)策略應(yīng)滿足最高級(jí)別信息系統(tǒng)的安全保護(hù)要求。云平臺(tái)安全方案設(shè)計(jì)原則安全域劃分原則根據(jù)整體XX集團(tuán)公司的網(wǎng)絡(luò)設(shè)計(jì)，為了提高網(wǎng)絡(luò)的安全性和可靠性，在規(guī)劃網(wǎng)絡(luò)安全建設(shè)的時(shí)候采用安全域的規(guī)劃概念。安全域（SecurityDomain）是指網(wǎng)絡(luò)中具有相同的安全保護(hù)需求、并相互信任的區(qū)域或網(wǎng)絡(luò)實(shí)體的集合。一個(gè)安全域可劃分為若干安全子域，安全子域也可繼續(xù)依次細(xì)化為次級(jí)安全域、三級(jí)安全域等。安全域的劃分，就是從安全角度將系統(tǒng)劃分成不同的區(qū)域，以便實(shí)行分門別類的防護(hù)。首先參考“運(yùn)行環(huán)境相似”原則，也就是把云平臺(tái)上運(yùn)行的業(yè)務(wù)系統(tǒng)放在一起保護(hù)，其次參考“安全策略一致”原則，將面向不同網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)分開(kāi)。從整體網(wǎng)絡(luò)規(guī)劃上，依據(jù)等級(jí)保護(hù)的要求，利用一個(gè)中心三重防護(hù)的思想結(jié)合業(yè)務(wù)功能和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)將數(shù)據(jù)中心劃分為多個(gè)安全區(qū)域，實(shí)現(xiàn)物理和邏輯控制并用的隔離手段，提升網(wǎng)絡(luò)面對(duì)入侵和內(nèi)部的分區(qū)自我保護(hù)和容錯(cuò)恢復(fù)能力。1、安全計(jì)算環(huán)境計(jì)算域網(wǎng)絡(luò)、服務(wù)器與數(shù)據(jù)中心對(duì)定級(jí)系統(tǒng)的信息進(jìn)行存儲(chǔ)、處理及實(shí)施安全策略的相關(guān)部件。2、安全區(qū)域邊界計(jì)算域邊界安全措施對(duì)安全計(jì)算環(huán)境邊界以及安全計(jì)算環(huán)境與安全通信網(wǎng)絡(luò)之間實(shí)現(xiàn)連接并實(shí)施安全策略的相關(guān)部件。3、安全通信網(wǎng)絡(luò)即計(jì)算域網(wǎng)絡(luò)的出口，系統(tǒng)安全計(jì)算環(huán)境之間進(jìn)行信息傳輸及實(shí)施安全策略的相關(guān)部件。4、安全管理中心支撐對(duì)定級(jí)系統(tǒng)的安全策略及安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機(jī)制實(shí)施統(tǒng)一管理的平臺(tái)。安全域細(xì)粒度劃分根據(jù)業(yè)務(wù)功能以及不同的安全級(jí)別，不同的安全域內(nèi)部又可以進(jìn)一步劃分不同的安全子域：網(wǎng)絡(luò)中內(nèi)部安全域可劃分為數(shù)據(jù)中心核心交換區(qū)、網(wǎng)絡(luò)服務(wù)區(qū)、數(shù)據(jù)中心計(jì)算區(qū)、數(shù)據(jù)中心存儲(chǔ)區(qū)；云管理安全域可劃分為運(yùn)維運(yùn)營(yíng)管理區(qū)、公共服務(wù)區(qū)、管理服務(wù)DMZ區(qū)。DMZ區(qū)部署面向外網(wǎng)和租戶的前置部件，如負(fù)載均衡器、代理服務(wù)器等，以及服務(wù)部件，如服務(wù)控制臺(tái)、API網(wǎng)關(guān)等。用戶對(duì)DMZ區(qū)的訪問(wèn)行為不可信，所以需要對(duì)DMZ單獨(dú)劃分平面。公共服務(wù)區(qū)：該區(qū)域主要部署IaaS/PaaS/SaaS服務(wù)化組件如IaaS/PaaS/SaaS服務(wù)控制部件，以及一些基礎(chǔ)設(shè)施服務(wù)部件如DNS、NTP、補(bǔ)丁服務(wù)等。此區(qū)域內(nèi)的部件根據(jù)業(yè)務(wù)需要受限開(kāi)放給租戶。政務(wù)云管理員可以從內(nèi)網(wǎng)區(qū)訪問(wèn)該區(qū)域進(jìn)行操作和管理。運(yùn)維運(yùn)營(yíng)管理區(qū)：該區(qū)域主要部署運(yùn)維運(yùn)營(yíng)組件，管理員可以通過(guò)此區(qū)域?qū)ζ渌麉^(qū)域進(jìn)行統(tǒng)一的業(yè)務(wù)系統(tǒng)運(yùn)維運(yùn)營(yíng)管理。安全域內(nèi)業(yè)務(wù)平面劃分圖：安全域內(nèi)業(yè)務(wù)平面劃分與隔離為保證租戶業(yè)務(wù)不影響管理操作，確保設(shè)備、資源和流量不會(huì)脫離有效監(jiān)管，本云平臺(tái)將其網(wǎng)絡(luò)的通信平面基于不同業(yè)務(wù)職能、不同安全風(fēng)險(xiǎn)等級(jí)和不同權(quán)限需要?jiǎng)澐譃樽鈶魯?shù)據(jù)平面、管理面、數(shù)據(jù)存儲(chǔ)平面等，以保證關(guān)乎不同業(yè)務(wù)的網(wǎng)絡(luò)通信流量得到合理且安全的分流，便于實(shí)現(xiàn)職責(zé)分離租戶數(shù)據(jù)平面：作為租戶提供業(yè)務(wù)通道和虛擬機(jī)之間通信平面，租戶對(duì)其用戶提供業(yè)務(wù)應(yīng)用。業(yè)務(wù)控制平面：支撐云服務(wù)API的安全交互。平臺(tái)運(yùn)維平面：實(shí)現(xiàn)基礎(chǔ)設(shè)施和平臺(tái)（網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲(chǔ)）的后臺(tái)運(yùn)維管理。BMC管理平面：作為云平臺(tái)基礎(chǔ)設(shè)施服務(wù)器的硬件后端管理平面，用于應(yīng)急維護(hù)。數(shù)據(jù)存儲(chǔ)平面：僅供計(jì)算區(qū)內(nèi)計(jì)算節(jié)點(diǎn)與存儲(chǔ)節(jié)點(diǎn)間的數(shù)據(jù)安全傳輸與存儲(chǔ)。每個(gè)安全區(qū)域內(nèi)，根據(jù)所承載業(yè)務(wù)的隔離要求劃分不同網(wǎng)絡(luò)平面，如計(jì)算業(yè)務(wù)區(qū)內(nèi)有租戶平面、管理面（業(yè)務(wù)控制平面、BMC管理平面、平臺(tái)運(yùn)維平面）、數(shù)據(jù)存儲(chǔ)平面等。硬件安全設(shè)計(jì)方案（平臺(tái)安全）XX集團(tuán)公司云平臺(tái)的平臺(tái)層安全體系可以依據(jù)等保2.0安全要求劃分為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境等。平臺(tái)安全涉及的硬件設(shè)備不在本次項(xiàng)目?jī)?nèi)，方案層面進(jìn)行完整設(shè)計(jì)。安全硬件設(shè)備根據(jù)項(xiàng)目實(shí)際情況選擇配置，現(xiàn)網(wǎng)已有硬件設(shè)備可以選擇利舊，但云平臺(tái)必須配置云平臺(tái)管理防火墻，保障云平臺(tái)管理區(qū)安全。安全物理環(huán)境數(shù)據(jù)中心已制定并實(shí)施完善的物理和環(huán)境安全防護(hù)策略、規(guī)程和措施。數(shù)據(jù)中心不但有妥善的選址，在設(shè)計(jì)施工和運(yùn)營(yíng)時(shí)，合理劃分了機(jī)房物理區(qū)域，合理布置了信息系統(tǒng)的組件，以防范物理和環(huán)境潛在危險(xiǎn)（如火災(zāi)、電磁泄露等）和非授權(quán)訪問(wèn)，而且提供了足夠的物理空間、電源容量、網(wǎng)絡(luò)容量、制冷容量，以滿足基礎(chǔ)設(shè)施快速擴(kuò)容的需求。同時(shí)，運(yùn)維運(yùn)營(yíng)團(tuán)隊(duì)嚴(yán)格執(zhí)行訪問(wèn)控制、安保措施、例行監(jiān)控審計(jì)、應(yīng)急響應(yīng)等措施，以確保數(shù)據(jù)中心的物理和環(huán)境安全。訪問(wèn)控制：數(shù)據(jù)中心嚴(yán)格管理人員及設(shè)備進(jìn)出，在數(shù)據(jù)中心園區(qū)及建筑的門口設(shè)置了7*24小時(shí)保安人員進(jìn)行登記盤查，限制并監(jiān)控來(lái)訪人員授權(quán)活動(dòng)范圍。門禁控制系統(tǒng)在不同的區(qū)域采取不同安全策略的門禁控制系統(tǒng)，嚴(yán)格審核人員出入權(quán)限。數(shù)據(jù)中心的重要配件，由倉(cāng)儲(chǔ)系統(tǒng)中的專門電子加密保險(xiǎn)箱存放，且由專人進(jìn)行保險(xiǎn)箱的開(kāi)關(guān)；數(shù)據(jù)中心的任何配件，都必須提供授權(quán)工單方能領(lǐng)取，且領(lǐng)取時(shí)須在倉(cāng)儲(chǔ)管理系統(tǒng)中登記。由專人定期對(duì)所有物理訪問(wèn)設(shè)備和倉(cāng)儲(chǔ)系統(tǒng)物資進(jìn)行綜合盤點(diǎn)追蹤。機(jī)房管理員不但開(kāi)展例行安檢，而且不定期審計(jì)數(shù)據(jù)中心訪問(wèn)記錄，確保非授權(quán)人員不可訪問(wèn)數(shù)據(jù)中心。安保措施：數(shù)據(jù)中心采用當(dāng)前通用的機(jī)房安保技術(shù)監(jiān)測(cè)，并消除物理隱患。對(duì)機(jī)房外圍、出入口、走廊、電梯、機(jī)房等進(jìn)行7*24小時(shí)閉路電視監(jiān)控，并與紅外感應(yīng)、門禁等聯(lián)動(dòng)。保安人員對(duì)數(shù)據(jù)中心定時(shí)巡查，并設(shè)置在線巡更系統(tǒng)。對(duì)非法闖入和其他安保事件及時(shí)進(jìn)行聲光報(bào)警。電力保障：數(shù)據(jù)中心采用多級(jí)保護(hù)方案保障業(yè)務(wù)7*24小時(shí)持續(xù)運(yùn)行，日常電力供應(yīng)采用來(lái)自不同變電站的雙路市電供電。配備柴油發(fā)電機(jī)，在市電斷電時(shí)可啟動(dòng)柴油機(jī)供電，以備不時(shí)之需。并配備了不間斷電源（UPS–UninterruptedPowerSupply），提供短期備用電力供應(yīng)。在機(jī)房供電線路上配置了穩(wěn)壓器和過(guò)壓防護(hù)設(shè)備。在供電設(shè)備及線路上還設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電。溫濕度控制：通過(guò)精密空調(diào)、集中加濕器自動(dòng)調(diào)節(jié)，數(shù)據(jù)中心機(jī)房溫濕度保持在設(shè)備運(yùn)行所允許的范圍內(nèi)，使設(shè)備元器件處于良好運(yùn)行狀態(tài)。機(jī)柜冷熱通道有合理的布置，利用架空地板下空間作為靜壓箱來(lái)給機(jī)柜送風(fēng)，并設(shè)置了冷通道密閉，以防止局部熱點(diǎn)。消防能力：數(shù)據(jù)中心建筑防火等級(jí)均按一級(jí)設(shè)計(jì)施工，使用了A級(jí)防火材料，滿足國(guó)家消防規(guī)范。采用了阻燃、耐火電纜，在管內(nèi)或線槽鋪設(shè)，并設(shè)置了漏電檢測(cè)裝置。部署了自動(dòng)報(bào)警和自動(dòng)滅火系統(tǒng)，能夠迅速準(zhǔn)確發(fā)現(xiàn)并通報(bào)火情。自動(dòng)報(bào)警系統(tǒng)與供電、監(jiān)控、通風(fēng)設(shè)備聯(lián)動(dòng)，即使意外情況造成無(wú)人值守，也能開(kāi)啟自動(dòng)滅火系統(tǒng)，得以控制火情。例行監(jiān)控：數(shù)據(jù)中心的電力、溫濕度、消防等環(huán)境運(yùn)行狀態(tài)通過(guò)日常巡檢制度得到例行監(jiān)控，安全隱患能被及時(shí)發(fā)現(xiàn)并修復(fù)，確保設(shè)備穩(wěn)定運(yùn)行。供水排水：數(shù)據(jù)中心的供水和排水系統(tǒng)均有合理規(guī)劃，保證了總閥門正?？捎?，確保關(guān)鍵人員知曉閥門位置，以免信息系統(tǒng)受到漏水事故破壞。機(jī)房建筑和樓層均有抬高場(chǎng)地，在外圍設(shè)置了綠化地排水溝，加速排水，以降低場(chǎng)地積水倒灌風(fēng)險(xiǎn)。建筑滿足防水一級(jí)標(biāo)準(zhǔn)，保證了雨水不能通過(guò)屋頂、墻壁向機(jī)房滲透。數(shù)據(jù)中心也配備了及時(shí)排水的設(shè)施，供水災(zāi)時(shí)使用。防靜電：數(shù)據(jù)中心機(jī)房鋪設(shè)了防靜電地板，導(dǎo)線連接地板支架與接地網(wǎng)，機(jī)器接地以導(dǎo)走靜電。在機(jī)房大樓頂部設(shè)置了避雷帶，供電線路安裝了多級(jí)避雷器，導(dǎo)走電流。安全通信網(wǎng)絡(luò)云數(shù)據(jù)中心節(jié)點(diǎn)眾多、功能區(qū)域復(fù)雜。為了簡(jiǎn)化網(wǎng)絡(luò)安全設(shè)計(jì)，阻止網(wǎng)絡(luò)攻擊在數(shù)據(jù)中心環(huán)境中的擴(kuò)散，最小化攻擊影響，數(shù)據(jù)中心環(huán)境參考ITUE.408安全區(qū)域的劃分原則并結(jié)合業(yè)界網(wǎng)絡(luò)安全的優(yōu)秀實(shí)踐，對(duì)數(shù)據(jù)中心環(huán)境網(wǎng)絡(luò)進(jìn)行安全區(qū)域，網(wǎng)絡(luò)層面的劃分和隔離。安全區(qū)域內(nèi)部的節(jié)點(diǎn)具有相同的安全等級(jí)。數(shù)據(jù)中心環(huán)境從網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、設(shè)備選型配置到運(yùn)行維護(hù)諸方面綜合考慮，對(duì)承載網(wǎng)絡(luò)采用各種針對(duì)物理和虛擬網(wǎng)絡(luò)的多層安全隔離，接入控制和邊界防護(hù)技術(shù)，同時(shí)嚴(yán)格執(zhí)行相應(yīng)的管控措施，確保環(huán)境安全。邊界劃分如下圖所示，虛線框?yàn)楸敬谓ㄔO(shè)范圍，出口區(qū)不在本次建設(shè)范圍內(nèi)：圖：安全域劃分及網(wǎng)絡(luò)邊界保護(hù)數(shù)據(jù)中心環(huán)境根據(jù)業(yè)務(wù)功能和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)將數(shù)據(jù)中心劃分為多個(gè)安全區(qū)域，實(shí)現(xiàn)物理和邏輯控制并用的隔離手段，提升網(wǎng)絡(luò)面對(duì)入侵和內(nèi)鬼的分區(qū)自我保護(hù)和容錯(cuò)恢復(fù)能力。在這里介紹以下四個(gè)重要安全區(qū)域：網(wǎng)絡(luò)服務(wù)區(qū)：數(shù)據(jù)中心環(huán)境網(wǎng)絡(luò)服務(wù)區(qū)主要部署了面向外網(wǎng)和租戶的前置部件，如負(fù)載均衡器、代理服務(wù)器等，以及服務(wù)部件，如服務(wù)控制臺(tái)、API網(wǎng)關(guān)等。租戶對(duì)DMZ區(qū)的訪問(wèn)行為不可信，所以需要對(duì)網(wǎng)絡(luò)服務(wù)區(qū)單獨(dú)隔離，防止外部請(qǐng)求接觸服務(wù)后端部件。此區(qū)域部件面臨極高安全風(fēng)險(xiǎn)，除部署了防火墻、防DDoS措施外，還部署了應(yīng)用防火墻（WAF）、入侵檢測(cè)設(shè)備（IPS&AV）以及網(wǎng)絡(luò)流量審計(jì)系統(tǒng)，以保護(hù)基礎(chǔ)網(wǎng)絡(luò)、平臺(tái)。云管理區(qū)：該區(qū)域主要部署部IaaS/PaaS/SaaS服務(wù)化組件等。此區(qū)域內(nèi)的部件根據(jù)業(yè)務(wù)需要受限開(kāi)放給租戶，且租戶訪問(wèn)此區(qū)域部件和服務(wù)必須經(jīng)過(guò)DMZ區(qū)。環(huán)境管理員可以從內(nèi)網(wǎng)區(qū)訪問(wèn)該區(qū)域進(jìn)行操作和管理。計(jì)算資源交付區(qū)：此區(qū)域提供租戶所需的基礎(chǔ)設(shè)施資源，包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源，如租戶虛擬機(jī)、磁盤、虛擬網(wǎng)絡(luò)。租戶之間通過(guò)多層安全控制手段實(shí)現(xiàn)資源隔離，租戶不能訪問(wèn)其它租戶的資源；平臺(tái)側(cè)管理平面、數(shù)據(jù)存儲(chǔ)平面隔離，且與租戶數(shù)據(jù)平面隔離。該區(qū)域還可以支撐對(duì)進(jìn)出互聯(lián)網(wǎng)的租戶流量做DDoS防護(hù)及入侵檢測(cè)與防御，保障租戶業(yè)務(wù)。運(yùn)維管理區(qū)（OM–OperationsManagement）：該區(qū)域主要部署運(yùn)維墻，數(shù)據(jù)中心環(huán)境運(yùn)維人員必須先通過(guò)虛擬專用網(wǎng)絡(luò)（VPN–VirtualPrivateNetwork）接入該區(qū)域，再通過(guò)堡壘機(jī)（PBH）訪問(wèn)被管理節(jié)點(diǎn)。管理員可從此區(qū)域訪問(wèn)所有區(qū)域的運(yùn)維接口。此區(qū)域不向其他區(qū)域開(kāi)放接口。除了上述網(wǎng)絡(luò)分區(qū)，同時(shí)也對(duì)不同區(qū)域的安全級(jí)別進(jìn)行了劃分，根據(jù)不同的業(yè)務(wù)功能，確定不同的攻擊面以及不同的安全風(fēng)險(xiǎn)，比如說(shuō)直接暴露在互聯(lián)網(wǎng)的區(qū)域，安全風(fēng)險(xiǎn)最高，而與互聯(lián)網(wǎng)幾乎沒(méi)有交互并且不向其他區(qū)域開(kāi)放接口的OM區(qū)，攻擊面最小，安全風(fēng)險(xiǎn)相對(duì)容易控制。安全區(qū)域邊界本次方案設(shè)計(jì)通過(guò)防火墻實(shí)現(xiàn)安全區(qū)域邊界能力。防火墻安全方案本次項(xiàng)目建設(shè)采用華為USG6600E系列AI防火墻來(lái)完成實(shí)現(xiàn)云平臺(tái)安全建設(shè)，華為USG系列防火墻在提供NGFW能力的基礎(chǔ)上，聯(lián)動(dòng)其他安全設(shè)備，主動(dòng)防御網(wǎng)絡(luò)威脅，增強(qiáng)邊界檢測(cè)能力，有效防御高級(jí)威脅，同時(shí)解決性能下降問(wèn)題。NP提供快速轉(zhuǎn)發(fā)能力，防火墻性能顯著提升。防火墻安全功能（1）安全區(qū)域管理基于安全區(qū)域的隔離華為USG系列防火墻統(tǒng)一安全網(wǎng)關(guān)的安全隔離是基于安全區(qū)域，這樣的設(shè)計(jì)模型為用戶在實(shí)際使用統(tǒng)一安全網(wǎng)關(guān)的時(shí)候提供了十分良好的管理模型。華為統(tǒng)一安全網(wǎng)關(guān)提供了基于安全區(qū)域的隔離模型，每個(gè)安全區(qū)域可以按照網(wǎng)絡(luò)的實(shí)際組網(wǎng)加入任意的接口，因此統(tǒng)一安全網(wǎng)關(guān)的安全管理模型是不會(huì)受到網(wǎng)絡(luò)拓?fù)涞挠绊憽？晒芾淼陌踩珔^(qū)域業(yè)界很多防火墻一般都提供受信安全區(qū)域（trust）、非受信安全區(qū)域（untrust）、非軍事化區(qū)域（DMZ）三個(gè)獨(dú)立的安全區(qū)域，這樣的保護(hù)模型可以適應(yīng)大部分的組網(wǎng)要求，但是在一些安全策略要求較高的場(chǎng)合，這樣的保護(hù)模型還是不能滿足要求。華為統(tǒng)一安全網(wǎng)關(guān)默認(rèn)提供四個(gè)安全區(qū)域：trust、untrust、DMZ、local，在提供三個(gè)最常用的安全邏輯區(qū)域的基礎(chǔ)上還新增加了本地邏輯安全區(qū)域，本地安全區(qū)域可以定義到統(tǒng)一安全網(wǎng)關(guān)本身的報(bào)文，保證了統(tǒng)一安全網(wǎng)關(guān)本身的安全防護(hù)。例如，通過(guò)對(duì)本地安全區(qū)域的報(bào)文控制，可以很容易的防止不安全區(qū)域?qū)y(tǒng)一安全網(wǎng)關(guān)本身的Telnet、ftp等訪問(wèn)。華為統(tǒng)一安全網(wǎng)關(guān)還提供自定義安全區(qū)域，可以最大定義16個(gè)安全區(qū)域，每個(gè)安全區(qū)域都可以加入獨(dú)立的接口?；诎踩珔^(qū)域的策略控制華為統(tǒng)一安全網(wǎng)關(guān)支持根據(jù)不同的安全區(qū)域之間的訪問(wèn)設(shè)計(jì)不同的安全策略組（ACL訪問(wèn)控制列表），每條安全策略組支持若干個(gè)獨(dú)立的規(guī)則。這樣的規(guī)則體系使得統(tǒng)一安全網(wǎng)關(guān)的策略十分容易管理，方便用戶對(duì)各種邏輯安全區(qū)域的獨(dú)立管理?；诎踩珔^(qū)域的策略控制模型，可以清晰的分別定義從trust到untrust、從DMZ到untrust之間的各種訪問(wèn)，這樣的策略控制模型使得華為統(tǒng)一安全網(wǎng)關(guān)的網(wǎng)絡(luò)隔離功能具有很好的管理能力。（2）NAT功能優(yōu)異的地址轉(zhuǎn)換性能華為統(tǒng)一安全網(wǎng)關(guān)采用基于連接的方式提供地址轉(zhuǎn)換特性，針對(duì)每條連接維護(hù)一個(gè)Session表項(xiàng)，并且在處理的過(guò)程中采用優(yōu)化的算法，保證了地址轉(zhuǎn)換特性的優(yōu)異性能。在啟用NAT的時(shí)候，性能下降的非常少，這樣就保證了在通過(guò)華為統(tǒng)一安全網(wǎng)關(guān)提供NAT業(yè)務(wù)的時(shí)候不會(huì)成為網(wǎng)絡(luò)的瓶頸。靈活的地址轉(zhuǎn)換管理華為統(tǒng)一安全網(wǎng)關(guān)提供了基于安全區(qū)域的管理功能，利用“安全區(qū)域”的概念把統(tǒng)一安全網(wǎng)關(guān)管理的網(wǎng)絡(luò)按照功能區(qū)域、安全要求等因素從邏輯上劃分為幾個(gè)邏輯子網(wǎng)，每個(gè)邏輯子網(wǎng)稱為一個(gè)“安全區(qū)域”。默認(rèn)情況，統(tǒng)一安全網(wǎng)關(guān)提供了4個(gè)默認(rèn)的安全區(qū)域：trust、untrust、DMZ、local，一般情況下，untrust區(qū)域是連接Internet的，trust區(qū)域是連接內(nèi)部局域網(wǎng)的，DMZ區(qū)域是連接一些內(nèi)部服務(wù)器的，例如放置郵件服務(wù)器、FTP服務(wù)器等。統(tǒng)一安全網(wǎng)關(guān)的地址轉(zhuǎn)換功能是按照安全區(qū)域之間的訪問(wèn)進(jìn)行配置的，這樣就可以非常方便的進(jìn)行網(wǎng)絡(luò)管理。例如，對(duì)于內(nèi)部服務(wù)器的網(wǎng)絡(luò)如果有足夠的IP地址，可以直接使用公網(wǎng)IP地址，在DMZ->untrust區(qū)域間不使用地址轉(zhuǎn)換，而內(nèi)部局域網(wǎng)使用私網(wǎng)地址，在trust->untrust區(qū)域間使用地址轉(zhuǎn)換。同時(shí)地址轉(zhuǎn)換可以和ACL配合使用，利用ACL來(lái)控制地址轉(zhuǎn)換的范圍，因此即使在同一個(gè)網(wǎng)絡(luò)區(qū)域，有公網(wǎng)、私網(wǎng)混合組網(wǎng)的情況，統(tǒng)一安全網(wǎng)關(guān)依然可以方便的設(shè)定地址轉(zhuǎn)換的規(guī)則。強(qiáng)大的內(nèi)部服務(wù)器支持內(nèi)部服務(wù)器就是可以使得外部網(wǎng)絡(luò)的用戶可以訪問(wèn)到內(nèi)部網(wǎng)絡(luò)，比如可以對(duì)外提供Web服務(wù)器。很多統(tǒng)一安全網(wǎng)關(guān)實(shí)現(xiàn)內(nèi)部服務(wù)器的時(shí)候是提供一個(gè)“靜態(tài)映射”，將一個(gè)私有地址和一個(gè)公有地址綁定，這個(gè)方式的最大弱點(diǎn)就是浪費(fèi)合法的IP地址。華為統(tǒng)一安全網(wǎng)關(guān)的地址轉(zhuǎn)換功能可以對(duì)內(nèi)部服務(wù)器的支持到達(dá)端口級(jí)。允許用戶按照自己的需要配置內(nèi)部服務(wù)器的端口、協(xié)議、提供給外部的端口、協(xié)議。對(duì)于上面的例子使用的地址轉(zhuǎn)換，不僅可以保證做為WEB服務(wù)器的地址，同時(shí)可以做為FTP服務(wù)器的地址，同時(shí)可以使用:8080提供第二臺(tái)WEB服務(wù)器，還可以滿足內(nèi)部用戶同時(shí)使用的地址進(jìn)行訪問(wèn)Internet。華為統(tǒng)一安全網(wǎng)關(guān)提供了基于端口的內(nèi)部服務(wù)器映射，可以使用端口來(lái)提供服務(wù)，同時(shí)也可以提供地址的一對(duì)一映射。同時(shí)，每臺(tái)統(tǒng)一安全網(wǎng)關(guān)可以提供多達(dá)256個(gè)內(nèi)部服務(wù)器映射，而且不會(huì)影響訪問(wèn)的效率。強(qiáng)大的業(yè)務(wù)支撐地址轉(zhuǎn)換比較難處理的情況是報(bào)文載荷中含有地址信息的情況，這種情況的代表協(xié)議是FTP。華為統(tǒng)一安全網(wǎng)關(guān)的地址轉(zhuǎn)換現(xiàn)在已經(jīng)非常完善的支持了ICMP重定向、不可達(dá)、FTP（支持被動(dòng)主動(dòng)兩種模式）、H323、NetMeeting、PPTP、L2tp、DNS、NetBIOS、SIP、QQ、MSN等特殊協(xié)議。依靠現(xiàn)在支持的各種業(yè)務(wù)，統(tǒng)一安全網(wǎng)關(guān)已經(jīng)可以提供非常好的業(yè)務(wù)支撐，可以滿足絕大部分的Internet業(yè)務(wù)，使得地址轉(zhuǎn)換不會(huì)成為網(wǎng)絡(luò)業(yè)務(wù)的瓶頸。為了更好的適應(yīng)網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展，華為統(tǒng)一安全網(wǎng)關(guān)還提供了一種“用戶自定義”的ALG功能，對(duì)于某些特殊業(yè)務(wù)應(yīng)用，通過(guò)命令行進(jìn)行配置就可以支持這種業(yè)務(wù)的ALG，通過(guò)這樣的方式更可以保證華為統(tǒng)一安全網(wǎng)關(guān)對(duì)業(yè)務(wù)的支撐，達(dá)到快速響應(yīng)的效果。另外華為統(tǒng)一安全網(wǎng)關(guān)在結(jié)構(gòu)上面，充分考慮了地址轉(zhuǎn)換需要支持特殊協(xié)議的問(wèn)題。從結(jié)構(gòu)上保證可以非?？焖俚闹С指鞣N特殊協(xié)議，并且對(duì)報(bào)文加密的情況也做了考慮。因此在應(yīng)用程序網(wǎng)關(guān)方面，統(tǒng)一安全網(wǎng)關(guān)在程序設(shè)計(jì)、結(jié)構(gòu)方面做了很大的努力和考慮，在針對(duì)新出現(xiàn)的各種特殊協(xié)議的開(kāi)發(fā)方面上，華為統(tǒng)一安全網(wǎng)關(guān)可以保證會(huì)比其他設(shè)備提供更快、更好的反應(yīng)，可以快速的響應(yīng)支持用戶的需求，支持多變的網(wǎng)絡(luò)業(yè)務(wù)。無(wú)數(shù)目限制的PAT方式轉(zhuǎn)換華為統(tǒng)一安全網(wǎng)關(guān)可以提供PAT（PortAddressTranslation）方式的地址轉(zhuǎn)換，PAT方式的地址轉(zhuǎn)換使用了TCP/UDP的端口信息，這樣在進(jìn)行地址轉(zhuǎn)換的時(shí)候使用的是“地址＋端口”來(lái)區(qū)分內(nèi)部局域網(wǎng)的主機(jī)對(duì)外發(fā)起的不同連接。這樣使用PAT方式的地址轉(zhuǎn)換技術(shù)，內(nèi)部局域網(wǎng)的很多用戶可以共享一個(gè)IP地址上網(wǎng)了。因?yàn)門CP/UDP的端口范圍是1~65535，一般1～1024端口范圍是系統(tǒng)保留端口，因此從理論上計(jì)算，通過(guò)PAT方式的地址轉(zhuǎn)換一個(gè)合法的IP地址可以提供大約60000個(gè)并發(fā)連接。但是華為統(tǒng)一安全網(wǎng)關(guān)采用專利技術(shù)提供了一種“無(wú)限制端口”連接的算法，可以保證使用一個(gè)公網(wǎng)IP地址可以提供無(wú)限個(gè)并發(fā)連接，通過(guò)這種技術(shù)就突破了PAT方式上網(wǎng)的65535個(gè)端口的限制，更大的滿足了地址轉(zhuǎn)換方式的實(shí)際使用，更加節(jié)省了公網(wǎng)的IP地址。（3）安全策略控制靈活的規(guī)則設(shè)定華為統(tǒng)一安全網(wǎng)關(guān)可以支持靈活的規(guī)則設(shè)定，可以根據(jù)報(bào)文的特點(diǎn)方便的設(shè)定各種規(guī)則?？梢砸罁?jù)報(bào)文的協(xié)議號(hào)設(shè)定規(guī)則可以依據(jù)報(bào)文的源地址、目的地址設(shè)定規(guī)則可以使用通配符設(shè)定地址的范圍，用來(lái)指定某個(gè)地址段的主機(jī)針對(duì)UDP和TCP還可以指定源端口、目的端口針對(duì)目的端口、源端口可以采用大于、等于、介入、不等于等方式設(shè)定端口的范圍針對(duì)ICMP協(xié)議，可以自由的指定ICMP報(bào)文的類型和Code號(hào)，可以通過(guò)規(guī)則針對(duì)任何一種ICMP報(bào)文可以針對(duì)IP報(bào)文中的TOS域設(shè)定靈活的規(guī)則可以將多個(gè)報(bào)文的地址形成一個(gè)組，作為地址本，在定義規(guī)則時(shí)可以按組來(lái)設(shè)定規(guī)則，這樣規(guī)則的配置靈活方便高速策略匹配通常，防火墻的安全策略都是由很多規(guī)則構(gòu)成的，因此在進(jìn)行策略匹配的時(shí)候會(huì)影響防火墻的轉(zhuǎn)發(fā)效率。華為統(tǒng)一安全網(wǎng)關(guān)采用了ACL匹配的專門算法，這樣就保證了在很多規(guī)則的情況下，統(tǒng)一安全網(wǎng)關(guān)依然可以保持高效的轉(zhuǎn)發(fā)效率，系統(tǒng)在進(jìn)行上萬(wàn)條ACL規(guī)則的查找時(shí)，性能基本不受影響，處理速度保持不變，從而確保了ACL查找的高速度，提高了系統(tǒng)整體性能。MAC地址和IP地址綁定華為統(tǒng)一安全網(wǎng)關(guān)根據(jù)用戶配置，將MAC和IP地址進(jìn)行綁定從而形成關(guān)聯(lián)關(guān)系。對(duì)于從該IP地址發(fā)來(lái)的報(bào)文，如果MAC地址不匹配則被丟棄；對(duì)于發(fā)往該IP地址的報(bào)文都被強(qiáng)制發(fā)送到指定的MAC地址處，從而有效避免IP地址假冒的攻擊行為。動(dòng)態(tài)策略管理－黑名單技術(shù)華為統(tǒng)一安全網(wǎng)關(guān)可以將某些可疑報(bào)文的源IP地址記錄在黑名單列表中，系統(tǒng)通過(guò)丟棄黑名單用戶的所有報(bào)文，從而有效避免某些惡意主機(jī)的攻擊行為。統(tǒng)一安全網(wǎng)關(guān)提供如下幾種黑名單列表維護(hù)方式：手工添加黑名單記錄，實(shí)現(xiàn)主動(dòng)防御與攻擊防范結(jié)合自動(dòng)添加黑名單記錄，起到智能保護(hù)可以根據(jù)具體情況設(shè)定"白名單"，使得即使存在黑名單中的主機(jī)，依然可以使用部分的網(wǎng)絡(luò)資源。例如，即使某臺(tái)主機(jī)被加入到了黑名單，但是依然可以允許這個(gè)用戶上網(wǎng)。黑名單技術(shù)是一種動(dòng)態(tài)策略技術(shù)，屬于響應(yīng)體系。統(tǒng)一安全網(wǎng)關(guān)在動(dòng)態(tài)運(yùn)行的過(guò)程中，會(huì)發(fā)現(xiàn)一些攻擊行為，通過(guò)黑名單動(dòng)態(tài)響應(yīng)系統(tǒng)，可以抑制這些非法用戶的部分流量，起到保護(hù)整個(gè)系統(tǒng)的作用。（4）攻擊防范功能優(yōu)秀的Dos防御能力的必要條件Internet上的DOS攻擊已經(jīng)成為很常見(jiàn)的攻擊行為，Dos（Denyofservice）是一類攻擊方式的統(tǒng)稱，其攻擊的基本原理就是通過(guò)發(fā)送各種垃圾報(bào)文導(dǎo)致網(wǎng)絡(luò)的阻塞、服務(wù)的癱瘓。Dos攻擊方式其利用IP無(wú)連接的特點(diǎn)，可以制造各種不同的攻擊手段，而且攻擊方式非常簡(jiǎn)單，普通到一臺(tái)PC、一個(gè)發(fā)包工具就可以制造Dos攻擊，因此Dos攻擊方式在Internet上非常流行，對(duì)企業(yè)網(wǎng)、甚至骨干網(wǎng)都造成了非常嚴(yán)重的影響，引發(fā)很大的網(wǎng)絡(luò)事故，因此優(yōu)秀的Dos攻擊防范功能是統(tǒng)一安全網(wǎng)關(guān)的必備功能。一個(gè)優(yōu)秀的Dos攻擊防御體系，應(yīng)該具有如下最基本的特征：防御手段的健全和豐富，因?yàn)镈os攻擊手段種類比較多，因此必須具有豐富的防御手段，才可以保證真正的抵御Dos攻擊。優(yōu)秀的處理性能，因?yàn)镈os攻擊伴隨這一個(gè)重要特征就是網(wǎng)絡(luò)流量突然增大，如果防火墻本身不具有優(yōu)秀的處理能力，則防火墻在處理Dos攻擊的同時(shí)本身就成為了網(wǎng)絡(luò)的瓶頸，根本就不可能抵御Dos攻擊。因?yàn)镈os攻擊的一個(gè)重要目的就是使得網(wǎng)絡(luò)癱瘓，網(wǎng)絡(luò)上的關(guān)鍵設(shè)備點(diǎn)發(fā)生了阻塞，則Dos攻擊的目的就達(dá)到了。這里同時(shí)需要提醒大家注意的是，防火墻設(shè)備不但要考察轉(zhuǎn)發(fā)性能，同時(shí)一定要考察對(duì)業(yè)務(wù)的處理能力。在進(jìn)行Dos攻擊防御的過(guò)程中，防火墻的每秒新建能力就成為保證網(wǎng)絡(luò)通暢的一個(gè)重要指標(biāo)，Dos攻擊的過(guò)程中，攻擊者都是在隨機(jī)變化源地址因此所有的連接都是新建連接。準(zhǔn)確的識(shí)別攻擊能力。很多防火墻在處理Dos攻擊的時(shí)候，僅僅能保證防火墻后端的流量趨于網(wǎng)絡(luò)可以接受的范圍，但是不能保證準(zhǔn)確的識(shí)別攻擊報(bào)文。這樣處理雖然可以保證網(wǎng)絡(luò)流量的正常，可以保證服務(wù)器不會(huì)癱瘓，但是這樣處理還是會(huì)阻擋正常用戶上網(wǎng)、訪問(wèn)等的報(bào)文，因此雖然網(wǎng)絡(luò)層面是正常的，但是真正的服務(wù)還是被拒絕了，因此還是不能達(dá)到真正的Dos攻擊防御的目的。華為統(tǒng)一安全網(wǎng)關(guān)產(chǎn)品，對(duì)上述各個(gè)方面都做了詳盡的考慮，因此Dos防御的綜合性能、功能等方面在同類防火墻產(chǎn)品中都具有很強(qiáng)的優(yōu)勢(shì)。豐富的Dos防御手段華為統(tǒng)一安全網(wǎng)關(guān)產(chǎn)品根據(jù)數(shù)據(jù)報(bào)文的特征，以及Dos攻擊的不同手段，可以針對(duì)ICMPFlood、SYNFlood、UDPFlood等各種Dos攻擊手段進(jìn)行Dos攻擊的防御。同時(shí)，華為統(tǒng)一安全網(wǎng)關(guān)可以主動(dòng)識(shí)別出數(shù)十種常見(jiàn)的攻擊種類，很多種攻擊種類造成的后果就是Dos形式的攻擊，華為統(tǒng)一安全網(wǎng)關(guān)可以主動(dòng)發(fā)現(xiàn)并隔斷這些非法攻擊，消除了內(nèi)部網(wǎng)絡(luò)遭受攻擊的可能。通過(guò)對(duì)各種攻擊的防御手段，利用華為統(tǒng)一安全網(wǎng)關(guān)可以組建一個(gè)安全的防御體系，保證網(wǎng)絡(luò)不遭受Dos攻擊的侵害。針對(duì)不同的攻擊特點(diǎn)，華為統(tǒng)一安全網(wǎng)關(guān)采用了一些不同的防御技術(shù)，這樣保證在抵御Dos攻擊的時(shí)候更有針對(duì)性，使得設(shè)備的抵御特性更加完整。華為統(tǒng)一安全網(wǎng)關(guān)不但在攻擊手段上面進(jìn)行了詳細(xì)考慮，同時(shí)也在使用方式和網(wǎng)絡(luò)適應(yīng)性方面做了周全的考慮，攻擊防范既可以針對(duì)一臺(tái)特定的主機(jī)也可以針對(duì)一個(gè)安全區(qū)域的所有主機(jī)進(jìn)行保護(hù)。高級(jí)的TCP代理防御體系華為統(tǒng)一安全網(wǎng)關(guān)支持使用TCP代理方式來(lái)防止SYNFlood類的Dos攻擊，這種攻擊可以很快的消耗服務(wù)器資源，導(dǎo)致服務(wù)器崩潰。在一般的Dos防范技術(shù)中，在攻擊發(fā)生的時(shí)候不能準(zhǔn)確的識(shí)別哪些是合法用戶，哪些是攻擊報(bào)文。華為統(tǒng)一安全網(wǎng)關(guān)采用了TCP透明代理的方式實(shí)現(xiàn)了對(duì)這種攻擊的防范，統(tǒng)一安全網(wǎng)關(guān)通過(guò)精確的驗(yàn)證可以準(zhǔn)確的發(fā)現(xiàn)攻擊報(bào)文，對(duì)正常報(bào)文依然可以通過(guò)，允許這些報(bào)文訪問(wèn)統(tǒng)一安全網(wǎng)關(guān)資源，而攻擊報(bào)文則被丟棄。有些攻擊是建立一個(gè)完整的TCP連接用來(lái)消耗服務(wù)器的資源。華為統(tǒng)一安全網(wǎng)關(guān)可以實(shí)現(xiàn)增強(qiáng)代理的功能，在客戶端與統(tǒng)一安全網(wǎng)關(guān)建立連接以后察看客戶是否有數(shù)據(jù)報(bào)文發(fā)送，如果有數(shù)據(jù)報(bào)文發(fā)送，再與服務(wù)器端建立連接否則丟棄客戶端的報(bào)文。這樣可以保證即使采用完成TCP三次握手的方式消耗服務(wù)器資源，也可以被統(tǒng)一安全網(wǎng)關(guān)發(fā)現(xiàn)。掃描攻擊防范掃描窺探攻擊是利用ping掃描（包括ICMP和TCP）來(lái)標(biāo)識(shí)網(wǎng)絡(luò)上存活著的系統(tǒng)，從而準(zhǔn)確的定位潛在的目標(biāo)；利用TCP和UDP端口掃描，就能檢測(cè)出操作系統(tǒng)的潛在服務(wù)。攻擊者通過(guò)掃描窺探能大致了解目標(biāo)系統(tǒng)提供的服務(wù)種類和潛在的安全漏洞，為進(jìn)一步侵入系統(tǒng)做好準(zhǔn)備。華為統(tǒng)一安全網(wǎng)關(guān)通過(guò)比較分析，可以靈活高效地檢測(cè)出這類掃描窺探報(bào)文，從而預(yù)先避免后續(xù)的攻擊行為。這些掃描窺探包括：地址掃描、端口掃描、IP源站選路選項(xiàng)、IP路由記錄選項(xiàng)、利用tracert工具窺探網(wǎng)絡(luò)結(jié)構(gòu)等。畸形報(bào)文防范華為統(tǒng)一安全網(wǎng)關(guān)可以提供針對(duì)各種畸形報(bào)文的防范，主要包括Land攻擊、Smurf攻擊、Fraggle攻擊、WinNuke攻擊、ICMP重定向或不可達(dá)報(bào)文、TCP報(bào)文標(biāo)志位（如ACK、SYN、FIN等）不合法、PingofDeath攻擊、TearDrop攻擊等，可以自動(dòng)的檢測(cè)出這些攻擊報(bào)文。（5）ASPF深度檢測(cè)功能華為統(tǒng)一安全網(wǎng)關(guān)提供了ASPF技術(shù)，ASPF是一種高級(jí)通信過(guò)濾技術(shù)，它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。華為統(tǒng)一安全網(wǎng)關(guān)依靠這種基于報(bào)文內(nèi)容的訪問(wèn)控制，能夠?qū)?yīng)用層的一部分攻擊加以檢測(cè)和防范，包括對(duì)于FTP命令字、SMTP命令的檢測(cè)、HTTP的Java、ActiveX控件等的檢測(cè)。ASPF技術(shù)是在基于會(huì)話管理的技術(shù)基礎(chǔ)上提供深層檢測(cè)技術(shù)的，ASPF技術(shù)利用會(huì)話管理維護(hù)的信息來(lái)維護(hù)會(huì)話的訪問(wèn)規(guī)則，通過(guò)ASPF技術(shù)在會(huì)話管理中保存著不能由靜態(tài)訪問(wèn)列表規(guī)則保存的會(huì)話狀態(tài)信息。會(huì)話狀態(tài)信息可以用于智能的允許/禁止報(bào)文。當(dāng)一個(gè)會(huì)話終止時(shí)，會(huì)話管理會(huì)將該會(huì)話的相關(guān)信息刪除，統(tǒng)一安全網(wǎng)關(guān)中的會(huì)話也將被關(guān)閉。針對(duì)TCP連接，ASPF可以智能的檢測(cè)“TCP的三次握手的信息”和“拆除連接的握手信息”，通過(guò)檢測(cè)握手、拆連接的狀態(tài)檢測(cè)，保證一個(gè)正常的TCP訪問(wèn)可以正常進(jìn)行，而對(duì)于非完整的TCP握手連接的報(bào)文會(huì)直接拒絕。在普通的場(chǎng)合，一般使用的是基于ACL的IP包過(guò)濾技術(shù)，這種技術(shù)比較簡(jiǎn)單，但缺乏一定的靈活性，在很多復(fù)雜應(yīng)用的場(chǎng)合普通包過(guò)濾是無(wú)法完成對(duì)網(wǎng)絡(luò)的安全保護(hù)的。例如對(duì)于類似于應(yīng)用FTP協(xié)議進(jìn)行通信的多通道協(xié)議來(lái)說(shuō)，配置統(tǒng)一安全網(wǎng)關(guān)則是非常困難的。FTP包含一個(gè)預(yù)知端口的TCP控制通道和一個(gè)動(dòng)態(tài)協(xié)商的TCP數(shù)據(jù)通道，對(duì)于一般的包過(guò)濾防火墻來(lái)說(shuō)，配置安全策略時(shí)無(wú)法預(yù)知數(shù)據(jù)通道的端口號(hào)，因此無(wú)法確定數(shù)據(jù)通道的入口。這樣就無(wú)法配置準(zhǔn)確的安全策略。ASPF技術(shù)則解決了這一問(wèn)題，它檢測(cè)IP層之上的應(yīng)用層報(bào)文信息，并動(dòng)態(tài)地根據(jù)報(bào)文的內(nèi)容創(chuàng)建和刪除臨時(shí)的規(guī)則，以允許相關(guān)的報(bào)文通過(guò)。ASPF使得統(tǒng)一安全網(wǎng)關(guān)能夠支持一個(gè)控制通道上存在多個(gè)數(shù)據(jù)連接的協(xié)議，同時(shí)還可以在應(yīng)用非常復(fù)雜的情況下方便的制訂各種安全的策略。許多應(yīng)用協(xié)議，如Telnet、SMTP使用標(biāo)準(zhǔn)的或已約定的端口地址來(lái)進(jìn)行通信，但大部分多媒體應(yīng)用協(xié)議（如H.323、SIP）及FTP、netmeeting等協(xié)議使用約定的端口來(lái)初始化一個(gè)控制連接，再動(dòng)態(tài)的選擇端口用于數(shù)據(jù)傳輸。端口的選擇是不可預(yù)測(cè)的，其中的某些應(yīng)用甚至可能要同時(shí)用到多個(gè)端口。ASPF每一個(gè)應(yīng)用的每一個(gè)連接所使用的端口，打開(kāi)合適的通道讓會(huì)話中的數(shù)據(jù)能夠出入統(tǒng)一安全網(wǎng)關(guān)，在會(huì)話結(jié)束時(shí)關(guān)閉該通道，從而能夠?qū)κ褂脛?dòng)態(tài)端口的應(yīng)用實(shí)施有效的訪問(wèn)控制。當(dāng)報(bào)文通過(guò)統(tǒng)一安全網(wǎng)關(guān)時(shí)，ASPF將對(duì)報(bào)文與指定的訪問(wèn)規(guī)則進(jìn)行比較，如果規(guī)則允許，報(bào)文將接受檢查，否則報(bào)文直接被丟棄。如果該報(bào)文是用于打開(kāi)一個(gè)新的控制或數(shù)據(jù)連接，ASPF將動(dòng)態(tài)的修改規(guī)則，對(duì)于回來(lái)的報(bào)文只有屬于一個(gè)已經(jīng)存在對(duì)應(yīng)的有效規(guī)則，才會(huì)被允許通過(guò)。在處理回來(lái)的報(bào)文時(shí)，狀態(tài)表也會(huì)隨時(shí)更新。當(dāng)一個(gè)連接被關(guān)閉或超時(shí)后，該連接對(duì)應(yīng)的狀態(tài)表將被刪除，確保未經(jīng)授權(quán)的報(bào)文不能隨便通過(guò)。內(nèi)容安全防護(hù)功能（1）一體化檢測(cè)機(jī)制USG一體化檢測(cè)機(jī)制不僅提供了強(qiáng)大的內(nèi)容安全功能，還使得即使在內(nèi)容安全功能全開(kāi)的情況下，也可以保持較高性能功能。一體化檢測(cè)機(jī)制是指設(shè)備僅對(duì)報(bào)文進(jìn)行一次檢測(cè)，就可以獲取到后續(xù)所有內(nèi)容安全功能所需的數(shù)據(jù)，從而大幅提升設(shè)備處理。（2）反病毒功能反病毒功能可以對(duì)網(wǎng)絡(luò)中傳輸?shù)奈募M(jìn)行掃描，識(shí)別出其中攜帶的病毒，并且予以記錄或清除。病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。病毒通常被攜帶在文件中，通過(guò)網(wǎng)頁(yè)、郵件、文件傳輸協(xié)議進(jìn)行傳播。內(nèi)網(wǎng)主機(jī)一旦感染病毒，就可能導(dǎo)致系統(tǒng)癱瘓、服務(wù)中止、數(shù)據(jù)泄露，令企業(yè)蒙受巨大損失。下一代USG防火墻提供的反病毒功能對(duì)最容易傳播病毒的文件傳輸與共享協(xié)議以及郵件協(xié)議進(jìn)行檢測(cè)和掃描，可以防范多種躲避病毒檢測(cè)的機(jī)制，實(shí)現(xiàn)針對(duì)病毒的強(qiáng)大防護(hù)能力。支持豐富的應(yīng)用層協(xié)議和應(yīng)用程序支持對(duì)HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB傳輸?shù)奈募M(jìn)行病毒檢測(cè)。支持對(duì)部分常見(jiàn)的基于HTTP協(xié)議的應(yīng)用程序設(shè)置例外動(dòng)作。支持對(duì)壓縮文件進(jìn)行病毒掃描支持對(duì)zip、gzip壓縮文件進(jìn)行解壓，然后再進(jìn)行病毒掃描。支持海量的病毒特征庫(kù)下一代USG系列防火墻自帶的病毒特征庫(kù)支持檢測(cè)3000多個(gè)主流的病毒家族，可以覆蓋100萬(wàn)種常見(jiàn)的流行病毒，海量的病毒特征庫(kù)使得下一代USG系列防火墻擁有強(qiáng)大的病毒檢測(cè)能力。同時(shí)華為通過(guò)專業(yè)的病毒分析團(tuán)隊(duì)，實(shí)時(shí)跟蹤最新出現(xiàn)的病毒類型，并對(duì)其進(jìn)行分析，在第一時(shí)間更新病毒特征庫(kù)供網(wǎng)絡(luò)管理員下載使用，使得下一代USG系列防火墻始終擁有最新最強(qiáng)大的病毒識(shí)別能力。支持針對(duì)不同流量配置不同的防護(hù)措施，支持添加應(yīng)用例外和病毒例外定制病毒防護(hù)策略通過(guò)安全策略，網(wǎng)絡(luò)管理員可以針對(duì)不同流量制定細(xì)粒度的防護(hù)策略，對(duì)不同的網(wǎng)絡(luò)環(huán)境采取不同級(jí)別的保護(hù)。同時(shí)，通過(guò)對(duì)部分常見(jiàn)的基于HTTP協(xié)議的應(yīng)用程序設(shè)置額外的防護(hù)動(dòng)作，或者根據(jù)日志將部分誤報(bào)的病毒類型添加到病毒例外中，可以對(duì)反病毒策略進(jìn)行靈活的調(diào)整，以保證業(yè)務(wù)的正常傳輸。（3）入侵防御功能入侵防御功能主要可以防護(hù)應(yīng)用層的攻擊或入侵，例如緩沖區(qū)溢出攻擊、木馬、后門攻擊、蠕蟲(chóng)等。華為下一代USG系列防火墻的入侵防御功能可以通過(guò)監(jiān)控或者分析系統(tǒng)事件，檢測(cè)應(yīng)用層攻擊和入侵，并通過(guò)一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為。支持多種部署方式，支持針對(duì)不同流量配置不同的防護(hù)措施華為下一代USG系列防火墻支持直路部署和旁路部署兩種部署模式。在直路部署時(shí)可以作為IPS設(shè)備工作，實(shí)時(shí)檢測(cè)威脅事件的發(fā)生并及時(shí)中止其流量傳輸，保護(hù)內(nèi)部網(wǎng)絡(luò)；在旁路部署時(shí)可以作為IDS設(shè)備工作，檢測(cè)并記錄網(wǎng)絡(luò)中發(fā)生的可疑事件，及時(shí)通知網(wǎng)絡(luò)管理員采取行動(dòng)，或者幫助管理員進(jìn)行事后檢查，同時(shí)又不影響流量的正常傳輸。通過(guò)安全策略，網(wǎng)絡(luò)管理員可以針對(duì)不同流量制定細(xì)粒度的防護(hù)策略，對(duì)不同的網(wǎng)絡(luò)環(huán)境采取不同級(jí)別的保護(hù)。支持對(duì)應(yīng)用層報(bào)文進(jìn)行深度解析通過(guò)強(qiáng)大的報(bào)文深度識(shí)別功能，以及不斷更新的應(yīng)用特征庫(kù)，華為下一代USG系列防火墻可以對(duì)數(shù)千種常見(jiàn)的應(yīng)用程序進(jìn)行報(bào)文深度解析，并檢測(cè)出其中攜帶的攻擊和入侵流量。根據(jù)基于應(yīng)用的安全策略，可以對(duì)不同的應(yīng)用程序作出不同的響應(yīng)工作，方便管理員靈活部署入侵防御功能。支持進(jìn)行報(bào)文分片重組和TCP流重組之后再進(jìn)行威脅檢測(cè)支持網(wǎng)絡(luò)攻擊利用IP報(bào)文分片和TCP流亂序重組等技術(shù)躲避威脅檢測(cè)的行為，華為下一代USG系列防火墻支持將IP分片報(bào)文重組還原為原始報(bào)文后再進(jìn)行檢測(cè)，還支持對(duì)TCP流進(jìn)行重組，按照流序號(hào)還原為正序流后再進(jìn)行檢測(cè)。支持海量的簽名庫(kù)，支持自定義簽名IPS設(shè)備通常使用簽名來(lái)識(shí)別攻擊流量的特征，簽名庫(kù)的容量就代表了設(shè)備識(shí)別應(yīng)用層威脅的能力。然而新型的攻擊層出不窮，威脅日新月異，所以華為通過(guò)專業(yè)的簽名開(kāi)發(fā)團(tuán)隊(duì)密切跟蹤全球知名安全組織和軟件廠商發(fā)布的安全公告，對(duì)這些威脅進(jìn)行分析和驗(yàn)證，生成保護(hù)各種軟件系統(tǒng)（操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫(kù)）漏洞的簽名庫(kù)。此外，通過(guò)遍布全球的蜜網(wǎng)（通過(guò)誘使黑客進(jìn)行攻擊捕捉攻擊行為特征的站點(diǎn)），實(shí)時(shí)捕獲最新的攻擊、蠕蟲(chóng)病毒、木馬，提取威脅的特征，發(fā)現(xiàn)威脅的趨勢(shì)。在此基礎(chǔ)上，當(dāng)新的漏洞被發(fā)現(xiàn)時(shí)，華為能夠在最短時(shí)間內(nèi)發(fā)布最新的簽名，及時(shí)升級(jí)檢測(cè)引擎和簽名庫(kù)，來(lái)防御針對(duì)該漏洞的已知的和未知的攻擊，真正實(shí)現(xiàn)零日防御。華為下一代USG系列防火墻自帶的簽名庫(kù)可以識(shí)別出數(shù)千種應(yīng)用層攻擊行為。通過(guò)簽名庫(kù)的不斷升級(jí)，還可以持續(xù)獲取最新的識(shí)別和防護(hù)能力。網(wǎng)絡(luò)管理員還可以根據(jù)自己掌握的流量信息自行定義簽名，使得華為下一代USG系列防火墻的入侵防御功能更加完善。超低的簽名誤報(bào)率誤報(bào)率是衡量簽名庫(kù)質(zhì)量的重要標(biāo)準(zhǔn)，代表著簽名的準(zhǔn)確率。出現(xiàn)誤報(bào)有可能會(huì)影響網(wǎng)絡(luò)正常業(yè)務(wù)，同時(shí)會(huì)產(chǎn)生大量的攻擊事件，管理員需要在海量日志數(shù)據(jù)中尋找真正有價(jià)值的攻擊內(nèi)容。誤報(bào)的原因一般是簽名不夠精確，或者檢測(cè)機(jī)制不夠完善。華為擁有眾多安全研究人員，具有豐富數(shù)據(jù)來(lái)源，從而可以分析更多的樣本，簽名編寫完成后經(jīng)過(guò)了完備的誤報(bào)測(cè)試，所以發(fā)布的簽名幾乎是零誤報(bào)率。得益于簽名的超低誤報(bào)，華為下一代USG系列防火墻默認(rèn)開(kāi)啟阻截的簽名的比率非常高，在不影響用戶正常業(yè)務(wù)的情況下，可以最大程度地化解威脅。這樣，管理員就無(wú)需對(duì)照冗長(zhǎng)的日志來(lái)查看是否有誤報(bào)，以及是否需要關(guān)閉一些簽名。（4）數(shù)據(jù)泄露防護(hù)數(shù)據(jù)泄密防護(hù)（DateLeakagePrevention，DLP）是通過(guò)一定的技術(shù)手段，防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。數(shù)據(jù)泄露防護(hù)的主要目的是保護(hù)企業(yè)或個(gè)人的重要數(shù)據(jù)。由于竊取數(shù)據(jù)的手段眾多，所以實(shí)現(xiàn)數(shù)據(jù)泄露防護(hù)需要一組技術(shù)來(lái)實(shí)現(xiàn)。華為下一代USG系列防火墻提供的數(shù)據(jù)泄露防護(hù)技術(shù)主要防止的是數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中發(fā)生泄露，例如：通過(guò)網(wǎng)絡(luò)通信工具將機(jī)密數(shù)據(jù)從企業(yè)內(nèi)部網(wǎng)絡(luò)傳輸?shù)酵獠烤W(wǎng)絡(luò)。大部分的數(shù)據(jù)泄露都是由企業(yè)內(nèi)部員工有意或無(wú)意造成的。外部網(wǎng)絡(luò)的黑客通過(guò)入侵技術(shù)進(jìn)入企業(yè)內(nèi)網(wǎng)主機(jī)，獲取控制權(quán)限并獲取機(jī)密數(shù)據(jù)，甚至長(zhǎng)期監(jiān)控內(nèi)網(wǎng)主機(jī)運(yùn)行的情況。由于內(nèi)網(wǎng)主機(jī)無(wú)意中感染木馬或其他間諜病毒，機(jī)密數(shù)據(jù)被病毒自動(dòng)搜尋并發(fā)送至外部網(wǎng)絡(luò)。在內(nèi)網(wǎng)主機(jī)與外網(wǎng)主機(jī)進(jìn)行必要通信的過(guò)程中，由于黑客進(jìn)行了截取導(dǎo)致機(jī)密數(shù)據(jù)泄露。為了解決以上問(wèn)題，根據(jù)數(shù)據(jù)泄露的途徑，華為下一代USG系列防火墻分別提供了不同的技術(shù)應(yīng)對(duì)：表1數(shù)據(jù)泄露防護(hù)技術(shù)泄露途徑技術(shù)說(shuō)明通過(guò)HTTP、FTP等文件傳輸協(xié)議，或者即時(shí)通信軟件等應(yīng)用程序以文本或文件的方式泄露應(yīng)用識(shí)別、文件過(guò)濾、數(shù)據(jù)過(guò)濾基于強(qiáng)大的應(yīng)用識(shí)別能力，華為下一代USG系列防火墻可以對(duì)具有網(wǎng)絡(luò)通信功能的應(yīng)用程序以及傳輸協(xié)議進(jìn)行報(bào)文的深度解析，識(shí)別其中包含的文件和信息。數(shù)據(jù)過(guò)濾根據(jù)文本或文件中出現(xiàn)的關(guān)鍵詞，文件過(guò)濾根據(jù)文件的類型等信息分別對(duì)流量進(jìn)行過(guò)濾。通過(guò)電子郵件程序以文本或附件的方式泄露郵件過(guò)濾、文件過(guò)濾、數(shù)據(jù)過(guò)濾郵件過(guò)濾根據(jù)郵件的收發(fā)件人地址、附件大小、附件個(gè)數(shù)等信息對(duì)郵件進(jìn)行過(guò)濾。文件過(guò)濾根據(jù)郵件附件的文件類型信息對(duì)郵件進(jìn)行過(guò)濾。數(shù)據(jù)過(guò)濾根據(jù)郵件的收發(fā)件人地址、主題、正文、附件文件名中出現(xiàn)的關(guān)鍵字對(duì)郵件進(jìn)行過(guò)濾。外網(wǎng)中的黑客通過(guò)入侵內(nèi)網(wǎng)方式竊取數(shù)據(jù)入侵防御對(duì)網(wǎng)絡(luò)攻擊、應(yīng)用層攻擊以及入侵行為的監(jiān)控，及時(shí)阻斷外網(wǎng)隊(duì)內(nèi)網(wǎng)的滲透和數(shù)據(jù)竊取。內(nèi)網(wǎng)主機(jī)因?yàn)楦腥静《緹o(wú)意中泄露反病毒對(duì)木馬及其他間諜病毒的掃描與識(shí)別，避免內(nèi)網(wǎng)感染具有類似功能的病毒，防止危害在內(nèi)網(wǎng)泛濫。在內(nèi)網(wǎng)與外網(wǎng)的正常通信過(guò)程中，數(shù)據(jù)被黑客竊取VPN針對(duì)內(nèi)網(wǎng)主機(jī)與外網(wǎng)主機(jī)的通信，或者兩個(gè)被Internet隔離的內(nèi)網(wǎng)之間的通信，采用VPN加密技術(shù)對(duì)通信過(guò)程進(jìn)行保護(hù)，防止數(shù)據(jù)被竊聽(tīng)、篡改、偽造和重放。除了以上主動(dòng)防御措施外，華為下一代USG系列防火墻還可以通過(guò)對(duì)網(wǎng)絡(luò)中出現(xiàn)的應(yīng)用行為進(jìn)行審計(jì)，記錄相應(yīng)的源、目的、時(shí)間、傳輸?shù)奈募?、進(jìn)行的操作等等信息，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)泄露行為的監(jiān)管、追溯與事后取證。通過(guò)華為下一代USG系列防火墻提供的這一系列技術(shù)，結(jié)合企業(yè)內(nèi)部已有的對(duì)存儲(chǔ)介質(zhì)的存放管理、文檔數(shù)據(jù)的加密管理、用戶認(rèn)證與網(wǎng)絡(luò)資源的授權(quán)等等技術(shù)，可以對(duì)企業(yè)數(shù)據(jù)進(jìn)行端到端的安全保護(hù)，實(shí)現(xiàn)完整的數(shù)據(jù)泄露防護(hù)方案。（5）WEB安全防護(hù)隨著云技術(shù)的發(fā)展，越來(lái)越多的應(yīng)用開(kāi)始往Web上進(jìn)行遷移。Web已經(jīng)從單純的提供網(wǎng)頁(yè)瀏覽演變成為集金融、社交、音樂(lè)、視頻、游戲等領(lǐng)域?yàn)橐簧淼木C合平臺(tái)。Web業(yè)務(wù)的豐富和發(fā)展同時(shí)也帶來(lái)了多種多樣的安全風(fēng)險(xiǎn)，通過(guò)綜合多種技術(shù)可以實(shí)現(xiàn)對(duì)Web站點(diǎn)和訪問(wèn)行為的安全防護(hù)。Web安全問(wèn)題中最為顯著的就是非法網(wǎng)站和惡意網(wǎng)站。非法網(wǎng)站是指暴力、色情等不被當(dāng)?shù)胤煞ㄒ?guī)或者企業(yè)管理制度所允許訪問(wèn)的網(wǎng)絡(luò)資源。非法網(wǎng)站帶來(lái)的危害包括影響社會(huì)穩(wěn)定、降低員工工作效率、占用企業(yè)帶寬、浪費(fèi)企業(yè)網(wǎng)絡(luò)資源等；惡意網(wǎng)站是指掛馬網(wǎng)站、釣魚(yú)網(wǎng)站等試圖在用戶瀏覽過(guò)程中向用戶主機(jī)植入木馬、進(jìn)行SQL注入和跨站腳本攻擊、利用瀏覽器/系統(tǒng)漏洞獲取主機(jī)權(quán)限或數(shù)據(jù)、騙取用戶錢財(cái)?shù)却嬖趷阂庑袨榈木W(wǎng)站。惡意網(wǎng)站有可能帶來(lái)用戶或企業(yè)的大量經(jīng)濟(jì)損失。惡意網(wǎng)站的顯著特征就是在沒(méi)有安全機(jī)制保護(hù)的情況下，用戶對(duì)其惡意行為完全不知情，往往在無(wú)意中就造成了損失；URL過(guò)濾根據(jù)用戶訪問(wèn)的URL地址對(duì)URL訪問(wèn)行為進(jìn)行控制。管理員可以根據(jù)華為下一代USG系列防火墻提供的海量URL分類數(shù)據(jù)庫(kù)，以及自己定義的URL地址及分類，對(duì)不同的URL地址設(shè)置不同的處理措施。同時(shí)，華為下一代USG系列防火墻提供的URL分類數(shù)據(jù)包含了大量已知的掛馬網(wǎng)站、釣魚(yú)網(wǎng)站等惡意網(wǎng)站的網(wǎng)址。用戶在訪問(wèn)URL時(shí)，設(shè)備可以自動(dòng)查詢這個(gè)URL是否屬于惡意網(wǎng)站，并作出相應(yīng)的處理措施。由于URL地址的數(shù)量極其龐大，而且每天都增加，作用也可能發(fā)生改變。華為提供的海量URL分類數(shù)據(jù)庫(kù)可以及時(shí)跟蹤Internet上的URL地址變化，實(shí)時(shí)更新URL分類信息，保證了URL過(guò)濾功能的不斷增強(qiáng)。同時(shí)，管理員也可以在本地網(wǎng)絡(luò)搭建URL分類查詢服務(wù)器。由本地URL分類查詢服務(wù)器從華為的查詢服務(wù)器上學(xué)習(xí)完整的URL分類信息，本地網(wǎng)絡(luò)中的多臺(tái)USG系列防火墻再向該服務(wù)器進(jìn)行查詢。這種部署方式節(jié)約了網(wǎng)絡(luò)帶寬，提高了查詢速度，還可以在內(nèi)網(wǎng)中的USG系列防火墻無(wú)法直接連接Internet時(shí)，仍能實(shí)現(xiàn)實(shí)時(shí)查詢。（6）應(yīng)用行為控制應(yīng)用行為控制可以對(duì)企業(yè)網(wǎng)絡(luò)中的特定網(wǎng)絡(luò)行為進(jìn)行控制，以避免安全風(fēng)險(xiǎn)，提高管理效率，在現(xiàn)代企業(yè)中，網(wǎng)絡(luò)是不可或缺的工作平臺(tái)和工具，但是同時(shí)因?yàn)閱T工濫用網(wǎng)絡(luò)的行為，會(huì)帶來(lái)一系列的問(wèn)題：由于員工在工作時(shí)間內(nèi)瀏覽與工作無(wú)關(guān)的網(wǎng)站網(wǎng)頁(yè)、下載音樂(lè)視頻等行為導(dǎo)致工作效率的下降和企業(yè)網(wǎng)絡(luò)資源的浪費(fèi)。由于員工通過(guò)網(wǎng)絡(luò)向外傳輸文本或文件，泄露企業(yè)的機(jī)密信息。由于員工在網(wǎng)絡(luò)上發(fā)表不符合當(dāng)?shù)胤煞ㄒ?guī)或者企業(yè)管理制度的言論，對(duì)企業(yè)形象或利益造成損失。華為下一代USG系列防火墻提供的應(yīng)用行為控制功能，可以有效地監(jiān)控和控制以上網(wǎng)絡(luò)行為，避免企業(yè)利益的損失，提升企業(yè)效率：HTTP行為控制：支持對(duì)論壇發(fā)帖、表單提交、用戶登錄等HTTPPOST行為進(jìn)行阻斷。支持對(duì)網(wǎng)頁(yè)瀏覽行為進(jìn)行阻斷。支持對(duì)HTTP代理上網(wǎng)行為進(jìn)行阻斷。支持根據(jù)HTTP上傳/下載的文件大小進(jìn)行告警或阻斷。FTP行為控制：支持根據(jù)FTP上傳/下載的文件大小進(jìn)行告警或阻斷。支持對(duì)FTP刪除文件行為進(jìn)行阻斷。（7）垃圾郵件過(guò)濾垃圾郵件過(guò)濾功能可以根據(jù)郵件發(fā)送服務(wù)器的IP地址以及郵件內(nèi)容對(duì)垃圾郵件進(jìn)行攔截。通常來(lái)說(shuō)，凡是未經(jīng)用戶許可就強(qiáng)行發(fā)送到用戶的郵箱中的任何電子郵件都可以稱之為垃圾郵件。垃圾郵件最初只是宣傳廣告的傳播途徑，但是演變至今已經(jīng)對(duì)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)產(chǎn)生了非常惡劣的影響：占用網(wǎng)絡(luò)帶寬，造成郵件服務(wù)器擁塞，進(jìn)而降低整個(gè)網(wǎng)絡(luò)的運(yùn)行效率。侵犯收件人的隱私權(quán)，占用收件人信箱空間，耗費(fèi)收件人的時(shí)間、精力和金錢。有的垃圾郵件還盜用他人的電子郵件地址做發(fā)信地址，嚴(yán)重?fù)p害了他人的信譽(yù)。包含木馬和病毒，被黑客利用，成為網(wǎng)絡(luò)攻擊的工具。嚴(yán)重影響ISP的形象。在國(guó)際上，頻繁轉(zhuǎn)發(fā)垃圾郵件的主機(jī)會(huì)被上級(jí)國(guó)際因特網(wǎng)服務(wù)提供商列入國(guó)際垃圾郵件數(shù)據(jù)庫(kù)，從而導(dǎo)致該主機(jī)不能訪問(wèn)國(guó)外許多網(wǎng)絡(luò)。而且收到垃圾郵件的用戶會(huì)因?yàn)镮SP沒(méi)有建立完善的垃圾郵件過(guò)濾機(jī)制，而轉(zhuǎn)向其它ISP。傳播虛假、反動(dòng)、色情等內(nèi)容，對(duì)現(xiàn)實(shí)社會(huì)造成危害。華為下一代USG系列防火墻提供的垃圾郵件過(guò)濾技術(shù)包括：本地定義黑白名單，對(duì)允許通過(guò)的郵件服務(wù)器進(jìn)行控制。向Internet上的RBL服務(wù)器實(shí)時(shí)查詢郵件服務(wù)器是否屬于垃圾郵件服務(wù)器。RBL服務(wù)器可以提供完整、豐富、不斷更新的已知垃圾郵件服務(wù)器清單。根據(jù)郵件的發(fā)件人、主題與正文內(nèi)容中出現(xiàn)的關(guān)鍵字對(duì)郵件進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)未知垃圾郵件的基于內(nèi)容的防護(hù)。虛擬防火墻功能虛擬防火墻是將一臺(tái)物理設(shè)備從邏輯上劃分為多臺(tái)獨(dú)立的虛擬防火墻設(shè)備的功能。每臺(tái)虛擬防火墻都可以擁有自己的管理員、路由表和安全策略。虛擬系統(tǒng)目前主要用于以下三個(gè)場(chǎng)景：1）設(shè)備租賃：目前有部分小型企業(yè)，其資金不足以支持購(gòu)買一臺(tái)網(wǎng)絡(luò)安全設(shè)備以及相應(yīng)的License和售后服務(wù)，但是其業(yè)務(wù)開(kāi)展又急需網(wǎng)絡(luò)安全設(shè)備的保護(hù)。這時(shí)，網(wǎng)絡(luò)服務(wù)提供商或者專門的設(shè)備租賃商可以購(gòu)買一臺(tái)網(wǎng)絡(luò)安全設(shè)備，再通過(guò)虛擬系統(tǒng)技術(shù)將這臺(tái)物理設(shè)備劃分為多臺(tái)獨(dú)立的虛擬設(shè)備，分別向不同的企業(yè)網(wǎng)絡(luò)提供安全功能。多個(gè)企業(yè)共享硬件資源，但是實(shí)際流量又被完全隔離。這樣即節(jié)約了設(shè)備購(gòu)置和維護(hù)的費(fèi)用，又保證了各個(gè)企業(yè)的網(wǎng)絡(luò)安全性。對(duì)于網(wǎng)絡(luò)服務(wù)提供商和設(shè)備租賃商來(lái)說(shuō)，此項(xiàng)服務(wù)也可以作為利潤(rùn)的來(lái)源。2）大中型企業(yè)的網(wǎng)絡(luò)隔離：大中型企業(yè)的網(wǎng)絡(luò)都具有大量的網(wǎng)絡(luò)設(shè)備，和嚴(yán)密的網(wǎng)段、權(quán)限劃分，以對(duì)公司的核心資產(chǎn)進(jìn)行保護(hù)。雖然傳統(tǒng)防火墻可以通過(guò)安全區(qū)域?qū)W(wǎng)絡(luò)進(jìn)行隔離，但是在組網(wǎng)和需求復(fù)雜的情況下，通過(guò)接口劃分的安全區(qū)域可能并不能滿足需求，或者導(dǎo)致策略配置異常復(fù)雜，容易出錯(cuò)。同時(shí)由于網(wǎng)絡(luò)管理員權(quán)限相同，不同網(wǎng)絡(luò)的多個(gè)管理員操作同一臺(tái)設(shè)備，更加容易造成配置的沖突。通過(guò)虛擬系統(tǒng)技術(shù)，可以在實(shí)現(xiàn)網(wǎng)絡(luò)隔離的基礎(chǔ)上，使得業(yè)務(wù)管理更加清晰和簡(jiǎn)便。3）云計(jì)算：新興的云計(jì)算技術(shù)，其核心理念是將網(wǎng)絡(luò)資源和計(jì)算能力存放于網(wǎng)絡(luò)云端。網(wǎng)絡(luò)用戶只需通過(guò)網(wǎng)絡(luò)終端接入公有網(wǎng)絡(luò)，就可以訪問(wèn)相應(yīng)的網(wǎng)絡(luò)資源，使用相應(yīng)的服務(wù)。在這個(gè)過(guò)程中，不同用戶之間的流量隔離、安全防護(hù)和資源分配是非常重要的一環(huán)。通過(guò)虛擬系統(tǒng)技術(shù)，就可以讓部署在云計(jì)算中心和數(shù)據(jù)中心出口的USG具備云計(jì)算網(wǎng)關(guān)的能力，對(duì)用戶流量進(jìn)行隔離的同時(shí)提供強(qiáng)大的安全防護(hù)能力。為了實(shí)現(xiàn)每個(gè)虛擬系統(tǒng)的業(yè)務(wù)都能夠做到正確轉(zhuǎn)發(fā)、獨(dú)立管理、相互隔離，華為下一代USG系列防火墻主要實(shí)現(xiàn)了三個(gè)方面的虛擬化：（1）路由虛擬化：每個(gè)虛擬防火墻都擁有各自的路由表及會(huì)話表，相互獨(dú)立隔離。（2）安全功能虛擬化：每個(gè)虛擬防火墻都可以配置獨(dú)立的安全策略及其他安全功能，只有屬于該虛擬系統(tǒng)的報(bào)文才會(huì)受到這些配置的影響。（3）配置虛擬化：每個(gè)虛擬防火墻都擁有獨(dú)立的虛擬系統(tǒng)管理員和配置界面，每個(gè)虛擬系統(tǒng)管理員只能管理自己所屬的虛擬系統(tǒng)。通過(guò)以上三個(gè)方面的虛擬化，使得華為下一代USG系列防火墻的虛擬防火墻功能非常易于使用。當(dāng)創(chuàng)建虛擬防火墻之后，每個(gè)虛擬防火墻的管理員和用戶都像在使用一臺(tái)獨(dú)享的防火墻設(shè)備安全計(jì)算環(huán)境數(shù)據(jù)中心環(huán)境通過(guò)對(duì)服務(wù)器物理資源的抽象，將CPU、內(nèi)存、I/O等物理資源轉(zhuǎn)化為一組統(tǒng)一管理、可靈活調(diào)度、可動(dòng)態(tài)分配的邏輯資源，并基于這些邏輯資源，在單個(gè)物理服務(wù)器上構(gòu)建多個(gè)同時(shí)運(yùn)行、相互隔離的虛擬機(jī)執(zhí)行環(huán)境，檢測(cè)到虛擬資源隔離失效時(shí)進(jìn)行告警。通過(guò)平臺(tái)任務(wù)日志對(duì)非授權(quán)的操作如新建虛擬機(jī)、重啟虛擬機(jī)、刪除虛擬機(jī)等操作進(jìn)行記錄并支持審計(jì)。審計(jì)服務(wù)提供對(duì)各種資源（包含網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)節(jié)點(diǎn)）操作記錄的收集、存儲(chǔ)和查詢功能。應(yīng)當(dāng)支持在宿主機(jī)部署了入侵檢測(cè)能力，可檢測(cè)惡意代碼感染和傳播情況，并進(jìn)行告警。用戶使用企業(yè)主機(jī)安全服務(wù)實(shí)現(xiàn)惡意代碼檢測(cè)，并提出告警。應(yīng)當(dāng)支持通過(guò)鏡像工廠，由專業(yè)安全團(tuán)隊(duì)對(duì)虛擬機(jī)操作系統(tǒng)公共鏡像進(jìn)行安全加固，并及時(shí)修復(fù)系統(tǒng)安全漏洞，最終生成安全更新了的公共鏡像，并通過(guò)鏡像服務(wù)持續(xù)提供給租戶。同時(shí)提供相關(guān)加固和補(bǔ)丁信息以供用戶對(duì)鏡像進(jìn)行測(cè)試、排除故障及其他運(yùn)維活動(dòng)時(shí)參考。由客戶根據(jù)相關(guān)應(yīng)用運(yùn)行及安全運(yùn)維策略，選擇直接使用最新的公共鏡像重新創(chuàng)建虛擬機(jī)或自行創(chuàng)建已安裝安全補(bǔ)丁的私有鏡像。部署主機(jī)安全防護(hù)，對(duì)主機(jī)服務(wù)器、中間件進(jìn)行漏洞掃描、基線配置，包括入侵防范，惡意代碼查殺，虛機(jī)逃逸檢測(cè)等功能。提供對(duì)操作系統(tǒng)面臨的安全威脅分析，以及析操作系統(tǒng)補(bǔ)丁和應(yīng)用系統(tǒng)組件版本分析提供相應(yīng)的整改建議，并在用戶的許可下完成相關(guān)漏洞的修復(fù)和補(bǔ)丁組件的加固工作。部署平臺(tái)側(cè)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，對(duì)平臺(tái)管理面關(guān)鍵數(shù)據(jù)庫(kù)提供審計(jì)能力，提供用戶行為審計(jì)、多維度分析、實(shí)時(shí)告警和報(bào)表等功能，保障管理面數(shù)據(jù)庫(kù)的安全，滿足用戶合規(guī)要求。部署平臺(tái)堡壘機(jī)納管系統(tǒng)賬號(hào)，包括：網(wǎng)絡(luò)設(shè)備，管理面主機(jī)資產(chǎn)，并提供提供安全接入通道、雙因素認(rèn)證、賬號(hào)托管、錄屏審計(jì)、權(quán)限管理、報(bào)表等能力，滿足運(yùn)維審計(jì)的合規(guī)需求。軟件安全設(shè)計(jì)方案（租戶安全）安全通信網(wǎng)絡(luò)與邊界安全（一）性能冗余XX集團(tuán)公司云平臺(tái)提供各類規(guī)格的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源，如各規(guī)格的cpu、內(nèi)存、磁盤、帶寬等等，可根據(jù)業(yè)務(wù)系統(tǒng)需求，按需選用，且可彈性擴(kuò)容，滿足業(yè)務(wù)處理能力高峰期需要；（二）安全區(qū)域劃分XX集團(tuán)公司云平臺(tái)上，使用VPC、子網(wǎng)等服務(wù)，將網(wǎng)絡(luò)從邏輯上劃分為網(wǎng)絡(luò)層、應(yīng)用層、主機(jī)層和數(shù)據(jù)層。（三）安全區(qū)域隔離與訪問(wèn)控制XX集團(tuán)公司云平臺(tái)上區(qū)域隔離除了使用子網(wǎng)外，還提供安全組服務(wù)，虛擬防火墻，通過(guò)對(duì)IP和端口設(shè)置白名單訪問(wèn)策略，達(dá)到訪問(wèn)控制和隔離效果，保證云上資源如云主機(jī)、RDS等，通過(guò)受控端口提供服務(wù)，策略設(shè)置遵循端口最小化原則。（四）安全通信協(xié)議網(wǎng)絡(luò)中使用安全的通信協(xié)議，特別是對(duì)外提供服務(wù)的協(xié)議，建議租戶使用安全協(xié)議，如使用https替代http，VPN等加密傳輸隧道。（五）入侵防范XX集團(tuán)公司云平臺(tái)提供多維度的縱深防御體系，針對(duì)四到七層的各類攻擊行為進(jìn)行監(jiān)測(cè)并抵御：提供邊界防火墻針對(duì)流量進(jìn)行檢測(cè)及防御，以抵御南北向攻擊行為；通過(guò)Web應(yīng)用防火墻，為租戶提供Web攻擊防護(hù)能力。提供態(tài)勢(shì)感知能力，針對(duì)各關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)的攻擊行為進(jìn)行監(jiān)測(cè)和分析，將租戶網(wǎng)絡(luò)中所有安全事件進(jìn)行集中管理并展示。（六）惡意代碼防范XX集團(tuán)公司云平臺(tái)上，一方面通過(guò)邊界防火墻進(jìn)行網(wǎng)絡(luò)防病毒檢測(cè)，另一方面提供云主機(jī)的惡意代碼防范能力，以滿足等保要求“應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測(cè)和清除”。安全計(jì)算環(huán)境（一）主機(jī)安全為用戶提供覆蓋主流操作系統(tǒng)的主機(jī)加固&防護(hù)解決方案，提升云主機(jī)賬戶安全性，預(yù)防暴力破解風(fēng)險(xiǎn)，也滿足了等保相關(guān)主機(jī)加固的要求。（二）應(yīng)用安全應(yīng)用安全，是XX集團(tuán)公司業(yè)務(wù)安全建設(shè)重點(diǎn)，應(yīng)參考等保標(biāo)準(zhǔn)對(duì)身份認(rèn)證、訪問(wèn)控制、入侵防范（安全編碼、測(cè)試等）等進(jìn)行嚴(yán)格的控制。Web應(yīng)用防火墻等對(duì)租戶應(yīng)用層安全提供保護(hù)。（三）數(shù)據(jù)安全本方案的RDS服務(wù)，采用高可用跨AZ部署，將RDS的主備實(shí)例分布部署在不同可用區(qū)，達(dá)到主備的能力。配置RDS的備份策略。提供數(shù)據(jù)庫(kù)審計(jì)服務(wù)，旁路模式，通過(guò)實(shí)時(shí)記錄用戶訪問(wèn)數(shù)據(jù)庫(kù)行為，形成細(xì)粒度的審計(jì)報(bào)告，對(duì)風(fēng)險(xiǎn)行為和攻擊行為進(jìn)行實(shí)時(shí)告警。云安全服務(wù)設(shè)計(jì)安全方案總體功能架構(gòu)華為云Stack有很多安全服務(wù)，其他功能架構(gòu)圖如上圖，包括平臺(tái)基礎(chǔ)安全、主機(jī)安全、云防火墻、Web應(yīng)用防火墻、邊界防火墻、密鑰管理、數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)安全管理中心、堡壘機(jī)、身份服務(wù)、云安全管理中心、態(tài)勢(shì)感知（安全云腦）。本次采購(gòu)了云堡壘機(jī)、主機(jī)安全、態(tài)勢(shì)感知（安全云腦）、數(shù)據(jù)庫(kù)審計(jì)，其他安全服務(wù)后續(xù)根據(jù)項(xiàng)目需要可以靈活選擇配置。安全方案部署架構(gòu)安全方案邏輯架構(gòu)圖如上圖所示，云安全管理中心提供專業(yè)級(jí)的安全分析、態(tài)勢(shì)感知能力，實(shí)現(xiàn)對(duì)云負(fù)載、各類應(yīng)用的安全保護(hù)管理。身份服務(wù)提供云平臺(tái)用戶賬戶統(tǒng)一管理能力，實(shí)現(xiàn)認(rèn)證和權(quán)限管理。密鑰管理提供平臺(tái)密鑰的生命周期管理能力，堡壘機(jī)提供統(tǒng)一身份管理，防止越權(quán)操作。在業(yè)務(wù)服務(wù)器中，通過(guò)主機(jī)安全、網(wǎng)絡(luò)ACL和安全組等能力保護(hù)計(jì)算環(huán)境安全，數(shù)據(jù)庫(kù)審計(jì)對(duì)云上數(shù)據(jù)庫(kù)進(jìn)行審計(jì)、分析和實(shí)時(shí)告警，數(shù)據(jù)脫敏提供數(shù)據(jù)分級(jí)分類、數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別、數(shù)據(jù)水印溯源和數(shù)據(jù)靜態(tài)脫敏等基礎(chǔ)數(shù)據(jù)安全能力。通過(guò)流量監(jiān)控、云防火墻、Web應(yīng)用防火墻等來(lái)保護(hù)通信網(wǎng)絡(luò)和區(qū)域邊界的安全。平臺(tái)基礎(chǔ)安全平臺(tái)基礎(chǔ)安全通過(guò)華為云StackFusionGuard實(shí)現(xiàn)，具備基礎(chǔ)的安全保護(hù)能力，包括宿主機(jī)和虛擬化安全、云服務(wù)安全、安全管理等。1、宿主機(jī)和虛擬化安全1）網(wǎng)絡(luò)平面隔離將云平臺(tái)的網(wǎng)絡(luò)通信平面劃分管理網(wǎng)絡(luò)、租戶網(wǎng)絡(luò)、存儲(chǔ)網(wǎng)絡(luò)，網(wǎng)絡(luò)之間采用VLAN隔離。各個(gè)租戶的網(wǎng)絡(luò)采用VXLAN隔離。通過(guò)網(wǎng)絡(luò)平面隔離保證管理平臺(tái)操作不影響業(yè)務(wù)運(yùn)行，最終用戶不能破壞基礎(chǔ)平臺(tái)管理。網(wǎng)絡(luò)平面劃分租戶平面：為用戶提供業(yè)務(wù)通道，為虛擬機(jī)之間通信平面，對(duì)外提供業(yè)務(wù)應(yīng)用。每個(gè)租戶下可創(chuàng)建多個(gè)租戶網(wǎng)絡(luò)，租戶下的虛擬機(jī)可接入租戶網(wǎng)絡(luò)，實(shí)現(xiàn)虛擬機(jī)之間的互通。存儲(chǔ)平面：為塊存儲(chǔ)設(shè)備提供通信平面，并為虛擬機(jī)提供存儲(chǔ)資源，但不直接與虛擬機(jī)通信，而通過(guò)虛擬化平臺(tái)轉(zhuǎn)化。管理平面：負(fù)責(zé)整個(gè)云計(jì)算系統(tǒng)的管理、業(yè)務(wù)部署、系統(tǒng)加載等流量的通信。2）資源隔離華為統(tǒng)一虛擬化平臺(tái)（UnifiedVirtualizationPlatform，UVP）通過(guò)對(duì)服務(wù)器物理資源的抽象，將CPU、內(nèi)存、I/O等物理資源轉(zhuǎn)化為一組統(tǒng)一管理、可靈活調(diào)度、可動(dòng)態(tài)分配的邏輯資源，并基于這些邏輯資源，在單個(gè)物理服務(wù)器上構(gòu)建多個(gè)同時(shí)運(yùn)行、相互隔離的虛擬機(jī)執(zhí)行環(huán)境。3）CPU隔離UVP直接運(yùn)行于物理服務(wù)器之上，提供虛擬化能力，為虛擬機(jī)提供運(yùn)行環(huán)境?；谟布摂M化的CPU隔離主要是指虛擬化平臺(tái)與虛擬機(jī)之間的隔離，虛擬機(jī)內(nèi)部的權(quán)限分配和虛擬機(jī)與虛擬機(jī)之間的隔離。CPU隔離是通過(guò)Root和Non-Root兩種運(yùn)行模式的切換、各運(yùn)行模式下的運(yùn)行權(quán)限分配以及以VCPU（VirtualCPU）的形式呈現(xiàn)的虛擬計(jì)算資源的分配與切換等方式來(lái)實(shí)現(xiàn)的。通過(guò)CPU隔離機(jī)制，UVP可以控制虛擬機(jī)對(duì)物理設(shè)備以及虛擬化運(yùn)行環(huán)境的訪問(wèn)權(quán)限，從而實(shí)現(xiàn)虛擬化平臺(tái)與虛擬機(jī)之間以及不同虛擬機(jī)之間在信息和資源上的隔離，也就是說(shuō)，一個(gè)虛擬機(jī)無(wú)法獲取到其他虛擬機(jī)或虛擬化平臺(tái)的信息和資源，保證了虛擬機(jī)運(yùn)行在合法的空間內(nèi)，避免某個(gè)虛擬機(jī)對(duì)UVP或其他虛擬機(jī)發(fā)起攻擊。4）內(nèi)存隔離虛擬化平臺(tái)還負(fù)責(zé)為虛擬機(jī)提供內(nèi)存資源，保證每個(gè)虛擬機(jī)只能訪問(wèn)到其自身的內(nèi)存。為實(shí)現(xiàn)這個(gè)目標(biāo)，虛擬化平臺(tái)管理虛擬機(jī)內(nèi)存與真實(shí)物理內(nèi)存之間的映射關(guān)系。保證虛擬機(jī)內(nèi)存與物理內(nèi)存之間形成一一映射關(guān)系。虛擬機(jī)對(duì)內(nèi)存的訪問(wèn)都會(huì)經(jīng)過(guò)虛擬化層的地址轉(zhuǎn)換，保證每個(gè)虛擬機(jī)只能訪問(wèn)到分配給它的物理內(nèi)存，無(wú)法訪問(wèn)屬于其他虛擬機(jī)或虛擬化平臺(tái)自身使用的內(nèi)存。5）I/O隔離虛擬化平臺(tái)還給虛擬機(jī)提供了虛擬I/O設(shè)備，包括磁盤、網(wǎng)卡、鼠標(biāo)、鍵盤等。虛擬化平臺(tái)為每個(gè)虛擬機(jī)提供獨(dú)立的設(shè)備，避免多個(gè)虛擬機(jī)共享設(shè)備造成的信息泄露。2、防IP/MAC/DHCPserver仿冒二層網(wǎng)絡(luò)安全防止用戶虛擬機(jī)IP和MAC地址仿冒、防止用戶虛擬機(jī)DHCPServer仿冒都是通過(guò)二層網(wǎng)絡(luò)安全策略實(shí)現(xiàn)的：防止IP地址和MAC仿冒（IP和MAC綁定）：防止虛擬機(jī)用戶通過(guò)修改虛擬網(wǎng)卡的IP、MAC地址發(fā)起IP、MAC仿冒攻擊，增強(qiáng)用戶虛擬機(jī)的網(wǎng)絡(luò)安全。具體技術(shù)能力包括通過(guò)DHCPsnooping生成IP-MAC的綁定關(guān)系，然后通過(guò)IP源側(cè)防護(hù)（IPSourceGuard）與動(dòng)態(tài)ARP檢測(cè)（DAI，DynamicARPInspection）對(duì)非綁定關(guān)系的報(bào)文進(jìn)行過(guò)濾。防止DHCPServer仿冒(DHCPServer隔離)：禁止用戶虛擬機(jī)啟動(dòng)DHCPServer服務(wù)，防止用戶無(wú)意識(shí)或惡意啟動(dòng)DHCPServer服務(wù)，影響正常的虛擬機(jī)IP地址分配過(guò)程。3、防DoS/DDoS攻擊系統(tǒng)通過(guò)限制虛擬端口的連接跟蹤數(shù)來(lái)抵御來(lái)自云平臺(tái)外部或平臺(tái)內(nèi)部其他虛擬機(jī)的大流量攻擊，此類攻擊會(huì)產(chǎn)生大量連接跟蹤表項(xiàng)，如果不做限制，會(huì)耗盡連接跟蹤表資源，不能接受新的連接請(qǐng)求，最終導(dǎo)致業(yè)務(wù)及管理流量中斷。4、系統(tǒng)加固1）操作系統(tǒng)加固云平臺(tái)中計(jì)算節(jié)點(diǎn)、管理節(jié)點(diǎn)均使用歐拉操作系統(tǒng)，為保證平臺(tái)安全，必須對(duì)歐拉操作系統(tǒng)進(jìn)行安全加固，主要內(nèi)容如下：2）數(shù)據(jù)庫(kù)加固云平臺(tái)中包含的數(shù)據(jù)庫(kù)必須進(jìn)行加固，其中數(shù)據(jù)庫(kù)安全配置包括賬號(hào)密碼安全配置、文件權(quán)限配置、遠(yuǎn)程連接配置、數(shù)據(jù)導(dǎo)入導(dǎo)出配置和安全審計(jì)相關(guān)配置等。3）Web安全加固云平臺(tái)對(duì)于提供Web服務(wù)的節(jié)點(diǎn)需要進(jìn)行如下的安全配置，包括對(duì)JRE、tomcat、nginx等進(jìn)行加固配置，啟動(dòng)HTTPS訪問(wèn)方式，支持的加密算法配置、對(duì)相關(guān)目錄進(jìn)行權(quán)限控制等，以增強(qiáng)Web服務(wù)平臺(tái)訪問(wèn)安全性。5、數(shù)據(jù)保護(hù)1）數(shù)據(jù)存儲(chǔ)多備份機(jī)制云數(shù)據(jù)中心的數(shù)據(jù)存儲(chǔ)采用多重備份機(jī)制，每一份數(shù)據(jù)都有一個(gè)或者多個(gè)備份，即使存儲(chǔ)載體（如硬盤）出現(xiàn)了故障，也不會(huì)引起數(shù)據(jù)的丟失，同時(shí)也不會(huì)影響系統(tǒng)的正常使用。系統(tǒng)對(duì)存儲(chǔ)數(shù)據(jù)按位或字節(jié)的方式進(jìn)行數(shù)據(jù)校驗(yàn)，并把數(shù)據(jù)校驗(yàn)信息均勻的分散到陣列的各個(gè)磁盤上；陣列的磁盤上既有數(shù)據(jù)，也有數(shù)據(jù)校驗(yàn)信息，但數(shù)據(jù)塊和對(duì)應(yīng)的校驗(yàn)信息存儲(chǔ)于不同的磁盤上，當(dāng)某個(gè)數(shù)據(jù)盤被損壞后，系統(tǒng)可以根據(jù)同一帶區(qū)的其他數(shù)據(jù)塊和對(duì)應(yīng)的校驗(yàn)信息來(lái)重構(gòu)損壞的數(shù)據(jù)。2）服務(wù)數(shù)據(jù)備份為保證云平臺(tái)的業(yè)務(wù)安全，對(duì)云服務(wù)使用的配置數(shù)據(jù)/數(shù)據(jù)庫(kù)進(jìn)行了定期的備份，防止重要數(shù)據(jù)丟失，并能夠從這些數(shù)據(jù)中快速恢復(fù)業(yè)務(wù)，保證業(yè)務(wù)的連續(xù)性。數(shù)據(jù)庫(kù)支持本地在線備份方式和異地備份方式：3）數(shù)據(jù)加密SSH（SecureShell）是目前較可靠，專為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性保障的協(xié)議。利用SSH協(xié)議可以有效防止遠(yuǎn)程管理過(guò)程中的信息泄露問(wèn)題。透過(guò)SSH可以對(duì)所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，并防止DNS欺騙和IP欺騙。OpenSSH支持的加密算法為AES128，AES256，AES192。而基于內(nèi)部的加解密組件開(kāi)發(fā)應(yīng)用時(shí)，支持HMACSha256完整性校驗(yàn)算法，默認(rèn)使用AES256算法進(jìn)行加解密。6、鏡像安全鏡像是一個(gè)包含了軟件及必要配置的云服務(wù)器模版或裸金屬服務(wù)器模板，至少包含操作系統(tǒng)，還可以包含各種預(yù)裝的應(yīng)用軟件（例如，數(shù)據(jù)庫(kù)軟件）。私有鏡像是用戶自行創(chuàng)建的鏡像，共享鏡像是用戶自己定義并分享給其他用戶的鏡像，由用戶社區(qū)在自愿基礎(chǔ)上維護(hù)。客戶可通過(guò)服務(wù)云鏡像服務(wù)（ImageManagementService，IMS）控制臺(tái)或API對(duì)自己的鏡像進(jìn)行管理。IMSAPI面臨來(lái)自攻擊者或惡意租戶的攻擊，可能導(dǎo)致跨租戶數(shù)據(jù)泄露、管理服務(wù)中斷等嚴(yán)重后果。IMS基于統(tǒng)一身份認(rèn)證服務(wù)（IAM）來(lái)進(jìn)行認(rèn)證，即租戶需先在IAM進(jìn)行登錄，再以返回的Token使用IMS服務(wù)。IMS采用了基于多租戶的權(quán)限模型、嚴(yán)格參數(shù)校驗(yàn)、安全通訊協(xié)議、敏感信息保護(hù)、審計(jì)日志等安全措施，從而保護(hù)管理系統(tǒng)免受各種惡意攻擊。IMS對(duì)租戶的所有操作進(jìn)行權(quán)限判斷，只有符合權(quán)限要求才允許執(zhí)行，并對(duì)所有關(guān)鍵操作進(jìn)行審計(jì)記錄。審計(jì)日志實(shí)現(xiàn)持久化，租戶可以對(duì)其進(jìn)行長(zhǎng)期而且精確的回溯。7、熱補(bǔ)丁軟件因自身設(shè)計(jì)缺陷而存在很多漏洞，需要定期為系統(tǒng)安裝安全補(bǔ)丁以修補(bǔ)這些漏洞，以防止病毒、蠕蟲(chóng)和黑客利用操作系統(tǒng)漏洞對(duì)系統(tǒng)進(jìn)行攻擊。云平臺(tái)提供安全補(bǔ)丁方案用戶可以通過(guò)升級(jí)工具，將系統(tǒng)安全補(bǔ)丁安裝到虛擬化平臺(tái)上。根據(jù)補(bǔ)丁激活和生效對(duì)業(yè)務(wù)體驗(yàn)的影響，補(bǔ)丁分為熱補(bǔ)丁和冷補(bǔ)丁。兩者區(qū)分如下：熱補(bǔ)丁：HP（HotPatch），在不停止進(jìn)程的情況修改進(jìn)程的缺陷，即安裝過(guò)程對(duì)系統(tǒng)無(wú)影響。通過(guò)將制作好的補(bǔ)丁文件加載到補(bǔ)丁區(qū)，然后將有缺陷的函數(shù)用補(bǔ)丁文件中的相應(yīng)函數(shù)替換。冷補(bǔ)?。篊P（ColdPatch），將接口板軟件制作成冷補(bǔ)丁包，主控板上運(yùn)行冷補(bǔ)丁后，將基線版本中相應(yīng)的軟件替換為冷補(bǔ)丁包中的軟件，當(dāng)接口板復(fù)位重新向主控板請(qǐng)求加載軟件時(shí)，接口板加載冷補(bǔ)丁包中的軟件，激活和生效過(guò)程中對(duì)業(yè)務(wù)體驗(yàn)會(huì)產(chǎn)生影響。8、日志管理和安全審計(jì)操作日志：操作日志記錄操作維護(hù)人員的管理維護(hù)操作，日志內(nèi)容詳實(shí)，包括用戶、操作類型、客戶端IP、操作時(shí)間、操作結(jié)果等內(nèi)容，以支撐審計(jì)管理員的行為，能及時(shí)發(fā)現(xiàn)不當(dāng)或惡意的操作。操作日志也可作為抗抵賴的證據(jù)。運(yùn)行日志：運(yùn)行日志記錄各節(jié)點(diǎn)的運(yùn)行情況，可由日志級(jí)別來(lái)控制日志的輸出。各節(jié)點(diǎn)的運(yùn)行日志包括級(jí)別、線程名稱、運(yùn)行信息等內(nèi)容，維護(hù)人員可通過(guò)查看運(yùn)行日志，了解和分析系統(tǒng)的運(yùn)行狀況，及時(shí)發(fā)現(xiàn)和處理異常情況。黑匣子日志：黑匣子日志記錄系統(tǒng)嚴(yán)重故障時(shí)的定位信息，主要用于故障定位和故障處理，便于快速恢復(fù)業(yè)務(wù)，計(jì)算和管理節(jié)點(diǎn)異常時(shí)產(chǎn)生的黑匣子日志本地存放。通過(guò)對(duì)操作日志和運(yùn)行日志進(jìn)行審計(jì)，可以發(fā)現(xiàn)管理員的不當(dāng)操作和系統(tǒng)的異常行為，從而采取一定的處理措施進(jìn)行后續(xù)防護(hù)。而日志一般建議導(dǎo)出到專門的存儲(chǔ)的設(shè)備進(jìn)行備份，并做到權(quán)限控制防止日志被篡改或者刪除，從而作為證據(jù)進(jìn)行管理員或者黑客惡意行為的抗抵賴識(shí)別。安全審計(jì)支撐：安全審計(jì)是指利用系統(tǒng)記錄、系統(tǒng)活動(dòng)和用戶活動(dòng)等信息，審查和檢驗(yàn)操作事件的環(huán)境及活動(dòng)，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過(guò)程。9、云服務(wù)安全1）租戶隔離在云平臺(tái)中租戶一般對(duì)應(yīng)一個(gè)企業(yè)，租戶中內(nèi)置多級(jí)VDC（VirtualDataCenter）對(duì)應(yīng)企業(yè)不同部門，每個(gè)部門可以設(shè)置配額，對(duì)應(yīng)部門對(duì)資源的預(yù)算。VDC是與企業(yè)/組織層級(jí)關(guān)系相匹配的資源分配單元，系統(tǒng)為每個(gè)租戶默認(rèn)創(chuàng)建一個(gè)一級(jí)VDC，VDC內(nèi)能夠完成用戶管理、配額管理、項(xiàng)目管理、產(chǎn)品定義、資源發(fā)放、服務(wù)保障等功能。租戶支持多級(jí)VDC，最大5級(jí)。一級(jí)VDC由系統(tǒng)管理員進(jìn)行維護(hù)，一級(jí)VDC支持有多個(gè)管理員。企業(yè)內(nèi)部的租戶是通過(guò)不同的VDC來(lái)進(jìn)行隔離的。VDC可以按照組織來(lái)劃分，一個(gè)組織分配一個(gè)VDC，運(yùn)營(yíng)管理員創(chuàng)建和維護(hù)一級(jí)VDC，但組織內(nèi)可能存在多個(gè)子組織的情況，為滿足多個(gè)子組織的需要，系統(tǒng)提供多級(jí)VDC功能，VDC管理員可以在VDC內(nèi)再劃分多個(gè)子VDC，靈活匹配用戶的組織模型，VDC可以支持5級(jí)VDC嵌套，每個(gè)VDC支持一個(gè)或多個(gè)VDC管理員，VDC管理員可以導(dǎo)出本級(jí)及本級(jí)以下的所有VDC信息。2）帳戶安全（1）管理員分權(quán)管理管理員通過(guò)Portal登錄管理云系統(tǒng)，包括查看資源、發(fā)放虛擬機(jī)等。系統(tǒng)支持對(duì)Portal用戶進(jìn)行訪問(wèn)控制，支持分權(quán)管理，便于維護(hù)團(tuán)隊(duì)內(nèi)分職責(zé)共同有序地維護(hù)系統(tǒng)。帳號(hào)密碼密碼符合。為了增強(qiáng)系統(tǒng)安全性，請(qǐng)定期修改用戶密碼，避免密碼泄露等安全風(fēng)險(xiǎn)。密碼長(zhǎng)度建議至少為8位。密碼必須為如下4種字符組合的3種：小寫字母、大寫字母、數(shù)字、特殊字符：~!@#$%^&*()-_=+\|[{}];:'",<.>/?和空格、密碼不能為帳號(hào)或者帳號(hào)的倒寫。確保密碼的保密性。例如：可以設(shè)置密碼最小長(zhǎng)度、密碼是否含特殊字符、密碼有效時(shí)長(zhǎng)等。密碼在系統(tǒng)中不會(huì)明文存儲(chǔ)。（2）防暴力破解暴力破解是指，攻擊者猜想用戶的密碼，然后不斷進(jìn)行嘗試登陸獲取對(duì)應(yīng)的用戶信息和權(quán)限。Web-UI當(dāng)前對(duì)用戶登陸的密碼錯(cuò)誤進(jìn)行統(tǒng)計(jì)，連續(xù)錯(cuò)誤5次則鎖定該帳號(hào)15分鐘。（3）網(wǎng)絡(luò)隔離VPC能夠?yàn)閂DC（VirtualDataCenter）提供安全、隔離的網(wǎng)絡(luò)環(huán)境，為VDC中的應(yīng)用或虛擬機(jī)提供網(wǎng)絡(luò)資源。VPC由VDC業(yè)務(wù)管理員創(chuàng)建，VDC業(yè)務(wù)用戶僅能查看和使用。每個(gè)VDC至少有一個(gè)VPC，單一個(gè)VDC內(nèi)允許申請(qǐng)多個(gè)VPC，VPC之間網(wǎng)絡(luò)空間隔離，部門或組織按業(yè)務(wù)安全隔離要求規(guī)劃VPC。虛擬局域網(wǎng)（VLAN）隔離是通過(guò)虛擬網(wǎng)橋?qū)崿F(xiàn)虛擬交換功能，虛擬網(wǎng)橋支持VLANtagging功能，實(shí)現(xiàn)VLAN隔離，確保虛擬機(jī)之間的安全隔離。10、訪問(wèn)通道控制系統(tǒng)所有的訪問(wèn)通道都有認(rèn)證鑒權(quán)：接入認(rèn)證機(jī)制：所有能對(duì)系統(tǒng)進(jìn)行管理的通信端口及協(xié)議都有接入認(rèn)證機(jī)制（標(biāo)準(zhǔn)協(xié)議沒(méi)有認(rèn)證機(jī)制的除外）。設(shè)備外部可見(jiàn)的能對(duì)系統(tǒng)進(jìn)行管理的物理接口都有接入認(rèn)證機(jī)制。通信矩陣：系統(tǒng)所有的對(duì)外通信連接是系統(tǒng)運(yùn)行和維護(hù)必需的，使用到的通信端口都在產(chǎn)品通信矩陣文檔中列出。1）網(wǎng)絡(luò)傳輸安全管理員和用戶訪問(wèn)管理系統(tǒng)，均采用HTTPS方式，傳輸通道采用TLS加密。2）API安全API是用戶業(yè)務(wù)對(duì)外開(kāi)放的接口，也是業(yè)戶受到攻擊的入口，所以需要利用API網(wǎng)關(guān)對(duì)API訪問(wèn)進(jìn)行安全配置和防護(hù)。3）敏感數(shù)據(jù)保護(hù)為了保護(hù)敏感數(shù)據(jù)，系統(tǒng)中對(duì)敏感數(shù)據(jù)做了如下的處理：4）日志管理和日志脫敏支持以下日志管理和日志脫敏：11、安全管理1）證書(shū)管理通過(guò)統(tǒng)一Web納管解決方案各部件的內(nèi)部證書(shū)，實(shí)現(xiàn)各部件內(nèi)部證書(shū)統(tǒng)一在線申請(qǐng)和替換，解決手工替換證書(shū)復(fù)雜且容易出錯(cuò)的問(wèn)題，提升運(yùn)維效率。運(yùn)維人員對(duì)內(nèi)部證書(shū)進(jìn)行運(yùn)維主要是兩種場(chǎng)景：第一次上線：替換全部部件的預(yù)置證書(shū)。定期替換或證書(shū)到期替換：