培訓(xùn)時(shí)間：2025年8月5日培訓(xùn)講師：XXX云數(shù)據(jù)中心網(wǎng)絡(luò)安全規(guī)劃培訓(xùn)課件

課堂規(guī)則Open—開放的心態(tài)、積極參與、勇敢發(fā)問

Close—封閉的環(huán)境，不要受外界的干擾，請(qǐng)將手機(jī)關(guān)機(jī)或靜音請(qǐng)勿隨意走動(dòng)、交談感謝您的配合云數(shù)據(jù)中心網(wǎng)絡(luò)安全規(guī)劃信息安全事件層出不窮，攻擊常態(tài)化，導(dǎo)致企業(yè)損失慘重。而數(shù)據(jù)中心集成了眾多服務(wù)，更容易成為信息安全攻擊的對(duì)象。為了保證信息安全，國(guó)家出臺(tái)了信息安全基本要求和評(píng)判準(zhǔn)則等一系列政策。云數(shù)據(jù)中心網(wǎng)絡(luò)安全規(guī)劃已經(jīng)成為一件必要而緊迫的事，如何規(guī)劃云數(shù)據(jù)中心網(wǎng)絡(luò)安全也考驗(yàn)著眾多IT工程師的智慧。學(xué)完本課程后，您將能夠：描述數(shù)據(jù)中心網(wǎng)絡(luò)安全風(fēng)險(xiǎn)規(guī)劃數(shù)據(jù)中心網(wǎng)絡(luò)安全解決方案部署數(shù)據(jù)中心安全設(shè)備數(shù)據(jù)中心網(wǎng)絡(luò)安全威脅數(shù)據(jù)中心網(wǎng)絡(luò)安全方案數(shù)據(jù)中心網(wǎng)絡(luò)安全產(chǎn)品部署數(shù)據(jù)中心網(wǎng)絡(luò)安全方案舉例信息安全事件在全球范圍內(nèi)平均每天有2個(gè)企業(yè)因?yàn)樾畔踩珕栴}瀕臨倒閉?！狥BI&CSI2013年根據(jù)對(duì)美國(guó)企業(yè)和政府的樣本來看，每次網(wǎng)絡(luò)攻擊平均造成的損失為1156萬美元，平均花費(fèi)超過100萬美元?！狿onemonInstitute2013全球大型企業(yè)遭遇網(wǎng)絡(luò)攻擊后，造成的平均損失為64.9萬美元?！狟2BInternational2013年英國(guó)81%的大企業(yè)和60%的小企業(yè)遭受網(wǎng)絡(luò)攻擊，每次損失分別為60~115萬和6.5~11.5萬英鎊?！杖A永道信息安全事件層出不窮，攻擊常態(tài)化信息安全事件損失慘重2013.6棱鏡門2017.5勒索病毒2013.3韓國(guó)銀行2010/07Stuxnet2011.2NightDragon2014.11索尼2011.3RSA2011.8ShadyRAT2014/9Gmail泄露內(nèi)部泄密多種泄密手段（

終端/網(wǎng)絡(luò)外發(fā)/區(qū)域越權(quán))，

竊取機(jī)密信息，銷售給競(jìng)爭(zhēng)對(duì)手防護(hù)手段單一，而且難以在安全與效率之間取得

平衡管理人員IT特權(quán)濫用，導(dǎo)致機(jī)密資料有意或無意泄露缺乏監(jiān)督機(jī)制，審計(jì)追溯困難IT特權(quán)濫用復(fù)雜的策略管理，海量日志事件，響應(yīng)遲鈍，

運(yùn)維效率低下攻擊/泄密行為不可見，安全態(tài)勢(shì)難以掌握管理困難攻擊網(wǎng)絡(luò)/服務(wù)，網(wǎng)絡(luò)不暢/癱瘓/業(yè)務(wù)中斷攻擊終端/服務(wù)器，變種病毒/木馬，0day漏洞等，破壞系統(tǒng)或竊取機(jī)密信息APT防不勝防惡意攻擊數(shù)據(jù)中心的安全挑戰(zhàn)網(wǎng)絡(luò)與邊界應(yīng)用與數(shù)據(jù)主機(jī)系統(tǒng)運(yùn)維與管理威脅：拒絕服務(wù)攻擊/非法入侵/嗅探威脅：數(shù)據(jù)隱私威脅/拒絕服務(wù)攻擊/業(yè)務(wù)系統(tǒng)攻擊/

數(shù)據(jù)庫入侵/病毒感染威脅：OS漏洞/VM攻擊/虛擬化漏洞/終端非法接入威脅：安全威脅無法整體展現(xiàn)/海量事件無法關(guān)

聯(lián)分析/安全事件回溯困難數(shù)據(jù)中心安全威脅分析數(shù)據(jù)中心網(wǎng)絡(luò)安全威脅數(shù)據(jù)中心網(wǎng)絡(luò)安全方案數(shù)據(jù)中心網(wǎng)絡(luò)安全產(chǎn)品部署數(shù)據(jù)中心網(wǎng)絡(luò)安全方案舉例信息安全建設(shè)穩(wěn)定可靠的產(chǎn)品全面的技術(shù)方案高效的安全管理Security完善的安全體系,牢不可破安全產(chǎn)品安全產(chǎn)品安全產(chǎn)品依然漏洞百出信息安全建設(shè)需要構(gòu)建一個(gè)能保障政務(wù)業(yè)務(wù)穩(wěn)定發(fā)展的完善的安全體系安全物理網(wǎng)絡(luò)安全應(yīng)用安全主機(jī)安全數(shù)據(jù)安全&備份恢復(fù)抗DDoS攻擊防火墻入侵檢測(cè)/防護(hù)網(wǎng)絡(luò)拓?fù)涔芾砹髁靠刂瓢踩謪^(qū)安全組防病毒網(wǎng)關(guān)APT攻擊檢測(cè)安全日志VPN接入惡意代碼檢測(cè)時(shí)間服務(wù)網(wǎng)絡(luò)審計(jì)運(yùn)維審計(jì)審計(jì)接口統(tǒng)一安全管控平臺(tái)OS系統(tǒng)加固運(yùn)維審計(jì)剩余信息清除主機(jī)入侵檢測(cè)漏洞補(bǔ)丁處理文件完整性檢測(cè)惡意代碼防護(hù)性能檢測(cè)虛擬資源QoS鏡像和快照保護(hù)主機(jī)殺毒CA認(rèn)證系統(tǒng)運(yùn)行監(jiān)控完整性檢測(cè)存儲(chǔ)加密數(shù)據(jù)本地備份數(shù)據(jù)異地備份數(shù)據(jù)庫審計(jì)網(wǎng)頁防篡改Web應(yīng)用防護(hù)虛擬機(jī)模板加固虛擬機(jī)隔離CA認(rèn)證系統(tǒng)CA認(rèn)證系統(tǒng)應(yīng)用脆弱性掃描源代碼安全分析數(shù)據(jù)遷移物理訪問控制…電力溫濕度虛擬化相關(guān)傳統(tǒng)安全信息安全等級(jí)保護(hù)公安部頒布的最新等保三級(jí)標(biāo)準(zhǔn)新增了虛擬化安全相關(guān)內(nèi)容。華為數(shù)據(jù)中心安全解決方案框架開放兼容性原則高可靠性原則可擴(kuò)展性原則安全最小授權(quán)原則安全平臺(tái)網(wǎng)絡(luò)設(shè)備華為安全云安全能力安全服務(wù)設(shè)計(jì)原則框架組成應(yīng)用&數(shù)據(jù)安全主機(jī)&虛擬化安全網(wǎng)絡(luò)&邊界安全管理與運(yùn)維安全服務(wù)器區(qū)日志管理系統(tǒng)

堡壘機(jī)VPN網(wǎng)關(guān)FW存儲(chǔ)區(qū)Anti-DDoSWAFIPS/IDSWAF為Web站點(diǎn)提安全防御機(jī)制并防止信息泄露和內(nèi)容篡改堡壘機(jī)/日志管理系統(tǒng)提供全統(tǒng)一的網(wǎng)絡(luò)運(yùn)維、管理及審計(jì)能力Anti-DDoS為威脅DCN的DDoS攻擊提供檢測(cè)及流量清洗服務(wù)防火墻提供安全隔離、非法訪問防護(hù)和訪問權(quán)限管理等IPS/IDS對(duì)入侵攻擊、惡意威脅行為，提供檢測(cè)及入侵防御能力IntranetExtranetInternet服務(wù)器區(qū)網(wǎng)絡(luò)&邊界安全管理與運(yùn)維安全應(yīng)用安全大數(shù)據(jù)安全分析系統(tǒng)高級(jí)威脅檢測(cè)分析，及威脅態(tài)勢(shì)感知呈現(xiàn)SVN為從非安全區(qū)接入DC網(wǎng)絡(luò)提供安全解決方案vNGFWAV主機(jī)安全vNGFW虛擬防火墻，做VM之間的隔離和防攻擊AV防止終端感染病毒，阻止惡意網(wǎng)站訪問安全沙箱安全沙箱檢測(cè)繞過NGFW、IPS和SMG的惡意軟件、基于0-Day漏洞的威脅和定向型APT威脅等大數(shù)據(jù)安全分析系統(tǒng)Controller終端身份識(shí)別、接入控制終端準(zhǔn)入控制系統(tǒng)華為數(shù)據(jù)中心網(wǎng)絡(luò)安全解決方案邊界安全解決方案固定PC便攜機(jī)辦事處IPSecVPNPadSmartPhone個(gè)人便攜SSLVPN固定PC便攜機(jī)分支機(jī)構(gòu)IPSecVPNDataCenter

FWFWFWAnti-DDoSSVNFWInternet政務(wù)網(wǎng)專線Internet數(shù)據(jù)中心DatabaseApplication計(jì)算域1管理中心DMZNIPNIP分支機(jī)構(gòu)MPLSInternetNGFWNGFWNGFW存儲(chǔ)域1計(jì)算域2存儲(chǔ)域2核心網(wǎng)絡(luò)安全解決方案終端安全解決方案-終端準(zhǔn)入控制網(wǎng)絡(luò)準(zhǔn)入控制，防止非法接入。APAggregationswitch(IntegratingAC)CorenetworkControllerDHCPDNSSACG終端安全解決方案-主機(jī)防病毒防止感染病毒，阻止惡意網(wǎng)站訪問。Anti-VirusClientIPNetworkServer(WindowsorLinux)Terminal(WindowsorLinux)Server(WindowsorLinux)Anti-VirusServer終端安全解決方案-終端準(zhǔn)入控制云主機(jī)的網(wǎng)絡(luò)入侵防御。Anti-virusVMVMHypervisorvNGFWAnti-virusVMVMHypervisorvNGFWvSwitch源VMIP：目的VMIPSecCenter云主機(jī)的網(wǎng)絡(luò)入侵防御InternetNGFW應(yīng)用區(qū)網(wǎng)頁篡改/SQL注入攻擊WAF匯聚層&接入層（終端）SMGFireHunter應(yīng)用安全解決方案核心局域網(wǎng)Internet遠(yuǎn)程接入內(nèi)網(wǎng)辦公數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)DB大數(shù)據(jù)安全檢測(cè)平臺(tái)運(yùn)維審計(jì)網(wǎng)絡(luò)安全審計(jì)網(wǎng)絡(luò)安全審計(jì)網(wǎng)絡(luò)流量會(huì)話日志應(yīng)用漏洞檢測(cè)審計(jì)郵件審計(jì)網(wǎng)絡(luò)安全事件日志NGFW、NIPPolicyCenter移動(dòng)辦公PolicyCenterNGFWUMA大數(shù)據(jù)安全檢測(cè)平臺(tái)CIS流量及行為異常檢測(cè)可定義威脅檢測(cè)未知威脅的全面檢測(cè)審計(jì)威脅可視化運(yùn)維審計(jì)管理和維護(hù)人員的管理運(yùn)維對(duì)核心業(yè)務(wù)系統(tǒng)的操行為審計(jì)支持各主流運(yùn)維方式

UMANIPCIS統(tǒng)一安全審計(jì)平臺(tái)全網(wǎng)日志集中管理全網(wǎng)安全事件集中管理關(guān)聯(lián)分析，預(yù)警通知報(bào)表、報(bào)告輸出

LogCenterNGFWNGFWEmailWebDMZDDINIP統(tǒng)一安全審計(jì)平臺(tái)LogCenter安全管理審計(jì)解決方案數(shù)據(jù)中心網(wǎng)絡(luò)安全威脅數(shù)據(jù)中心網(wǎng)絡(luò)安全方案數(shù)據(jù)中心網(wǎng)絡(luò)安全產(chǎn)品部署網(wǎng)絡(luò)邊界安全應(yīng)用安全管理與運(yùn)維安全主機(jī)安全數(shù)據(jù)中心網(wǎng)絡(luò)安全方案舉例Internet不同區(qū)域間精準(zhǔn)的訪問控制全業(yè)務(wù)虛擬化、防病毒、未知威脅檢測(cè)智能管理，自動(dòng)生成最嚴(yán)格的安全策略在分支機(jī)構(gòu)、互聯(lián)網(wǎng)接入?yún)^(qū)部署NGFW，防止被入侵在DC出口位置部署NGFW，保護(hù)南北向業(yè)務(wù)安全；在DC內(nèi)部各區(qū)域間部署NGFW，保護(hù)東西向業(yè)務(wù)安全部署vNGFW應(yīng)對(duì)虛擬化安全風(fēng)險(xiǎn)：如非授權(quán)訪問、惡意攻擊、和VM間的病毒感染；以及VM無縫遷移復(fù)雜的應(yīng)用難以管控、攻擊越來越隱蔽、內(nèi)外網(wǎng)和區(qū)域間訪問策略復(fù)雜，難以有效隔離面臨的挑戰(zhàn)解決方案客戶價(jià)值普通業(yè)務(wù)重要業(yè)務(wù)核心業(yè)務(wù)終端接入?yún)^(qū)分支接入?yún)^(qū)互聯(lián)網(wǎng)接入?yún)^(qū)vNGFW核心交換機(jī)數(shù)據(jù)中心vNGFWNGFWNGFWNGFWNGFWNGFW安全解決方案InternetAnti-DDoS邊界安全解決方案檢測(cè)中心管理中心清洗中心數(shù)據(jù)中心出口位置部署Anti-DDoS系統(tǒng)，流量完全鏡像到檢測(cè)中心檢測(cè)檢測(cè)結(jié)果上送網(wǎng)管系統(tǒng)，根據(jù)策略對(duì)攻擊流量進(jìn)行清洗黑客利用大量傀儡機(jī)或免費(fèi)代理同時(shí)對(duì)目標(biāo)發(fā)起請(qǐng)求，導(dǎo)致目標(biāo)的網(wǎng)絡(luò)出口鏈路擁塞或者忙于應(yīng)付攻擊請(qǐng)求無法響應(yīng)正常的服務(wù)面臨的挑戰(zhàn)解決方案高性能DDoS防護(hù)，秒級(jí)攻擊響應(yīng)精準(zhǔn)全面：100+種攻擊防護(hù)，全球化案例客戶價(jià)值數(shù)據(jù)中心網(wǎng)絡(luò)安全威脅數(shù)據(jù)中心網(wǎng)絡(luò)安全方案數(shù)據(jù)中心網(wǎng)絡(luò)安全產(chǎn)品部署網(wǎng)絡(luò)邊界安全應(yīng)用安全管理與運(yùn)維安全主機(jī)安全數(shù)據(jù)中心網(wǎng)絡(luò)安全方案舉例NIP基本業(yè)務(wù)區(qū)增值業(yè)務(wù)區(qū)管理維護(hù)區(qū)其它區(qū)Internet防御外網(wǎng)的黑客攻擊、蠕蟲傳播等問題監(jiān)控內(nèi)網(wǎng)的安全狀態(tài)，查找內(nèi)部攻擊源協(xié)助運(yùn)維管理，發(fā)現(xiàn)、定位網(wǎng)絡(luò)異常，幫助解決問題在業(yè)務(wù)服務(wù)器群前部署NIP產(chǎn)品，防御各種黑客攻擊行為和蠕蟲等，以保護(hù)高安全業(yè)務(wù)區(qū)安全在數(shù)據(jù)中心內(nèi)部旁路部署NIP產(chǎn)品，監(jiān)控內(nèi)部的攻擊行為，檢測(cè)異常的數(shù)據(jù)流量來自內(nèi)外部的惡意入侵，導(dǎo)致服務(wù)器無法正常工作內(nèi)部托管服務(wù)器被攻陷后，被操控進(jìn)行內(nèi)網(wǎng)攻擊，造成內(nèi)部蠕蟲、網(wǎng)馬泛濫面臨的挑戰(zhàn)解決方案客戶價(jià)值NIPNIPNIP入侵防御安全解決方案對(duì)訪問Web系統(tǒng)的網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)檢測(cè)。抵御Web應(yīng)用攻擊，防網(wǎng)站掛馬，防緩沖區(qū)攻擊，防DDoS攻擊，防SQL注入等在Web服務(wù)器群的入口部署Web應(yīng)用防火墻，WAF設(shè)備側(cè)掛在數(shù)據(jù)中心服務(wù)區(qū)核心交換機(jī)上，部署方案如下：網(wǎng)關(guān)模式：

WAF需要配置IP地址，且Web服務(wù)器的網(wǎng)關(guān)地址為Web應(yīng)用防火墻的IP地址，在這種模式下，后端的多臺(tái)Web服務(wù)器可以做負(fù)載均衡旁路監(jiān)控模式：通過交換機(jī)做鏡像流量到WAF，WAF對(duì)鏡像流量進(jìn)行檢測(cè)分析，分析業(yè)務(wù)流量的安全狀況網(wǎng)站攻擊事件頻發(fā)攻擊手段多樣化，迫切需要專業(yè)化、全面化的Web防護(hù)面臨的挑戰(zhàn)解決方案客戶價(jià)值…存儲(chǔ)網(wǎng)絡(luò)計(jì)算網(wǎng)絡(luò)WAFWAFWeb應(yīng)用安全解決方案先進(jìn)的郵件安全防護(hù)技術(shù)：領(lǐng)先的郵件信譽(yù)技術(shù)、病毒庫、關(guān)聯(lián)分析技術(shù)等更多的安全防護(hù)：多種技術(shù)保證重重防護(hù)高吞吐量：硬件保障極高的郵件吞吐量在Email服務(wù)器群前部署郵件安全網(wǎng)關(guān)(SMG)，防御各種針對(duì)郵件的攻擊行為，以保護(hù)郵件業(yè)務(wù)的安全垃圾，病毒郵件和混合攻擊：EmailandWeb混合型攻擊、89%的無關(guān)Email內(nèi)含URL、未知的URLs和合法的站點(diǎn)處于危險(xiǎn)數(shù)據(jù)泄露：外發(fā)數(shù)據(jù)泄漏被嚴(yán)重關(guān)注、80%時(shí)間是數(shù)據(jù)丟失、不適當(dāng)?shù)泥]件使用導(dǎo)致信譽(yù)風(fēng)險(xiǎn)面臨的挑戰(zhàn)解決方案客戶價(jià)值郵件信譽(yù)服務(wù)和技術(shù)復(fù)合式垃圾郵件引擎Web信譽(yù)檢查技術(shù)防釣魚郵件防郵件病毒防間諜軟件內(nèi)容過濾SMG郵件安全解決方案FireHunter未知威脅防護(hù)解決方案多系統(tǒng)模擬，減少漏報(bào)多層次檢測(cè)，秒級(jí)響應(yīng)多角度分析，降低誤報(bào)旁路部署，將到郵件服務(wù)器的流量鏡像給FirehunterFireHunter部署在現(xiàn)有安全設(shè)備之后，檢測(cè)繞過FW、IPS和SMG的惡意軟件、基于0-Day漏洞的威脅和定向型APT威脅等FireHunter可以大范圍集群部署，統(tǒng)一管理全網(wǎng)威脅基于特征的檢測(cè)技術(shù)無法識(shí)別未知的惡意軟件未知惡意軟件隱蔽性高，使用了高級(jí)逃逸技術(shù)，行為難以追蹤面臨的挑戰(zhàn)解決方案客戶價(jià)值單機(jī)部署NGFW/IPS/SWITCH管理中心檢測(cè)節(jié)點(diǎn)集群部署管理中心檢測(cè)節(jié)點(diǎn)1統(tǒng)一管理NGFW/IPS/SWITCH檢測(cè)節(jié)點(diǎn)2檢測(cè)節(jié)點(diǎn)NAPT防御正常行為基線對(duì)比異常全局立體防御架構(gòu)體系軟件防火墻流探針APT沙箱日志探針1.5倍文件檢測(cè)性能18萬/天2倍Web零Day檢測(cè)能力8GUSG6000V高性能40Gbps全特性IPS/AV/URL…廣適配5大云OS易對(duì)接RESTful/NetConf大數(shù)據(jù)安全分析FrieHunter6000安全沙箱CIS網(wǎng)絡(luò)安全智能系統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全威脅數(shù)據(jù)中心網(wǎng)絡(luò)安全方案數(shù)據(jù)中心網(wǎng)絡(luò)安全產(chǎn)品部署網(wǎng)絡(luò)邊界安全應(yīng)用安全管理與運(yùn)維安全主機(jī)安全數(shù)據(jù)中心網(wǎng)絡(luò)安全方案舉例CIS大數(shù)據(jù)安全解決方案數(shù)據(jù)中心部署CIS系統(tǒng)，通過流量探針、日志采集等、沙箱深入分析等手段，采集全網(wǎng)信息在分析平臺(tái)進(jìn)行深度分析檢測(cè)，報(bào)表平臺(tái)展示高級(jí)威脅態(tài)勢(shì)面臨的挑戰(zhàn)解決方案終端異常檢測(cè)、行為異常檢測(cè)、流量異常檢測(cè)、事件異常檢測(cè)自定義可疑行為檢測(cè)威脅可視化客戶價(jià)值CIS大數(shù)據(jù)安全檢測(cè)平臺(tái)日志采集安全沙箱存儲(chǔ)設(shè)備用戶辦公分支機(jī)構(gòu)流探針移動(dòng)接入DC服務(wù)器日志采集日志采集網(wǎng)絡(luò)設(shè)備數(shù)據(jù)泄露和惡意APT攻擊是當(dāng)前面臨的最大威脅，但傳統(tǒng)的檢測(cè)技術(shù)無法防御APT日志采集UMA網(wǎng)絡(luò)設(shè)備外部運(yùn)維人員合作伙伴代維廠商出差員工內(nèi)部運(yùn)維人員統(tǒng)一訪問入口，集中權(quán)限控制，實(shí)現(xiàn)運(yùn)維操作的規(guī)范化管理完善組織的內(nèi)控與審計(jì)體系，提供精準(zhǔn)的責(zé)任鑒定和事件追溯提供設(shè)備統(tǒng)一運(yùn)維入口，管理員賬號(hào)集中管理，提供內(nèi)建本地賬號(hào)和與第三方賬號(hào)的聯(lián)動(dòng)，包括AD賬號(hào)和LDAP賬號(hào)記錄操作全過程及日志，以視頻的形式保留操作信息，方便事后審計(jì)，和定期問題審視面臨的挑戰(zhàn)解決方案客戶價(jià)值入口分散，無法集中管理問題：所有維護(hù)人員直接登錄到各個(gè)網(wǎng)元設(shè)備或服務(wù)器進(jìn)行操作缺少統(tǒng)一審計(jì)溯源方案，無法集中監(jiān)控、審計(jì)、對(duì)行政管理手段要求高應(yīng)用服務(wù)器數(shù)據(jù)庫LDAP/AD服務(wù)器UMA安全運(yùn)維審計(jì)解決方案政務(wù)內(nèi)網(wǎng)NGFW用戶終端郵件服務(wù)器數(shù)據(jù)服務(wù)器Web服務(wù)器交換機(jī)黑客攻擊logSYSLOG、二進(jìn)制、SFTP、FTP靜態(tài)文件、FTP動(dòng)態(tài)文件、WMI多種日志LogCenter統(tǒng)一事件管理豐富的審計(jì)報(bào)表查詢部署LogCenter服務(wù)器，對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)一的事件管理分析，如DDoS攻擊事件分析、插件阻斷分析、訪問控制事件分析、策略命中分析、入侵防御（IPS）分析、URL過濾分析、郵件過濾分析，同時(shí)還可以搜集出口網(wǎng)關(guān)的二進(jìn)制會(huì)話日志，定位網(wǎng)絡(luò)事件解決方案客戶價(jià)值木馬制造者病毒制造者網(wǎng)元類型多樣，日志格式不統(tǒng)一、可讀性差、海量日志存儲(chǔ)困難、日志難于統(tǒng)一管理等，導(dǎo)致安全隱患難以以及呈現(xiàn)面臨挑戰(zhàn)LogCenter統(tǒng)一安全審計(jì)解決方案數(shù)據(jù)中心網(wǎng)絡(luò)安全威脅數(shù)據(jù)中心網(wǎng)絡(luò)安全方案數(shù)據(jù)中心網(wǎng)絡(luò)安全產(chǎn)品部署網(wǎng)絡(luò)邊界安全應(yīng)用安全管理與運(yùn)維安全主機(jī)安全數(shù)據(jù)中心網(wǎng)絡(luò)安全方案舉例VMVMPhysicalNetworkVMVMvSwitchNVE1SecurityGroupvSwitchNVE1SecurityGroupvSwitchVMVMPhysicalNetworkvSwitchVMVMvSwitchTenant1vFWTenant2vFWvSwitchVMVMPhysicalNetworkTenant1Tenant2vFWvSwitchVMVMTenant1Tenant2vFW安全組vFW分布式部署vFW集中部署L2~L4無狀態(tài)安全組方案，就近提供安全組隔離隔離技術(shù)與承載網(wǎng)絡(luò)完全解耦分布式部署，不需引流基于安全組名配置規(guī)則，消除ACL的規(guī)則N2問題提供集中池化高性能防護(hù)，Service-chain引流。每租戶獨(dú)立部署?？瑟?dú)立使用一個(gè)VM或一臺(tái)X86物理機(jī)。資源利用高效，適合少量東西向安全需求場(chǎng)景不需感知VM，不需vFW表項(xiàng)同步隨業(yè)務(wù)VM部署。每臺(tái)存在業(yè)務(wù)VM的虛擬化服務(wù)器都部署一臺(tái)VM形態(tài)的vFW。租戶通過vFW的多實(shí)例區(qū)分。租戶vfw計(jì)算資源共享擴(kuò)展性更好，流量就近處理需感知VM，包括vFW創(chuàng)建、vFW表項(xiàng)同步。東西向安全防護(hù)方案綜述VAS部署形態(tài)：VAS服務(wù)+VAS連接方案部署形態(tài)部署方式擴(kuò)展性流量路徑分配方式實(shí)現(xiàn)難度分布式vFWVM隨業(yè)務(wù)VM部署。每臺(tái)存在業(yè)務(wù)VM的虛擬化服務(wù)器都部署一臺(tái)VM形態(tài)的vFW。租戶通過vFW的多實(shí)例區(qū)分。優(yōu)（Scaleout）優(yōu)（最優(yōu)路徑）劣（由于租戶vfw計(jì)算資源共享，每租戶無法區(qū)分具體使用多少計(jì)算資源）難：需感知VM，包括vFW創(chuàng)建、vFW表項(xiàng)同步。集中式vFWVM或X86物理服務(wù)器每租戶集中部署一臺(tái)VM或X86物理服務(wù)器。劣（Scaleup）劣（次優(yōu)路徑，如發(fā)動(dòng)網(wǎng)絡(luò)攻擊可能造成網(wǎng)絡(luò)擁塞）優(yōu)（每租戶獨(dú)立使用VM的計(jì)算資源）易：不需要感知VM，不需要表項(xiàng)同步。安全組：具有相同的安全策略的一組VM的集合,支持安全組間的訪問控制策略和安全組內(nèi)成員間的互訪策略。每個(gè)VM一組ACL，互不影響，VM遷移時(shí)安全策略自動(dòng)刷新。提供VM粒度的隔離機(jī)制，解決VLAN資源不足、配置工作量大的問題。分布式策略控制，報(bào)文無需迂回到集中的策略控制點(diǎn)，避免形成性能瓶頸?？梢院瓦吔绶阑饓餐渴穑瑯?gòu)筑立體安全防護(hù)能力（南北向流量控制+東西向流量控制）。VLAN10VLAN30VLAN40VLAN20vSwitch虛擬化平臺(tái)接入交換匯聚交換虛擬化層接入交換vSwitchvSwitchvSwitchhost1安全組策略執(zhí)行安全組策略執(zhí)行安全組策略執(zhí)行安全組策略執(zhí)行安全組1安全組2安全組3云管理(VM部署)如：目的端口80host2host3host_N安全組訪問控制策略下發(fā)東西向安全防護(hù)-安全組隔離東西向安全防護(hù)-vFW集中部署vSwitchVMVMTORPhyPhy虛擬化服務(wù)器物理服務(wù)器流表規(guī)則vSwitchvFW租戶1控制器網(wǎng)絡(luò)控制面安全策略面安全策略（1）安全組識(shí)別：通過源和目的IP（離散IP或網(wǎng)段）區(qū)分源組和目的組（流表1），判斷引流到具體vFW位置（位于哪個(gè)TOR或vswitch）。（2）VxLAN隧道封裝：VxLAN隧道DIP為vFW所在的vswitch，VNID填表示具體租戶ID。（1）VxLAN隧道解封裝。（2）通過租戶ID標(biāo)示判斷引流到具體vFW。（1）安全組識(shí)別：通過源和目的IP（離散IP或網(wǎng)段）區(qū)分源組和目的組。（2）對(duì)組間執(zhí)行安全策略。（1）分布式L3GW：跨子網(wǎng)/同子網(wǎng)，正常轉(zhuǎn)發(fā)，VxLAN隧道封裝。（2）集中式L3GW：通過租戶信息和IP映射到原始報(bào)文所屬子網(wǎng)VNID（流表2）后，正常轉(zhuǎn)發(fā)，VxLAN隧道封裝。（1）隧道解封裝，正常轉(zhuǎn)發(fā)。（2）禁止源MAC學(xué)習(xí)。12345VxLANVxLAN隧道IP/VLAN數(shù)據(jù)中心網(wǎng)絡(luò)安全威脅數(shù)據(jù)中心網(wǎng)絡(luò)安全方案數(shù)據(jù)中心網(wǎng)絡(luò)安全產(chǎn)品部署數(shù)據(jù)中心網(wǎng)絡(luò)安全方案舉例A市政務(wù)云的建設(shè)背景效率低下部署周期長(zhǎng)：新業(yè)務(wù)上線流程有可研、立項(xiàng)、招投標(biāo)、硬件采購、到貨安裝、軟件上線、系統(tǒng)調(diào)試等，一般約需要6~8個(gè)月時(shí)間資源利用率低、系統(tǒng)復(fù)雜：A市政府80%的PC機(jī)利用率在不足15%，且機(jī)房設(shè)施薄弱，數(shù)據(jù)安全需要提高。同時(shí)，小機(jī)云化，是重點(diǎn)關(guān)注的問題數(shù)據(jù)無法整合：各部門橫向、縱向數(shù)據(jù)共享的深度和廣度需要加強(qiáng)，利用大數(shù)據(jù)技術(shù)推動(dòng)政務(wù)信息公開透明政策因素其他城市領(lǐng)先：在附近城市都采用各種方式建設(shè)政務(wù)云的情況下，A市需要迎頭趕上監(jiān)管模式轉(zhuǎn)變：面對(duì)國(guó)家提出的新型政府建設(shè)要求，政務(wù)云為A市政府轉(zhuǎn)變帶來契機(jī)地級(jí)市政務(wù)信息交換的抓手：地級(jí)市作為地方省份承上啟下的核心單位，實(shí)現(xiàn)市級(jí)政務(wù)信息共享交換必須由市級(jí)政府統(tǒng)一牽頭，事實(shí)已經(jīng)證明，依靠建設(shè)力量較強(qiáng)的委辦局來建設(shè)市級(jí)政務(wù)信息共享交換平臺(tái)存在諸多弊端成本高企電子政務(wù)建設(shè)投入大：A市電子政務(wù)2015年預(yù)算投入1.9億元，以信息系統(tǒng)投入中硬件、軟件、運(yùn)維5:3:2的比例，僅A市級(jí)（不含區(qū)縣）財(cái)政2015年需要在電子政務(wù)中基礎(chǔ)設(shè)施設(shè)備投入9500萬元運(yùn)維成本高：按照上面的估算，2015年該市財(cái)政運(yùn)營(yíng)運(yùn)維投入3800萬元，這些投入還不含水電費(fèi)和運(yùn)維人工費(fèi)用驅(qū)動(dòng)力提高資源利用率降低財(cái)政支出①提升部署效率促進(jìn)系統(tǒng)整合增進(jìn)信息共享②迎頭趕上政務(wù)云潮流促進(jìn)監(jiān)管模式轉(zhuǎn)變市級(jí)政府是抓手③A市政務(wù)云業(yè)務(wù)現(xiàn)狀業(yè)務(wù)涉及多朵云：政務(wù)專有云、政務(wù)公有云、行業(yè)專有云多地中心：主生產(chǎn)中心（包括A市、B市兩地）、災(zāi)備中心（C市）網(wǎng)絡(luò)場(chǎng)景復(fù)雜：物理專網(wǎng)、邏輯專網(wǎng)、政務(wù)外網(wǎng)、機(jī)房延伸（二層透?jìng)鳎?、跨云?shù)據(jù)交換局委辦業(yè)務(wù)眾多：公積金、財(cái)政、工商、稅務(wù)、國(guó)資、安監(jiān)局、發(fā)改委等46個(gè)單位A市電子政務(wù)特點(diǎn)地點(diǎn)局委辦VM數(shù)量A市主中心公積金3市府辦5社保局46A市市場(chǎng)監(jiān)管局27嘉善圖書館2M市市場(chǎng)監(jiān)管局3平湖社保3A市衛(wèi)計(jì)委7…………合計(jì)24個(gè)局委辦243地點(diǎn)局委辦VM數(shù)量B市分中心B市環(huán)保3B市住建16B市衛(wèi)生局6B市國(guó)土5B市人社18B市民政3B市綜合執(zhí)法9平湖醫(yī)療6B市市場(chǎng)監(jiān)管局7災(zāi)備區(qū)6…….……合計(jì)22個(gè)局委辦151中心3不同級(jí)別相互隔離的專網(wǎng)3虛擬機(jī)400+局委辦單位46業(yè)務(wù)應(yīng)用系統(tǒng)120+A市政務(wù)云網(wǎng)絡(luò)接入現(xiàn)狀運(yùn)維管理面應(yīng)用單位應(yīng)用單位41365？2病毒,蠕蟲,木馬7黑客89A市政務(wù)云現(xiàn)網(wǎng)安全管理現(xiàn)狀無云安全管理組織無合理的安全責(zé)任界面無合理的安全管理制度流程無全面安全管理基線A市政務(wù)云安全現(xiàn)狀分析安全技術(shù)防護(hù)現(xiàn)狀只有網(wǎng)絡(luò)邊界訪問控制無法識(shí)別的病毒、木馬云主機(jī)無安全防護(hù)機(jī)制缺少攻擊防護(hù)安全機(jī)制跨區(qū)數(shù)據(jù)流動(dòng)需安全管控缺統(tǒng)一的安全監(jiān)控手段安全運(yùn)維現(xiàn)狀運(yùn)維人員權(quán)限高，缺乏全面監(jiān)管缺乏強(qiáng)身份認(rèn)證機(jī)制缺乏專業(yè)安全運(yùn)維人員安全日志繁多，缺乏專業(yè)分析工具攻擊案例-黑客攻擊，數(shù)據(jù)被加密網(wǎng)站服務(wù)器攻擊滲透、遠(yuǎn)程控制黑客數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫被加密！被勒索5個(gè)比特幣“敲詐者”病毒樣本攻擊案例-服務(wù)器被掛馬，植入病毒部分主機(jī)CPU負(fù)載長(zhǎng)期高于70%被用于比特幣挖礦攻擊案例啟示政務(wù)云承載了20+局委辦的130+臺(tái)虛擬機(jī)，但由于云平臺(tái)和安全未同步建設(shè)，云平臺(tái)長(zhǎng)期缺少安全防護(hù)：政府Web網(wǎng)站缺乏有效的安全防護(hù)，輕易被攻擊掛馬核心服務(wù)器缺少監(jiān)控審計(jì)，一旦攻擊者刪除操作日志，很難對(duì)攻擊行為進(jìn)行追溯跟蹤缺少對(duì)上云業(yè)務(wù)