【正文】 基于黑客攻擊過(guò)程的動(dòng)態(tài)防御機(jī)制，實(shí)現(xiàn)雙向的內(nèi)容檢測(cè)，提供OWASP定義的十大安全威脅的攻擊防護(hù)能力，有效防止常見(jiàn)的web攻擊。NGAF同時(shí)提供實(shí)時(shí)的漏洞保護(hù)和防護(hù)能力，能夠?qū)崟r(shí)對(duì)操作系統(tǒng)、應(yīng)用程序漏洞，如HTTP服務(wù)器(Apache、IIS)，F(xiàn)TP服務(wù)器(FileZilla)，Mail服務(wù)器(Exchange)，Realvnc，OpenSSH，Mysql，DB，SQL，Oracle等漏洞保護(hù)，包括后門(mén)程序預(yù)防、協(xié)議脆弱性保護(hù)、exploit保護(hù)、網(wǎng)絡(luò)共享服務(wù)保護(hù)、shellcode預(yù)防、間諜程序預(yù)防等，有效防止了云平臺(tái)主機(jī)漏洞被利用而成為黑客攻擊的跳板。 . 多業(yè)務(wù)數(shù)據(jù)隔離和交換面向外網(wǎng)用戶的公共服務(wù)區(qū)和面向互聯(lián)網(wǎng)服務(wù)的互聯(lián)網(wǎng)區(qū)，兩區(qū)之間采用強(qiáng)隔離技術(shù)實(shí)現(xiàn)數(shù)據(jù)交換或同步: 為了保障平臺(tái)層的安全，在互聯(lián)網(wǎng)區(qū)與公用網(wǎng)絡(luò)區(qū)出口邊界部署深信服下一代防火墻NGAF。集團(tuán)子公司（租戶）業(yè)務(wù)系統(tǒng)上線后，面臨著用戶遠(yuǎn)程接入訪問(wèn)的問(wèn)題，不管是運(yùn)維人員的運(yùn)維接入，還是租戶的接入，都是需要慎重考慮接入安全的問(wèn)題，尤其是使用BYOD接入訪問(wèn)，更應(yīng)該對(duì)其接入進(jìn)行嚴(yán)格的身份認(rèn)證和安全核查，同時(shí)對(duì)用戶訪問(wèn)行為進(jìn)行合理的權(quán)限劃分，及接入訪問(wèn)的審計(jì)追溯，避免安全問(wèn)題從遠(yuǎn)端傳遞過(guò)來(lái)并在云平臺(tái)蔓延。深信服SSL VPN網(wǎng)關(guān)也提供了專(zhuān)業(yè)的IPSec VPN功能，滿足云平臺(tái)業(yè)務(wù)使用IPSec VPN技術(shù)專(zhuān)網(wǎng)互聯(lián)的需求，實(shí)現(xiàn)各區(qū)域安全數(shù)據(jù)安全加固。高穩(wěn)定性 SANGFOR VPN通過(guò)VPN隧道、線路和設(shè)備三方面的全方位保證整個(gè)VPN網(wǎng)絡(luò)的穩(wěn)定性。充分的利用了各條線路，在保證線路的高穩(wěn)定性下實(shí)現(xiàn)線路價(jià)值的最大化。 事前控制：接入身份安全、合法性保障我們建議在業(yè)務(wù)系統(tǒng)需要提供遠(yuǎn)程安全接入時(shí)，在用戶認(rèn)證方面采用多種認(rèn)證方式組合認(rèn)證的方式。本方案建議根據(jù)情況，進(jìn)行客戶端安全檢查結(jié)果進(jìn)行相應(yīng)應(yīng)用訪問(wèn)權(quán)限的準(zhǔn)入和授權(quán)，同時(shí)通過(guò)SSL VPN成功接入到內(nèi)網(wǎng)中后，則自動(dòng)斷開(kāi)其他的Internet線路，只保留SSL VPN的通道，防止黑客通過(guò)Internet控制接入。告警日志提供（暴破登錄攻擊記錄、CPU長(zhǎng)時(shí)間占用過(guò)高記錄、設(shè)備內(nèi)存不足）、用戶暴破登錄、主從用戶名非法訪問(wèn)記錄等。. 鏈路/全局負(fù)載均衡深信服AD產(chǎn)品是專(zhuān)業(yè)的應(yīng)用交付設(shè)備，給云平臺(tái)提供了專(zhuān)業(yè)的鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡解決方案，在鏈路或服務(wù)正常運(yùn)行時(shí)，實(shí)現(xiàn)鏈路和服務(wù)的最優(yōu)化利用，在出現(xiàn)故障時(shí)，迅速切換到備份鏈路和冗余服務(wù)器上，杜絕因虛機(jī)故障或應(yīng)用假死造成用戶訪問(wèn)中斷。鏈路的健康檢查深信服AD設(shè)備包含的單邊加速技術(shù)是對(duì)這類(lèi)用戶訪問(wèn)速度的一種保障。這樣，只要其中一個(gè)站點(diǎn)可達(dá)，即可表明鏈路狀態(tài)良好。 租戶側(cè)設(shè)計(jì)方案 云租戶安全防護(hù)指的是，在服務(wù)器虛擬化環(huán)境下，對(duì)不同租戶間、租戶內(nèi)部虛擬機(jī)間的流量進(jìn)行安全防護(hù)和隔離。通過(guò)安全軟件資源池，可以實(shí)現(xiàn)按需分配、靈活部署的安全保護(hù)。并且提供主動(dòng)式入侵防御功能，能夠阻止蠕蟲(chóng)、病毒、木馬、拒絕服務(wù)攻擊、間諜軟件的攻擊。云環(huán)境中B/S架構(gòu)的業(yè)務(wù)普遍存在，大量的底層系統(tǒng)和Web業(yè)務(wù)應(yīng)用引入各種各樣的漏洞，因此需要在安全資源池中分配虛擬防火墻對(duì)指定的業(yè)務(wù)系統(tǒng)系統(tǒng)或web應(yīng)用進(jìn)行防御，解決常見(jiàn)的web應(yīng)用安全問(wèn)題，如SQL注入攻擊，跨站腳本攻擊攻，CSRF即跨站請(qǐng)求偽造，網(wǎng)站掃描攻擊，文件包含漏洞攻擊，目錄遍歷漏洞及弱口令風(fēng)險(xiǎn)發(fā)現(xiàn)。為每一個(gè)租戶部署的虛擬防火墻具備專(zhuān)業(yè)的WEB應(yīng)用安全防護(hù)功能，有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過(guò)程的動(dòng)態(tài)防御機(jī)制，實(shí)現(xiàn)雙向的內(nèi)容檢測(cè)，提供OWASP定義的十大安全威脅的攻擊防護(hù)能力，有效防止常見(jiàn)的web攻擊。為了保障云平臺(tái)內(nèi)部應(yīng)用系統(tǒng)發(fā)布后的穩(wěn)定運(yùn)行，并實(shí)現(xiàn)每一個(gè)用戶訪問(wèn)業(yè)務(wù)系統(tǒng)的使用體驗(yàn)。l 在租戶業(yè)務(wù)系統(tǒng)的安全接入方面，我們的設(shè)計(jì)思路是從身份認(rèn)證安全（訪問(wèn)事前控制）、終端訪問(wèn)及數(shù)據(jù)傳輸安全（訪問(wèn)事中檢查）、權(quán)限和應(yīng)用訪問(wèn)審計(jì)（訪問(wèn)事后追查），這三個(gè)方面來(lái)進(jìn)行安全體系來(lái)深入考慮。事中檢查：系統(tǒng)終端訪問(wèn)過(guò)程安全在訪問(wèn)這些應(yīng)用系統(tǒng)的過(guò)程中，應(yīng)該更應(yīng)該考慮訪問(wèn)、讀取過(guò)程的安全，而終端的接入過(guò)程影響著整個(gè)系統(tǒng)的安全，對(duì)于終端接入的安全需要從終端本身方面保證，接入的終端必須達(dá)到一定的安全標(biāo)準(zhǔn)才允許接入，避免危險(xiǎn)終端的接入。用戶訪問(wèn)日志則提供用戶訪問(wèn)時(shí)信息（登錄IP、訪問(wèn)資源、時(shí)間、認(rèn)證方式）、用戶活躍程度、用戶/用戶組流量排行及查詢、用戶/用戶組流速趨勢(shì)及查詢。通過(guò)流量削減，可以保障云數(shù)據(jù)中心傳統(tǒng)數(shù)據(jù)中心的專(zhuān)線帶寬占有率在一個(gè)較為健康的范圍之內(nèi)，即使在高峰期同樣可以順暢的進(jìn)行數(shù)據(jù)同步。針對(duì)數(shù)據(jù)庫(kù)同步、數(shù)據(jù)備份軟件等核心業(yè)務(wù)系統(tǒng)及應(yīng)用進(jìn)行單獨(dú)的高優(yōu)先級(jí)帶寬保障，設(shè)置最小保障帶寬保證使用。根據(jù)各個(gè)集團(tuán)子公司租戶在云平臺(tái)的應(yīng)用場(chǎng)景，可以劃分為：網(wǎng)站/應(yīng)用的托管部署n 應(yīng)用需求：將單個(gè)應(yīng)用，完全部署在云平臺(tái)環(huán)境中，對(duì)公眾、橫向兄弟單位提供接入訪問(wèn)n 建議部署組件：采用vAF提供租戶間、對(duì)外南北流量的安全防護(hù)；vAD提供虛擬機(jī)的服務(wù)器負(fù)載均衡，提升應(yīng)用的可靠性應(yīng)用混合云部署n 應(yīng)用需求：在云平臺(tái)部署了部分應(yīng)用系統(tǒng)，或者單個(gè)應(yīng)用的系統(tǒng)的部分組件（如僅部署Web服務(wù)器，DB還在傳統(tǒng)數(shù)據(jù)中心），這些虛擬機(jī)依然需要與租戶的傳統(tǒng)數(shù)據(jù)中心（租戶DC）進(jìn)行數(shù)據(jù)訪問(wèn)；同時(shí)，為了提升對(duì)外訪問(wèn)的安全性，需要進(jìn)行加密傳輸和認(rèn)證加固。 NFV安全組件部署方式深信服虛擬化軟件安全、優(yōu)化產(chǎn)品的NFV部署方式是以虛機(jī)的形式存在于在虛擬化平臺(tái)中，可以快速部署于VMware、KVM、XEN、華三等服務(wù)器虛擬化平臺(tái)。 路由部署： vAF、vWOC216。 策略配置：配置AD、AF、SSL等虛擬設(shè)備的相關(guān)策略216。通過(guò)對(duì)租戶的分級(jí)管理，實(shí)現(xiàn)了私有云多級(jí)資源分配的要求，通過(guò)定制個(gè)性化的審批流程，使得服務(wù)的申請(qǐng)更符合某些特殊業(yè)務(wù)的多級(jí)審批要求。SC集中平臺(tái)可以統(tǒng)一查看各個(gè)設(shè)備的實(shí)時(shí)信息，包括最近事件，cpu、內(nèi)存、磁盤(pán)使用信息，內(nèi)置庫(kù)版本信息等；并能進(jìn)行安全策略統(tǒng)一管理下發(fā)和軟件規(guī)則庫(kù)自動(dòng)升級(jí)管理。管理系統(tǒng)不僅要實(shí)現(xiàn)對(duì)傳統(tǒng)的物理資源和新的虛擬資源進(jìn)行管理，還要從全局而非割裂地管理資源，因此統(tǒng)一管理平臺(tái)與自動(dòng)化服務(wù)交付是提升服務(wù)效率的重要因素。深信服的AD、NGAF等產(chǎn)品的硬件設(shè)備、軟件虛擬化版本均開(kāi)放了北向的OpenStack接口，通過(guò)開(kāi)放的統(tǒng)一接口，能夠更好的實(shí)現(xiàn)和第三方平臺(tái)的融合，并實(shí)現(xiàn)功能服務(wù)的創(chuàng)建及關(guān)閉、功能模塊的策略配置。 高性價(jià)比：降低IT建設(shè)成本在云平臺(tái)上，所有的安全、優(yōu)化等組件均按需擴(kuò)展。同時(shí)，云中心管理員可以根據(jù)租戶的業(yè)務(wù)發(fā)展，增加虛機(jī)資源，按需擴(kuò)展虛擬設(shè)備功能、性能。云計(jì)算能從技術(shù)上降低信息共享和業(yè)務(wù)協(xié)同的難度。因此，使用部門(mén)能夠集中人力物力進(jìn)行本部門(mén)的業(yè)務(wù)運(yùn)轉(zhuǎn)，從而減輕行政負(fù)擔(dān)與運(yùn)轉(zhuǎn)效率，使對(duì)外業(yè)務(wù)部門(mén)能有更多的精力專(zhuān)注于面向公眾的公共服務(wù)，提高服務(wù)效率。在紛雜的塵世里，為自己留下一片純靜的心靈空間，不管是潮起潮落，也不管是陰晴圓缺，你都可以免去浮躁，義無(wú)反顧，勇往直前，輕松自如地走好人生路上的每一步3. 花一些時(shí)間，總會(huì)看清一些事。努力過(guò)后，才知道許多事情，堅(jiān)持堅(jiān)持，就過(guò)來(lái)了。只有你自己才能把歲月描畫(huà)成一幅難以忘懷的人生畫(huà)卷。歲月是有情的，假如你奉獻(xiàn)給她的是一些色彩，它奉獻(xiàn)給你的也是一些色彩。有時(shí)候覺(jué)得自己像個(gè)神經(jīng)病。1. 若不給自己設(shè)限，則人生中就沒(méi)有限制你發(fā)揮的藩籬。同時(shí)集中化的安全部署考慮能夠解決以前面臨的各種“安全信息孤島”問(wèn)題。開(kāi)發(fā)者在一個(gè)平臺(tái)上構(gòu)建和部署應(yīng)用程序，大大提高了信息系統(tǒng)的部署效率。這帶來(lái)了三大好處：一是不需要投資建立數(shù)據(jù)中心和大型機(jī)房，購(gòu)買(mǎi)服務(wù)器和存儲(chǔ)設(shè)備等，從而節(jié)省建設(shè)費(fèi)用；二是信息軟硬件資源交給專(zhuān)業(yè)的云服務(wù)商管理，不再負(fù)擔(dān)信息系統(tǒng)維護(hù)和升級(jí)，節(jié)省了運(yùn)維費(fèi)用。第五章 解決方案價(jià)值云平臺(tái)的搭建將有助于信息化建設(shè)模式向集約化、整體化的可持續(xù)發(fā)展模式轉(zhuǎn)變，使跨部門(mén)跨區(qū)域的協(xié)同互動(dòng)和資源共享成為現(xiàn)實(shí)的同時(shí)還能帶來(lái)如下好處： 高安全：提供專(zhuān)業(yè)、可靠的服務(wù)整個(gè)解決方案分別從平臺(tái)、租戶、管理運(yùn)維三個(gè)角度，平臺(tái)安全性、租戶安全性、業(yè)務(wù)系統(tǒng)安全性、業(yè)務(wù)數(shù)據(jù)安全性、業(yè)務(wù)接入安全性等方面考慮整個(gè)云平臺(tái)的安全，從平臺(tái)穩(wěn)定性、業(yè)務(wù)穩(wěn)定性、用戶訪問(wèn)體驗(yàn)優(yōu)化、遠(yuǎn)程接入體驗(yàn)優(yōu)化等角度來(lái)保障云平臺(tái)上各租戶的業(yè)務(wù)系統(tǒng)高效、可靠、穩(wěn)定、安全的運(yùn)行的同時(shí)，還解決了因用戶網(wǎng)絡(luò)環(huán)境不佳、出口流量擁塞、鏈路故障、虛擬故障、應(yīng)用假死等情況引起的用戶使用體驗(yàn)不佳的問(wèn)題。 平臺(tái)服務(wù)商合作運(yùn)維為了實(shí)現(xiàn)IaaS架構(gòu)的統(tǒng)一管理及統(tǒng)一調(diào)度，我們支持夠通過(guò)OpenStack北向接口與第三方云管理平臺(tái)實(shí)現(xiàn)互通，通過(guò)與第三方合作開(kāi)發(fā)，提供云平臺(tái)安全監(jiān)控日志、平臺(tái)訪問(wèn)審計(jì)、租戶安全、優(yōu)化組件的策略自動(dòng)化配置、基于業(yè)務(wù)的定期風(fēng)險(xiǎn)報(bào)表及租戶安全監(jiān)控平臺(tái)。 租戶運(yùn)維建設(shè)云平臺(tái)的最終目標(biāo)是要實(shí)現(xiàn)系統(tǒng)的按需運(yùn)營(yíng)，多種服務(wù)的開(kāi)通，而這依賴(lài)于對(duì)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源的調(diào)度和分配，同時(shí)提供用戶管理、組織管理、工作流管理、自助界面等。云安全管理平臺(tái)應(yīng)實(shí)現(xiàn)對(duì)多種IT資產(chǎn)進(jìn)行統(tǒng)一的管理，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等設(shè)備?；贠penstack平臺(tái)的商業(yè)化云服務(wù)平臺(tái)，在繼承原有架構(gòu)靈活、擴(kuò)展性強(qiáng)、開(kāi)放性和兼容度高的基礎(chǔ)上，產(chǎn)品穩(wěn)定性和可靠性大大增強(qiáng)。 導(dǎo)入鏡像：將設(shè)備鏡像拷貝進(jìn)入虛擬化環(huán)境216。這種部署方式更關(guān)注南北向流量安全防護(hù)。多應(yīng)用系統(tǒng)托管部署：n 應(yīng)用需求：租戶在虛擬網(wǎng)絡(luò)中部署了多個(gè)應(yīng)用系統(tǒng)，需要針對(duì)不同應(yīng)用系統(tǒng)虛擬機(jī)之間的訪問(wèn)流量進(jìn)行安全防護(hù)控制，滿足安全合規(guī)要求。針對(duì)其余應(yīng)用、各主機(jī)，可根據(jù)其關(guān)鍵程度進(jìn)行相應(yīng)的帶寬保障、帶寬限制策略設(shè)置。（3）改善網(wǎng)絡(luò)質(zhì)量通過(guò)快速重傳、選擇性重傳、改善擁塞機(jī)制、增大滑動(dòng)窗口大小等幾個(gè)方面對(duì)傳統(tǒng)的TCP傳輸協(xié)議做改進(jìn)，提升鏈路在丟包、延遲、抖動(dòng)環(huán)境下的傳輸質(zhì)量和應(yīng)用訪問(wèn)速度。l 在租戶傳統(tǒng)數(shù)據(jù)中心的安全互聯(lián)方面，我們的設(shè)計(jì)思路是從低價(jià)值流量削減、應(yīng)用優(yōu)化、網(wǎng)絡(luò)質(zhì)量改善、流量整形幾個(gè)方面來(lái)做：（1）大幅削減低價(jià)值流量，降低帶寬負(fù)荷，實(shí)現(xiàn)帶寬增值采用動(dòng)態(tài)流壓縮、基于碼流特征數(shù)據(jù)優(yōu)化對(duì)云數(shù)據(jù)中心傳統(tǒng)數(shù)據(jù)中心的傳輸網(wǎng)絡(luò)中的低價(jià)值流量進(jìn)行大幅削減。事后追查：整體保障XX系統(tǒng)安全運(yùn)維管理在訪問(wèn)過(guò)程的進(jìn)行日記記錄，提供管理日志和服務(wù)日志等日志。如USB KEY、硬件特征碼、短信認(rèn)證、動(dòng)態(tài)令牌卡等認(rèn)證方式。作為虛擬化落地成敗的關(guān)鍵因素，重中之重，就是如何保證業(yè)務(wù)系統(tǒng)的穩(wěn)定、高性能和高可用性。深信服虛擬防火墻還能在虛擬化平臺(tái)上對(duì)指定的服務(wù)器進(jìn)行網(wǎng)絡(luò)隔離，