【正文】 ，有效防止常見的web攻擊。NGAF具備專業(yè)的web應(yīng)用安全防御功能，能夠解決常見的web應(yīng)用安全問題，如SQL注入攻擊，跨站腳本攻擊攻，CSRF即跨站請求偽造，網(wǎng)站掃描攻擊，文件包含漏洞攻擊，目錄遍歷漏洞及弱口令風險發(fā)現(xiàn)。NGAF的APT檢測功能主要解決的問題：針對平臺內(nèi)部的主機感染了病毒、木馬的機器，其病毒、木馬試圖與外部網(wǎng)絡(luò)通信時，AF識別出該流量，并根據(jù)策略進行阻斷和記錄日志。 一.1.2.3.4..... 平臺分區(qū)分域平臺層整體安全架構(gòu)如上圖所示，依照云平臺的建設(shè)需求，本次云平臺利用NGAF實現(xiàn)了公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)區(qū)區(qū)域邊界劃分，其中公用網(wǎng)絡(luò)區(qū)主要是部門系統(tǒng)內(nèi)和系統(tǒng)間的互訪，互聯(lián)網(wǎng)用戶不能直接訪問這個區(qū)域的數(shù)據(jù)和信息系統(tǒng)；互聯(lián)網(wǎng)區(qū)部署的是集團的WEB等托管服務(wù)，完成信息互聯(lián)網(wǎng)發(fā)布和數(shù)據(jù)填報。運維管理網(wǎng)邊界：下一代防火墻、一套集中管理系統(tǒng)SC 平臺側(cè)設(shè)計方案云平臺安全部署框架如上圖所示，在云平臺物理網(wǎng)絡(luò)邊界部署安全、應(yīng)用交付類產(chǎn)品，如下一代防火墻NGAF、安全網(wǎng)關(guān)SSL VPN、應(yīng)用交付AD等產(chǎn)品，形成安全硬件資源池，在物理網(wǎng)絡(luò)出口提供平臺級的整體安全保護，實現(xiàn)如區(qū)域劃分、接入控制、病毒防護、入侵防護、漏洞檢測、DDoS攻擊防護、WEB安全防護、接入安全、服務(wù)器負載均衡等功能，實現(xiàn)2到7層安全防護和應(yīng)用、鏈路的負載優(yōu)化，實現(xiàn)精細的區(qū)域劃分與可視化的權(quán)限訪問控制，保證云平臺和內(nèi)部業(yè)務(wù)系統(tǒng)具備更高的安全性、可用性、持續(xù)性，以及快速性。 國務(wù)院辦公廳關(guān)于加強政府網(wǎng)站建設(shè)和管理工作的意見(國辦發(fā)〔2006）104號）；216。 GB/T 250582010 信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南216。本次方案設(shè)計中參考的依據(jù)如下：216。l 開放適用由于云計算平臺為各業(yè)務(wù)應(yīng)用系統(tǒng)提供支撐，必須充分考慮系統(tǒng)的開放性，提供開放標準接口，供開發(fā)者、用戶使用。l 平臺服務(wù)商合作運維：具備通過統(tǒng)一的接口實現(xiàn)云監(jiān)管平臺的相關(guān)管理功能要求（OpenStack），能夠和平臺服務(wù)商進行合作開發(fā)，從而實現(xiàn)更加高效、完整易用的管理。l 云平臺運維：管理平臺（網(wǎng)管平臺、安全管理平臺、云管理平臺）僅允許通過管理區(qū)域內(nèi)的管理終端本地訪問，避免遠程管理可能引入的系統(tǒng)風險。在管理運維角度，我們從以下幾個方面進行重點關(guān)注：l 租戶運維：需要將租戶管理賬號與云基礎(chǔ)設(shè)施管理賬號的權(quán)限分離，防止租戶主機非授權(quán)訪問。在業(yè)務(wù)的低谷期，能夠減少虛擬機來避免資源的浪費。4. 安全防護：與傳統(tǒng)數(shù)據(jù)中心類似，云平臺中的安全需求也是不僅能夠防護傳統(tǒng)網(wǎng)絡(luò)層的風險，還能識別并防護應(yīng)用層的威脅，防止漏洞攻擊，實現(xiàn)雙向內(nèi)容檢測，防止敏感信息泄露。 ：當訪問量過多，業(yè)務(wù)量太大時，用戶的訪問速度變慢，如何在不改變用戶的使用習慣的情況下，通過合理調(diào)配鏈路、虛擬機等資源來實現(xiàn)訪問速度的提升？ 租戶外網(wǎng)業(yè)務(wù)需求分析 租戶的外網(wǎng)業(yè)務(wù)主要是用于各集團子公司單位人員接入訪問或者移動辦公、出差人員的訪問，流量經(jīng)過互聯(lián)網(wǎng)或者廣域網(wǎng)，該區(qū)域存在的需求如下：1. 安全接入：訪問的人員需要經(jīng)過認證授權(quán)，防止非法訪問，同時流量流經(jīng)城/廣域網(wǎng)，需要進行加密傳輸，防止數(shù)據(jù)泄密的風險。 ：在云平臺中，同樣存在Web攻擊，黑客通常會采用Web攻擊的方式來入侵Web服務(wù)器，一旦獲取了權(quán)限，將造成信息泄露、網(wǎng)頁篡改等風險，因此對于云平臺同樣需要做到Web的安全防護。在業(yè)務(wù)的低谷期，能夠減少虛擬機來避免資源的浪費，實現(xiàn)資源的動態(tài)調(diào)整。其次為滿足等保合規(guī)需求，每個業(yè)務(wù)區(qū)內(nèi)還需要劃分二級等保區(qū)和三級等保區(qū)兩個區(qū)域，兩者的計算資源不允許共享。鏈路負載均衡云平臺接入往往多條運營商鏈路，從而保證網(wǎng)絡(luò)服務(wù)的質(zhì)量，消除單點故障，減少停機時間。不可抗拒性的中斷建議采用冗余數(shù)據(jù)中心的方式來解決。訪問控制系統(tǒng)由防火墻系統(tǒng)組成，防火墻在網(wǎng)絡(luò)入口點根據(jù)設(shè)定的安全規(guī)則，檢查經(jīng)過的通信流量，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和聯(lián)接方式按照一定的安全策略進行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許。 租戶安全接入集團子公司（租戶）業(yè)務(wù)系統(tǒng)上線后，面臨著用戶遠程接入訪問的問題，不管是運維人員的運維接入，還是集團子公司用戶的接入，都是需要慎重考慮接入安全的問題，尤其是使用BYOD接入訪問，更應(yīng)該對其接入進行嚴格的身份認證和安全核查，同時對用戶訪問行為進行合理的權(quán)限劃分，避免安全問題從遠端傳遞過來并在云平臺蔓延。云平臺接入安全首先要考慮租戶的安全接入，租戶接入的目的主要是對托管的業(yè)務(wù)、租賃的服務(wù)進行運維管理，因此需要對接入平臺的租戶身份進行有效的認證，避免非法用戶接入帶來的危害；而對于普通用戶來說，平臺內(nèi)部哪些資源是對其開放的，哪些資源不能訪問需要界定；在整個大平臺內(nèi)部，不同的云業(yè)務(wù)及虛擬私有云之間會有大量的信息交互，因此需要考慮如何保障云間業(yè)務(wù)的安全互聯(lián)，避免信息泄露和越權(quán)訪問。因此需要有效的設(shè)備來識別并防護針對業(yè)務(wù)系統(tǒng)漏洞的攻擊。云應(yīng)用安全需求云環(huán)境的隨需部署和動態(tài)遷移，使安全策略的部署變得復雜，需要一個靈活動態(tài)安全機制來適配虛擬化網(wǎng)絡(luò)安全防護。云平臺支持虛擬私有云，可以在一個云數(shù)據(jù)中心里靈活設(shè)定多個虛擬私有云，多個私有云之間使用VPN技術(shù)或VXLAN技術(shù)，達到端到端的隔離效果。因此平臺層的安全建設(shè)需要從平臺安全防護，平臺的接入安全，以及平臺服務(wù)可靠性方面來建設(shè)，保證云平臺業(yè)務(wù)系統(tǒng)安全可靠運行。對云平臺的計算環(huán)境的保護也是云平臺下信息安全整體保護體系的重中之重。第二章 需求分析集團的云平臺一般為專有云架構(gòu)，專有云平臺承擔集團內(nèi)部服務(wù)的內(nèi)容如業(yè)務(wù)應(yīng)用系統(tǒng)等，為各分公司、集團子公司的應(yīng)用系統(tǒng)提供基礎(chǔ)設(shè)施支撐。通過云平臺，多個部門/集團子公司可以共用相應(yīng)的基礎(chǔ)架構(gòu)，實現(xiàn)各業(yè)務(wù)系統(tǒng)之間的軟硬件共享，提高信息共享的效率，擴大信息共享范圍；軟硬件資源和信息資源的共享將有利于促進各部門內(nèi)部與部門之間的業(yè)務(wù)系統(tǒng)的整合，為各部門業(yè)務(wù)協(xié)同創(chuàng)造條件。云計算提高業(yè)務(wù)系統(tǒng)的部署效率云平臺具有較高的靈活性，集團實施新的應(yīng)用系統(tǒng)時，不必購買額外的軟硬件，而是利用已有云基礎(chǔ)設(shè)施，快速部署系統(tǒng)，提高應(yīng)用部署速度。而虛擬化云平臺技術(shù)，作為云計算的一個支撐技術(shù)，必將成為未來最重要的最值得研究的IT技術(shù)之一。內(nèi)部云建制的科技基礎(chǔ)就是虛擬化云平臺，這也將成為拉動整個虛擬化云平臺市場持續(xù)走高的成長動力。深信服云安全解決方案深信服電子科技有限公司2015年11月7日目錄第一章 建設(shè)背景 4 4 4第二章 需求分析 5 需求概述 5 平臺側(cè)需求 7 7 8 9 租戶側(cè)需求 10 租戶間隔離需求分析 10 租戶虛擬機需求分析 11 租戶互聯(lián)網(wǎng)業(yè)務(wù)需求分析 11 租戶外網(wǎng)業(yè)務(wù)需求分析 12 管理運維需求 13第三章 設(shè)計原則 14第四章 解決方案 15 解決方案綜述 15 平臺側(cè)設(shè)計方案 17 18. 平臺分區(qū)分域 18. 防網(wǎng)絡(luò)病毒 18. 應(yīng)用安全防護 19. 防止漏洞攻擊 19. 多業(yè)務(wù)數(shù)據(jù)隔離和交換 20 20 21 22 23. 防拒絕服務(wù)攻擊 23. 鏈路/全局負載均衡 23 租戶側(cè)設(shè)計方案 25 25 26 26 27 29 NFV安全組件部署方式 31 管理運維設(shè)計方案 32 平臺運維 32 租戶運維 33 平臺服務(wù)商合作運維 34第五章 解決方案價值 35 高安全：提供專業(yè)、可靠的服務(wù) 36 高性價比：降低IT建設(shè)成本 36 高效率：業(yè)務(wù)系統(tǒng)部署速度快 37 高協(xié)同：降低信息共享和業(yè)務(wù)協(xié)同難度 37第一章 建設(shè)背景云計算的興起，給人們的工作方式以及商業(yè)模式帶來根本性變化，甚至可能掀起信息技術(shù)的第三次“浪潮”。每家單位都要建立自己的云計算模式，其第一步要做的就是完成內(nèi)部云或私有云的建制。尤其在大企業(yè)，因為多個內(nèi)在關(guān)聯(lián)的趨勢正在推動大企業(yè)逐步減少IT硬件資產(chǎn)，這些趨勢主要是虛擬化云平臺、云計算服務(wù)、虛擬化的桌面交付等。這帶來了兩大好處：一是不需要投資建立大量的數(shù)據(jù)中心和大型機房，購買服務(wù)器和存儲設(shè)備等，從而節(jié)省建設(shè)費用；二是信息軟硬件資源交給專業(yè)的云服務(wù)商管理，集團不再負擔信息系統(tǒng)維護和升級，節(jié)省了運維費用。盡管信息難以共享的根源在于業(yè)務(wù)系統(tǒng)機制問題，但云計算能從技術(shù)上降低信息共享和業(yè)務(wù)協(xié)同的難度。同時，在部署了以云計算為技術(shù)支撐的云平臺以后，后臺信息的煙囪式部署方式的壁壘將被打破，從而實現(xiàn)業(yè)務(wù)數(shù)據(jù)的統(tǒng)一共享，這對前臺服務(wù)界面的統(tǒng)一打通有著重要意義，將使得業(yè)務(wù)系統(tǒng)的統(tǒng)一化不再停留在前臺展示層面，而切切實實的實現(xiàn)服務(wù)的高效與統(tǒng)一。云計算平臺和傳統(tǒng)計算平臺的最大區(qū)別在于計算環(huán)境，云平臺的計算環(huán)境比傳統(tǒng)意義上的計算環(huán)境要更加復雜。歸納起來，云平臺整體安全需求如下圖所示： 平臺側(cè)需求對于云來說，平臺無疑是對外提供服務(wù)的基礎(chǔ)，無論是建設(shè)運營方，還是租戶，對于平臺自身的可靠性、安全性都是極為關(guān)注的。每個等保區(qū)域內(nèi)不同租戶應(yīng)用間通過VLAN/VxLAN網(wǎng)絡(luò)隔離，租戶間通過訪問控制設(shè)備進行訪問控制，禁止非授權(quán)訪問。所以云平臺安全建設(shè)需要包含檢測和清除病毒蠕蟲木馬等惡意內(nèi)容的機制。黑客能夠利用這些漏洞發(fā)起對云應(yīng)用的攻擊，比如SQL注入、跨站腳本攻擊等，進而實現(xiàn)對內(nèi)部敏感信息監(jiān)控、竊取、篡改等目的。因此需要有效的手段來識別并防護針對系統(tǒng)漏洞的攻擊?；贗Psec的加密方式被廣泛采用，其優(yōu)點顯而易見：IPSEC對應(yīng)用系統(tǒng)透明且具有極強的安全性，同時也易于部署和維護，這對于龐大的云平臺來說，顯得極有好處。訪問控制系統(tǒng)應(yīng)根據(jù)各業(yè)務(wù)的安全級別要求和全網(wǎng)安全策略控制出入網(wǎng)絡(luò)的信息流，并且系統(tǒng)本身具有較強的抗攻擊能力。同時會對租戶的公信力產(chǎn)生非常不利的影響。黑客控制著大量的僵尸“肉機”，從而發(fā)起向云平臺的大量異常請求，這種攻擊行為使得Web等系統(tǒng)充斥大量需要響應(yīng)的信息，嚴重消耗網(wǎng)絡(luò)系統(tǒng)資源，導致外聯(lián)服務(wù)平臺無法對外正常提供服務(wù)，影響云平臺和各集團子公司部門正常的業(yè)務(wù)開展。 租戶側(cè)需求 租戶間隔離需求分析 在設(shè)計方案中我們看到，要求將各部門的業(yè)務(wù)通過邏輯隔離劃分不同的安全域，首先云平臺建設(shè)時需考慮將基礎(chǔ)設(shè)施資源劃分為兩個獨立的區(qū)域，兩個區(qū)域間不能直接訪問，僅能通過跨網(wǎng)數(shù)據(jù)交換區(qū)進行數(shù)據(jù)交換。在這種情況下，管理員需要判斷虛擬機之間的訪