【正文】 ，有效防止常見的web攻擊。NGAF具備專業(yè)的web應(yīng)用安全防御功能，能夠解決常見的web應(yīng)用安全問題，如SQL注入攻擊，跨站腳本攻擊攻，CSRF即跨站請求偽造，網(wǎng)站掃描攻擊，文件包含漏洞攻擊，目錄遍歷漏洞及弱口令風(fēng)險發(fā)現(xiàn)。NGAF的APT檢測功能主要解決的問題：針對平臺內(nèi)部的主機(jī)感染了病毒、木馬的機(jī)器，其病毒、木馬試圖與外部網(wǎng)絡(luò)通信時，AF識別出該流量，并根據(jù)策略進(jìn)行阻斷和記錄日志。 一.1.2.3.4..... 平臺分區(qū)分域平臺層整體安全架構(gòu)如上圖所示，依照云平臺的建設(shè)需求，本次云平臺利用NGAF實現(xiàn)了公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)區(qū)區(qū)域邊界劃分，其中公用網(wǎng)絡(luò)區(qū)主要是部門系統(tǒng)內(nèi)和系統(tǒng)間的互訪，互聯(lián)網(wǎng)用戶不能直接訪問這個區(qū)域的數(shù)據(jù)和信息系統(tǒng)；互聯(lián)網(wǎng)區(qū)部署的是集團(tuán)的WEB等托管服務(wù)，完成信息互聯(lián)網(wǎng)發(fā)布和數(shù)據(jù)填報。運維管理網(wǎng)邊界：下一代防火墻、一套集中管理系統(tǒng)SC 平臺側(cè)設(shè)計方案云平臺安全部署框架如上圖所示，在云平臺物理網(wǎng)絡(luò)邊界部署安全、應(yīng)用交付類產(chǎn)品，如下一代防火墻NGAF、安全網(wǎng)關(guān)SSL VPN、應(yīng)用交付AD等產(chǎn)品，形成安全硬件資源池，在物理網(wǎng)絡(luò)出口提供平臺級的整體安全保護(hù)，實現(xiàn)如區(qū)域劃分、接入控制、病毒防護(hù)、入侵防護(hù)、漏洞檢測、DDoS攻擊防護(hù)、WEB安全防護(hù)、接入安全、服務(wù)器負(fù)載均衡等功能，實現(xiàn)2到7層安全防護(hù)和應(yīng)用、鏈路的負(fù)載優(yōu)化，實現(xiàn)精細(xì)的區(qū)域劃分與可視化的權(quán)限訪問控制，保證云平臺和內(nèi)部業(yè)務(wù)系統(tǒng)具備更高的安全性、可用性、持續(xù)性，以及快速性。 國務(wù)院辦公廳關(guān)于加強(qiáng)政府網(wǎng)站建設(shè)和管理工作的意見(國辦發(fā)〔2006）104號）；216。 GB/T 250582010 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實施指南216。本次方案設(shè)計中參考的依據(jù)如下：216。l 開放適用由于云計算平臺為各業(yè)務(wù)應(yīng)用系統(tǒng)提供支撐，必須充分考慮系統(tǒng)的開放性，提供開放標(biāo)準(zhǔn)接口，供開發(fā)者、用戶使用。l 平臺服務(wù)商合作運維：具備通過統(tǒng)一的接口實現(xiàn)云監(jiān)管平臺的相關(guān)管理功能要求（OpenStack），能夠和平臺服務(wù)商進(jìn)行合作開發(fā)，從而實現(xiàn)更加高效、完整易用的管理。l 云平臺運維：管理平臺（網(wǎng)管平臺、安全管理平臺、云管理平臺）僅允許通過管理區(qū)域內(nèi)的管理終端本地訪問，避免遠(yuǎn)程管理可能引入的系統(tǒng)風(fēng)險。在管理運維角度，我們從以下幾個方面進(jìn)行重點關(guān)注：l 租戶運維：需要將租戶管理賬號與云基礎(chǔ)設(shè)施管理賬號的權(quán)限分離，防止租戶主機(jī)非授權(quán)訪問。在業(yè)務(wù)的低谷期，能夠減少虛擬機(jī)來避免資源的浪費。4. 安全防護(hù)：與傳統(tǒng)數(shù)據(jù)中心類似，云平臺中的安全需求也是不僅能夠防護(hù)傳統(tǒng)網(wǎng)絡(luò)層的風(fēng)險，還能識別并防護(hù)應(yīng)用層的威脅，防止漏洞攻擊，實現(xiàn)雙向內(nèi)容檢測，防止敏感信息泄露。 ：當(dāng)訪問量過多，業(yè)務(wù)量太大時，用戶的訪問速度變慢，如何在不改變用戶的使用習(xí)慣的情況下，通過合理調(diào)配鏈路、虛擬機(jī)等資源來實現(xiàn)訪問速度的提升？ 租戶外網(wǎng)業(yè)務(wù)需求分析 租戶的外網(wǎng)業(yè)務(wù)主要是用于各集團(tuán)子公司單位人員接入訪問或者移動辦公、出差人員的訪問，流量經(jīng)過互聯(lián)網(wǎng)或者廣域網(wǎng)，該區(qū)域存在的需求如下：1. 安全接入：訪問的人員需要經(jīng)過認(rèn)證授權(quán)，防止非法訪問，同時流量流經(jīng)城/廣域網(wǎng)，需要進(jìn)行加密傳輸，防止數(shù)據(jù)泄密的風(fēng)險。 ：在云平臺中，同樣存在Web攻擊，黑客通常會采用Web攻擊的方式來入侵Web服務(wù)器，一旦獲取了權(quán)限，將造成信息泄露、網(wǎng)頁篡改等風(fēng)險，因此對于云平臺同樣需要做到Web的安全防護(hù)。在業(yè)務(wù)的低谷期，能夠減少虛擬機(jī)來避免資源的浪費，實現(xiàn)資源的動態(tài)調(diào)整。其次為滿足等保合規(guī)需求，每個業(yè)務(wù)區(qū)內(nèi)還需要劃分二級等保區(qū)和三級等保區(qū)兩個區(qū)域，兩者的計算資源不允許共享。鏈路負(fù)載均衡云平臺接入往往多條運營商鏈路，從而保證網(wǎng)絡(luò)服務(wù)的質(zhì)量，消除單點故障，減少停機(jī)時間。不可抗拒性的中斷建議采用冗余數(shù)據(jù)中心的方式來解決。訪問控制系統(tǒng)由防火墻系統(tǒng)組成，防火墻在網(wǎng)絡(luò)入口點根據(jù)設(shè)定的安全規(guī)則，檢查經(jīng)過的通信流量，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和聯(lián)接方式按照一定的安全策略進(jìn)行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許。 租戶安全接入集團(tuán)子公司（租戶）業(yè)務(wù)系統(tǒng)上線后，面臨著用戶遠(yuǎn)程接入訪問的問題，不管是運維人員的運維接入，還是集團(tuán)子公司用戶的接入，都是需要慎重考慮接入安全的問題，尤其是使用BYOD接入訪問，更應(yīng)該對其接入進(jìn)行嚴(yán)格的身份認(rèn)證和安全核查，同時對用戶訪問行為進(jìn)行合理的權(quán)限劃分，避免安全問題從遠(yuǎn)端傳遞過來并在云平臺蔓延。云平臺接入安全首先要考慮租戶的安全接入，租戶接入的目的主要是對托管的業(yè)務(wù)、租賃的服務(wù)進(jìn)行運維管理，因此需要對接入平臺的租戶身份進(jìn)行有效的認(rèn)證，避免非法用戶接入帶來的危害；而對于普通用戶來說，平臺內(nèi)部哪些資源是對其開放的，哪些資源不能訪問需要界定；在整個大平臺內(nèi)部，不同的云業(yè)務(wù)及虛擬私有云之間會有大量的信息交互，因此需要考慮如何保障云間業(yè)務(wù)的安全互聯(lián)，避免信息泄露和越權(quán)訪問。因此需要有效的設(shè)備來識別并防護(hù)針對業(yè)務(wù)系統(tǒng)漏洞的攻擊。云應(yīng)用安全需求云環(huán)境的隨需部署和動態(tài)遷移，使安全策略的部署變得復(fù)雜，需要一個靈活動態(tài)安全機(jī)制來適配虛擬化網(wǎng)絡(luò)安全防護(hù)。云平臺支持虛擬私有云，可以在一個云數(shù)據(jù)中心里靈活設(shè)定多個虛擬私有云，多個私有云之間使用VPN技術(shù)或VXLAN技術(shù)，達(dá)到端到端的隔離效果。因此平臺層的安全建設(shè)需要從平臺安全防護(hù)，平臺的接入安全，以及平臺服務(wù)可靠性方面來建設(shè)，保證云平臺業(yè)務(wù)系統(tǒng)安全可靠運行。對云平臺的計算環(huán)境的保護(hù)也是云平臺下信息安全整體保護(hù)體系的重中之重。第二章 需求分析集團(tuán)的云平臺一般為專有云架構(gòu)，專有云平臺承擔(dān)集團(tuán)內(nèi)部服務(wù)的內(nèi)容如業(yè)務(wù)應(yīng)用系統(tǒng)等，為各分公司、集團(tuán)子公司的應(yīng)用系統(tǒng)提供基礎(chǔ)設(shè)施支撐。通過云平臺，多個部門/集團(tuán)子公司可以共用相應(yīng)的基礎(chǔ)架構(gòu)，實現(xiàn)各業(yè)務(wù)系統(tǒng)之間的軟硬件共享，提高信息共享的效率，擴(kuò)大信息共享范圍；軟硬件資源和信息資源的共享將有利于促進(jìn)各部門內(nèi)部與部門之間的業(yè)務(wù)系統(tǒng)的整合，為各部門業(yè)務(wù)協(xié)同創(chuàng)造條件。云計算提高業(yè)務(wù)系統(tǒng)的部署效率云平臺具有較高的靈活性，集團(tuán)實施新的應(yīng)用系統(tǒng)時，不必購買額外的軟硬件，而是利用已有云基礎(chǔ)設(shè)施，快速部署系統(tǒng)，提高應(yīng)用部署速度。而虛擬化云平臺技術(shù)，作為云計算的一個支撐技術(shù)，必將成為未來最重要的最值得研究的IT技術(shù)之一。內(nèi)部云建制的科技基礎(chǔ)就是虛擬化云平臺，這也將成為拉動整個虛擬化云平臺市場持續(xù)走高的成長動力。深信服云安全解決方案深信服電子科技有限公司2015年11月7日目錄第一章 建設(shè)背景 4 4 4第二章 需求分析 5 需求概述 5 平臺側(cè)需求 7 7 8 9 租戶側(cè)需求 10 租戶間隔離需求分析 10 租戶虛擬機(jī)需求分析 11 租戶互聯(lián)網(wǎng)業(yè)務(wù)需求分析 11 租戶外網(wǎng)業(yè)務(wù)需求分析 12 管理運維需求 13第三章 設(shè)計原則 14第四章 解決方案 15 解決方案綜述 15 平臺側(cè)設(shè)計方案 17 18. 平臺分區(qū)分域 18. 防網(wǎng)絡(luò)病毒 18. 應(yīng)用安全防護(hù) 19. 防止漏洞攻擊 19. 多業(yè)務(wù)數(shù)據(jù)隔離和交換 20 20 21 22 23. 防拒絕服務(wù)攻擊 23. 鏈路/全局負(fù)載均衡 23 租戶側(cè)設(shè)計方案 25 25 26 26 27 29 NFV安全組件部署方式 31 管理運維設(shè)計方案 32 平臺運維 32 租戶運維 33 平臺服務(wù)商合作運維 34第五章 解決方案價值 35 高安全：提供專業(yè)、可靠的服務(wù) 36 高性價比：降低IT建設(shè)成本 36 高效率：業(yè)務(wù)系統(tǒng)部署速度快 37 高協(xié)同：降低信息共享和業(yè)務(wù)協(xié)同難度 37第一章 建設(shè)背景云計算的興起，給人們的工作方式以及商業(yè)模式帶來根本性變化，甚至可能掀起信息技術(shù)的第三次“浪潮”。每家單位都要建立自己的云計算模式，其第一步要做的就是完成內(nèi)部云或私有云的建制。尤其在大企業(yè)，因為多個內(nèi)在關(guān)聯(lián)的趨勢正在推動大企業(yè)逐步減少IT硬件資產(chǎn)，這些趨勢主要是虛擬化云平臺、云計算服務(wù)、虛擬化的桌面交付等。這帶來了兩大好處：一是不需要投資建立大量的數(shù)據(jù)中心和大型機(jī)房，購買服務(wù)器和存儲設(shè)備等，從而節(jié)省建設(shè)費用；二是信息軟硬件資源交給專業(yè)的云服務(wù)商管理，集團(tuán)不再負(fù)擔(dān)信息系統(tǒng)維護(hù)和升級，節(jié)省了運維費用。盡管信息難以共享的根源在于業(yè)務(wù)系統(tǒng)機(jī)制問題，但云計算能從技術(shù)上降低信息共享和業(yè)務(wù)協(xié)同的難度。同時，在部署了以云計算為技術(shù)支撐的云平臺以后，后臺信息的煙囪式部署方式的壁壘將被打破，從而實現(xiàn)業(yè)務(wù)數(shù)據(jù)的統(tǒng)一共享，這對前臺服務(wù)界面的統(tǒng)一打通有著重要意義，將使得業(yè)務(wù)系統(tǒng)的統(tǒng)一化不再停留在前臺展示層面，而切切實實的實現(xiàn)服務(wù)的高效與統(tǒng)一。云計算平臺和傳統(tǒng)計算平臺的最大區(qū)別在于計算環(huán)境，云平臺的計算環(huán)境比傳統(tǒng)意義上的計算環(huán)境要更加復(fù)雜。歸納起來，云平臺整體安全需求如下圖所示： 平臺側(cè)需求對于云來說，平臺無疑是對外提供服務(wù)的基礎(chǔ)，無論是建設(shè)運營方，還是租戶，對于平臺自身的可靠性、安全性都是極為關(guān)注的。每個等保區(qū)域內(nèi)不同租戶應(yīng)用間通過VLAN/VxLAN網(wǎng)絡(luò)隔離，租戶間通過訪問控制設(shè)備進(jìn)行訪問控制，禁止非授權(quán)訪問。所以云平臺安全建設(shè)需要包含檢測和清除病毒蠕蟲木馬等惡意內(nèi)容的機(jī)制。黑客能夠利用這些漏洞發(fā)起對云應(yīng)用的攻擊，比如SQL注入、跨站腳本攻擊等，進(jìn)而實現(xiàn)對內(nèi)部敏感信息監(jiān)控、竊取、篡改等目的。因此需要有效的手段來識別并防護(hù)針對系統(tǒng)漏洞的攻擊?；贗Psec的加密方式被廣泛采用，其優(yōu)點顯而易見：IPSEC對應(yīng)用系統(tǒng)透明且具有極強(qiáng)的安全性，同時也易于部署和維護(hù)，這對于龐大的云平臺來說，顯得極有好處。訪問控制系統(tǒng)應(yīng)根據(jù)各業(yè)務(wù)的安全級別要求和全網(wǎng)安全策略控制出入網(wǎng)絡(luò)的信息流，并且系統(tǒng)本身具有較強(qiáng)的抗攻擊能力。同時會對租戶的公信力產(chǎn)生非常不利的影響。黑客控制著大量的僵尸“肉機(jī)”，從而發(fā)起向云平臺的大量異常請求，這種攻擊行為使得Web等系統(tǒng)充斥大量需要響應(yīng)的信息，嚴(yán)重消耗網(wǎng)絡(luò)系統(tǒng)資源，導(dǎo)致外聯(lián)服務(wù)平臺無法對外正常提供服務(wù)，影響云平臺和各集團(tuán)子公司部門正常的業(yè)務(wù)開展。 租戶側(cè)需求 租戶間隔離需求分析 在設(shè)計方案中我們看到，要求將各部門的業(yè)務(wù)通過邏輯隔離劃分不同的安全域，首先云平臺建設(shè)時需考慮將基礎(chǔ)設(shè)施資源劃分為兩個獨立的區(qū)域，兩個區(qū)域間不能直接訪問，僅能通過跨網(wǎng)數(shù)據(jù)交換區(qū)進(jìn)行數(shù)據(jù)交換。在這種情況下，管理員需要判斷虛擬機(jī)之間的訪