【正文】 型分別存儲(chǔ)6. 虛擬導(dǎo)流器轉(zhuǎn)發(fā)技術(shù)網(wǎng)絡(luò)安全產(chǎn)品通常部署在網(wǎng)絡(luò)邊界。AGT本質(zhì)上是一個(gè)虛擬機(jī)。虛擬化管理中心和虛擬化服務(wù)器(ESXi Server)是被保護(hù)的對(duì)象。每個(gè)需要被監(jiān)控的虛擬機(jī)所在的虛擬交換機(jī)上都需要配置混雜端口組，并將導(dǎo)流虛擬機(jī)的一個(gè)抓包網(wǎng)卡連接到這個(gè)端口組中，用于抓取網(wǎng)絡(luò)報(bào)文。 一對(duì)多：將一條鏈路數(shù)據(jù)復(fù)制后從多個(gè)端口送出216。 可提供接入安全設(shè)備的邏輯網(wǎng)絡(luò)拓?fù)鋖 高可靠管理216。閱讀和學(xué)習(xí)是一種非常好的習(xí)慣，堅(jiān)持下去，讓我們共同進(jìn)步。 安全設(shè)備提供對(duì)外的聯(lián)動(dòng)API接口8. 方案總結(jié)云資源池和網(wǎng)絡(luò)虛擬化技術(shù)正在動(dòng)態(tài)發(fā)展過(guò)程中，通過(guò)導(dǎo)流虛擬將需要監(jiān)控的流量從虛擬網(wǎng)絡(luò)環(huán)境中導(dǎo)出到外部的物理安全設(shè)備或虛擬安全設(shè)備中，可以極大的減小安全產(chǎn)品和虛擬化平臺(tái)的耦合度，系統(tǒng)部署快捷簡(jiǎn)單，對(duì)用戶(hù)業(yè)務(wù)和網(wǎng)絡(luò)影響??；用外部處理安全業(yè)務(wù)可以獲取極高的性能，使得導(dǎo)流虛擬機(jī)的處理邏輯變得很簡(jiǎn)單，只需要占用少量的虛擬化資源即可。 支持對(duì)接入安全設(shè)備端口監(jiān)控216。7. SDN轉(zhuǎn)發(fā)技術(shù)安全資源池通過(guò)SDN接入到云環(huán)境中，能夠提供用戶(hù)友好的安全資源使用編排接口，使得用戶(hù)能夠方便的、按需的將特定的安全功能組合部署在網(wǎng)絡(luò)中。導(dǎo)流虛擬機(jī)通常至少有3個(gè)網(wǎng)卡?；谶@個(gè)匯聚點(diǎn)，就可以通過(guò)物理網(wǎng)絡(luò)安全設(shè)備對(duì)虛擬網(wǎng)絡(luò)安全域進(jìn)行安全防護(hù)。并不能通過(guò)一條物理或虛擬的鏈路就可以監(jiān)聽(tīng)到安全域中的所有邊界流量，即通常所說(shuō)的“網(wǎng)絡(luò)邊界消失”了。應(yīng)支持對(duì)互聯(lián)事件的過(guò)濾功能。系統(tǒng)能區(qū)分互聯(lián)時(shí)的方向，即能夠區(qū)分是內(nèi)部服務(wù)器向外連接還是外部設(shè)備向用戶(hù)內(nèi)部服務(wù)器的連接。提供對(duì)數(shù)據(jù)庫(kù)返回碼的知識(shí)庫(kù)和實(shí)時(shí)說(shuō)明，幫助管理員快速對(duì)返回碼進(jìn)行識(shí)別。216。更新安全市場(chǎng)源服務(wù)器上的內(nèi)容，無(wú)需更新安全資源池系統(tǒng)版本，即可創(chuàng)建更多類(lèi)型的安全產(chǎn)品虛機(jī)，滿(mǎn)足日益增長(zhǎng)的安全需求。216。 虛擬導(dǎo)流模式：適用于云資源池采用非SDN技術(shù)的環(huán)境，支持Vmware和KVM，通過(guò)虛擬導(dǎo)流技術(shù)實(shí)現(xiàn)對(duì)虛擬機(jī)流量復(fù)制并導(dǎo)出到外部安全資源池進(jìn)行檢測(cè)和審計(jì)，采用該模式需要在每臺(tái)物理主機(jī)上（宿主機(jī)）安裝虛擬導(dǎo)流器。這些安全設(shè)備不再采用單獨(dú)部署、各自為政的工作模式，而是由管理中心統(tǒng)一部署、管理、調(diào)度，以實(shí)現(xiàn)相應(yīng)的安全功能。保障業(yè)務(wù)穩(wěn)定運(yùn)行。 快速部署實(shí)現(xiàn)，即時(shí)應(yīng)急響應(yīng)：安全資源池可以從安全市場(chǎng)獲得各種安全產(chǎn)品虛機(jī)映像，通過(guò)虛機(jī)映像可以快速創(chuàng)建各種虛擬化的安全產(chǎn)品，這個(gè)過(guò)程最多十幾分鐘，最快甚至只需要1~2分鐘，從而實(shí)現(xiàn)了快速部署安全產(chǎn)品。 實(shí)現(xiàn)虛擬環(huán)境下訪問(wèn)控制能夠提供針對(duì)租戶(hù)南北向的訪問(wèn)控制，集防火墻、VPN等多種安全技術(shù)于一身，同時(shí)全面支持各種路由協(xié)議、QoS等功能，為租戶(hù)網(wǎng)絡(luò)邊界提供了訪問(wèn)控制以及遠(yuǎn)程VPN接入實(shí)現(xiàn)數(shù)據(jù)的全程加密訪問(wèn)。216。 XXX云資源池安全建設(shè)方案1. 需求分析等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)作為增強(qiáng)系統(tǒng)安全防護(hù)能力的重要政策， 是綜合性的安全系統(tǒng)工程，等級(jí)保護(hù)制度同樣適用于云環(huán)境，在云環(huán)境中，各私有云之間和各用戶(hù)之間的邊界模糊化，無(wú)法劃分區(qū)域，從而導(dǎo)致無(wú)法根據(jù)不同區(qū)域面臨的防護(hù)需求制定不同的安全策略，無(wú)法滿(mǎn)足等保要求。 實(shí)現(xiàn)虛擬安全域可視化能夠直觀的展現(xiàn)虛擬安全域的網(wǎng)絡(luò)流連接情況，使得網(wǎng)絡(luò)安全管理人員可以從不同層次查看虛擬安全域的IP資產(chǎn)情況，資產(chǎn)之間的實(shí)際流量連接關(guān)系拓?fù)涞取?. 設(shè)計(jì)原則根據(jù)以上對(duì)XXX云安全需求的分析，XXX云安全資源池的建設(shè)應(yīng)遵循以下原則：216。使得用戶(hù)在面對(duì)安全威脅時(shí)，迅速以安全產(chǎn)品組織防御體系，幫助用戶(hù)做到對(duì)安全事件的及時(shí)響應(yīng)，維護(hù)用戶(hù)利益。216。安全資源可以按需取用，支持高擴(kuò)展性、高彈性，就像一個(gè)資源池一樣。l 平臺(tái)管理中心由側(cè)重于安全方面的應(yīng)用組成，包含用戶(hù)交互界面，將用戶(hù)配置的或運(yùn)行中實(shí)時(shí)產(chǎn)生的安全功能需求轉(zhuǎn)化為具體的安全資源調(diào)度策略下發(fā)給轉(zhuǎn)發(fā)層予以實(shí)現(xiàn)，做到安全防護(hù)的智能化、自動(dòng)化、服務(wù)化。 虛機(jī)管理支持對(duì)虛機(jī)（安全產(chǎn)品虛機(jī)）創(chuàng)建、刪除、啟動(dòng)、關(guān)閉、重啟、暫停等操作，支持VNC（用于遠(yuǎn)程控制的軟件）、串口、HTTP幾種對(duì)虛機(jī)的管控方式。216。 日志查詢(xún)支持對(duì)系統(tǒng)日志、虛機(jī)日志、操作日志的查詢(xún)，可根據(jù)時(shí)間、級(jí)別、模塊等多種條件進(jìn)行查詢(xún)。需提供截圖證明。內(nèi)部服務(wù)器能夠自動(dòng)定位到設(shè)備名稱(chēng)、IP、所屬業(yè)務(wù)系統(tǒng)、所屬安全域。部署和管理采用B/S管理方式，全中文管理和使用界面無(wú)需在被監(jiān)控范圍內(nèi)的系統(tǒng)上安裝任何代理. 安全網(wǎng)關(guān)IPSEC VPN支持IPSEC VPN隧道內(nèi)的訪問(wèn)控制，對(duì)隧道內(nèi)已有數(shù)據(jù)進(jìn)行訪問(wèn)控制；支持隧道入口流量管控，可以通過(guò)地址、端口、協(xié)議等維度管控進(jìn)入隧道的流量支持透明、路由、混合等網(wǎng)絡(luò)環(huán)節(jié)的接入支持AES128/25DES、3DES等多種加密算法, 支持DHDHDHRSA1024等非對(duì)稱(chēng)加密算法, 支持AH和ESP封裝模式以及MDSHASHA2_256/384/512等通用摘要算法支持DMVP功能，擴(kuò)展IPSEC網(wǎng)絡(luò)僅需修改新接入設(shè)備及中心設(shè)備，無(wú)需修改其他同級(jí)節(jié)點(diǎn)設(shè)備配置SSL VPN訪問(wèn)WEB應(yīng)用時(shí)，免客戶(hù)端、免控件，實(shí)現(xiàn)零客戶(hù)端。“網(wǎng)絡(luò)邊界消失”后，基于網(wǎng)絡(luò)邊界進(jìn)行防護(hù)的網(wǎng)絡(luò)安全產(chǎn)品就無(wú)法部署到虛擬化環(huán)境中。策略控制中心是虛擬網(wǎng)絡(luò)監(jiān)控系統(tǒng)的管理控制中心。一個(gè)網(wǎng)卡用于作為管理端口；一個(gè)網(wǎng)卡(通常是物理直通網(wǎng)卡)用于轉(zhuǎn)發(fā)網(wǎng)絡(luò)報(bào)文，將流量導(dǎo)引到指定的位置；其它的虛擬網(wǎng)卡都用于抓取網(wǎng)絡(luò)報(bào)文。支持負(fù)載均衡，并對(duì)自身系統(tǒng)以及資源池中的安全設(shè)備進(jìn)行實(shí)時(shí)狀態(tài)監(jiān)控，當(dāng)異常出現(xiàn)時(shí)，能夠及時(shí)進(jìn)行熱備切換，確保不影響正常的網(wǎng)絡(luò)通信、用戶(hù)業(yè)務(wù)不中斷，適用于網(wǎng)絡(luò)流量大、安全需求細(xì)化、可靠性要求特別高的場(chǎng)景。 支持對(duì)接入安全設(shè)備流量監(jiān)控216。同時(shí)該方案具備平滑升級(jí)能力，即便是用戶(hù)網(wǎng)絡(luò)層升級(jí)到SDN網(wǎng)絡(luò)，該方案仍然可以保護(hù)用戶(hù)投資，能夠利用SDN技術(shù)，實(shí)現(xiàn)安全能力的業(yè)務(wù)編排，為用戶(hù)提供云環(huán)境下的安全增值服務(wù)能力。閱讀過(guò)后，希望您提出保貴的意見(jiàn)或建議。 可幫助用戶(hù)方便的監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流，并將其可視化216。 多對(duì)一：將多條鏈路匯聚后從一個(gè)端口送出216。導(dǎo)流虛擬機(jī)的抓包網(wǎng)卡需要連接到虛擬交換機(jī)的混雜端口組。圖 虛擬網(wǎng)絡(luò)監(jiān)控系統(tǒng)原理圖虛擬網(wǎng)絡(luò)監(jiān)控系統(tǒng)用于對(duì)虛擬化計(jì)算環(huán)境的虛擬安全域進(jìn)行防護(hù)。虛擬網(wǎng)絡(luò)監(jiān)控系統(tǒng)在每個(gè)虛擬化服務(wù)器中部署一個(gè)導(dǎo)流虛擬機(jī)(A