【正文】 ，可根據(jù)其關(guān)鍵程度進行相應(yīng)的帶寬保障、帶寬限制策略設(shè)置。l 在租戶傳統(tǒng)數(shù)據(jù)中心的安全互聯(lián)方面，我們的設(shè)計思路是從低價值流量削減、應(yīng)用優(yōu)化、網(wǎng)絡(luò)質(zhì)量改善、流量整形幾個方面來做：（1）大幅削減低價值流量，降低帶寬負(fù)荷，實現(xiàn)帶寬增值采用動態(tài)流壓縮、基于碼流特征數(shù)據(jù)優(yōu)化對云數(shù)據(jù)中心傳統(tǒng)數(shù)據(jù)中心的傳輸網(wǎng)絡(luò)中的低價值流量進行大幅削減。如USB KEY、硬件特征碼、短信認(rèn)證、動態(tài)令牌卡等認(rèn)證方式。深信服虛擬防火墻還能在虛擬化平臺上對指定的服務(wù)器進行網(wǎng)絡(luò)隔離，來解決邊界弱化的問題。提供系統(tǒng)安全分析，包括可疑訪問、惡意訪問、安全試探、異常數(shù)據(jù)訪問等安全隱患的預(yù)警性分析。這些軟件安全、優(yōu)化資源池提供了針對虛擬化網(wǎng)絡(luò)的2到7層安全防護和應(yīng)用的負(fù)載優(yōu)化，實現(xiàn)精細(xì)的區(qū)域劃分與可視化的權(quán)限訪問控制。全局負(fù)載均衡深信服全局負(fù)載均衡設(shè)備通過多個Internet站點的可達性，來共同判斷一條鏈路的狀況。. 防拒絕服務(wù)攻擊云平臺上托管著大量的面向互聯(lián)網(wǎng)的服務(wù)一旦發(fā)生拒絕服務(wù)攻擊，外聯(lián)服務(wù)平臺無法對外正常提供服務(wù)，影響云平臺和各部門正常的業(yè)務(wù)開展。單一的認(rèn)證方式容易被暴力破解，為了進一步提高身份認(rèn)證的安全性，深信服建議采用混合認(rèn)證，針對以上認(rèn)證方式可以進行多因素的“與”、“或”組合認(rèn)證。支持多線路技術(shù)實現(xiàn)多條線路之間的主備，可設(shè)備主線路組合備線路組，并可實現(xiàn)在主線路組、備線路組中分別進行帶寬的疊加及負(fù)載均衡。因此，在信息傳遞過程中，必須加密方法措施進行安全加固。該特征庫包含木馬，廣告軟件，惡意軟件，間諜軟件，后門，蠕蟲，漏洞，黑客工具，病毒9大分類?？呻[藏的服務(wù)器包括WEB服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等。通過云平臺區(qū)域邊界劃分和安全隔離，實現(xiàn)網(wǎng)絡(luò)服務(wù)、應(yīng)用業(yè)務(wù)的獨立性和各業(yè)務(wù)的隔離、互訪安全保障。這部分主要采用硬件設(shè)備：平臺互聯(lián)網(wǎng)出口：兩臺下一代防火墻、兩臺應(yīng)用交付、兩臺SSL VPN在租戶層，我們考慮了業(yè)務(wù)安全上云的問題，以及業(yè)務(wù)應(yīng)用安全、租戶、用戶接入安全問題，此外在租戶側(cè)我們還考慮了主機和虛機橫行訪問的安全問題。 GB/T 222392008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求216。l 成熟穩(wěn)定由于云計算的發(fā)展變化很快，而本項目建設(shè)時間緊，涉及面廣，應(yīng)用性強，在設(shè)計過程中，應(yīng)選成熟穩(wěn)定的技術(shù)和產(chǎn)品，確保建成的云平臺適應(yīng)各方的需求，同時節(jié)約項目施工時間。同時，在管理平臺上應(yīng)能定期的生成各租戶的安全風(fēng)險報表，可以幫助平臺上督促租戶進行漏洞發(fā)現(xiàn)、安全整改等工作。故障、用戶的請求被錯誤的分配等問題，我們需要從以下兩個方面來更好的保障租戶業(yè)務(wù)系統(tǒng)的穩(wěn)定：l 提供一種有效的方法實現(xiàn)云應(yīng)用的實時監(jiān)控及訪問請求的智能調(diào)度，從而保障用戶訪問體驗，杜絕因虛機故障或應(yīng)用假死造成用戶訪問中斷。 ：租戶的業(yè)務(wù)系統(tǒng)上線后，與傳統(tǒng)的硬件平臺一樣，也存在著應(yīng)用假死、出口線路擁塞amp。 租戶虛擬機需求分析 在云平臺的環(huán)境下，租戶內(nèi)部存在一臺或多臺虛擬機，虛擬機是否安全和可靠直接影響到租戶業(yè)務(wù)的質(zhì)量好壞，而虛擬機主要存在以下需求：l 對虛擬主機進行安全加固，采取措施防止通過虛擬機漏洞獲得對所在物理機的訪問和控制；單臺物理服務(wù)器上的各虛擬機之間可能存在二層流量交換，而這部分流量對于管理員來說是不可見的。防止拒絕服務(wù)云平臺上托管著大量的面向互聯(lián)網(wǎng)的服務(wù)，往往會成為拒絕服務(wù)的攻擊目標(biāo)。訪問控制系統(tǒng)的安全目標(biāo)是將云計算中心與不可信任域進行有效地隔離與訪問授權(quán)。黑客能夠利用這些漏洞發(fā)起對云平臺的攻擊，比如mail漏洞、后門漏洞、操作系統(tǒng)漏洞、ftp漏洞、數(shù)據(jù)庫漏洞，實現(xiàn)對網(wǎng)站敏感信息監(jiān)控、竊取、篡改等目的。病毒、蠕蟲、木馬等惡意代碼一旦感染云平臺系統(tǒng)或應(yīng)用，就可能在平臺內(nèi)部快速傳播，消耗網(wǎng)絡(luò)資源，劫持平臺應(yīng)用，竊取敏感信息，發(fā)送垃圾信息，甚至重定向用戶到惡意網(wǎng)頁。整個云平臺安全運維也成了一大難題，首先平臺本身以及平臺中的業(yè)務(wù)系統(tǒng)的安全現(xiàn)狀難以實時監(jiān)測，因此無法做到有效審計，不能追溯安全問題；其次，對于資源池中的安全服務(wù)，如何做到動態(tài)靈活的統(tǒng)一管理、智能分配，滿足云環(huán)境下動態(tài)高效的需求；再次，租戶業(yè)務(wù)系統(tǒng)遷入后，如何快速的獲得所需的安全配額，實現(xiàn)針對性的策略配置和自主運維。因此，集團的IT部門能夠集中人力物力進行本部門的業(yè)務(wù)運轉(zhuǎn)，從而減輕行政負(fù)擔(dān)，能有更多的精力專注于面向公眾的公共服務(wù)，提高效率。云計算能夠降低信息化成本在云環(huán)境下，可以將信息技術(shù)資源交給專業(yè)的第三方云服務(wù)商管理，由云服務(wù)商提供需要的信息技術(shù)基礎(chǔ)架構(gòu)、軟硬件資源和信息服務(wù)等，各子公司、集團根據(jù)按需付費的原則定制需要的信息服務(wù)。正如業(yè)界虛擬化領(lǐng)域的一位資深專家所言：“以前大家對于云計算可謂眾說紛紜，都有各自不同的見解和看法，而現(xiàn)在業(yè)界已逐漸形成共識：云計算就是下一代運算模式的演變。”在大企業(yè)，虛擬化云平臺能幫助單位在業(yè)務(wù)層面實現(xiàn)彈性架構(gòu)和資源池化，一方面可以大幅提升存儲計算等各種硬件資源的利用效率，另一方面還可明顯提升辦公、對外服務(wù)的開通時間、可用性以及災(zāi)難恢復(fù)等能力。開發(fā)者在一個平臺上構(gòu)建和部署應(yīng)用程序，大大提高了信息系統(tǒng)部署效率。云資源共享專區(qū)通過安全隔離措施訪問公有云（互聯(lián)網(wǎng)）、公眾服務(wù)專區(qū)；各子公司需要對互聯(lián)發(fā)布的業(yè)務(wù)系統(tǒng)應(yīng)根據(jù)服務(wù)對象逐步遷移至云平臺上，實現(xiàn)集中集約部署。平臺需要直接連接互聯(lián)網(wǎng)，面臨著非法接入、網(wǎng)絡(luò)入侵、黑客攻擊、病毒傳播、蠕蟲攻擊、web應(yīng)用保護、僵尸木馬、DDoS攻擊等各種安全問題，并且其底層和其上的系統(tǒng)軟件可能存在的安全漏洞將影響到整個平臺系統(tǒng)的安全，攻擊者在利用漏洞入侵到平臺之后，可以對整個平臺內(nèi)部的資源進行各種破壞，從而導(dǎo)致系統(tǒng)不可用，或者數(shù)據(jù)丟失、數(shù)據(jù)泄露，其潛在的威脅將無法估量。因為應(yīng)用只與虛擬層交互，而與真正的硬件隔離，導(dǎo)致應(yīng)用層的安全威脅缺乏監(jiān)管而泛濫，安全管理人員看不到設(shè)備背后的安全風(fēng)險，服務(wù)器變得更加不固定和不穩(wěn)定。云間安全互聯(lián)云平臺里面可能包含了多個部門數(shù)據(jù)中心或虛擬私有云，跨部門或跨級別之間也會進行信息的流轉(zhuǎn)，傳統(tǒng)數(shù)據(jù)中心和云平臺系統(tǒng)進行信息交互，這些信息往往涉及到機密等級的問題，應(yīng)予以嚴(yán)格保密。云平臺需要保障服務(wù)可靠性，一旦出現(xiàn)中斷將造成重大損失，并且影響集團形象。為提升外部用戶從外部訪問內(nèi)部網(wǎng)站和應(yīng)用系統(tǒng)的速度和性能，就需要對多條鏈路進行負(fù)載優(yōu)化，實現(xiàn)在多條鏈路上動態(tài)平衡分配，并在一條鏈路中斷的時候能夠智能地自動切換到另外一條鏈路，保障業(yè)務(wù)應(yīng)用不中斷。 租戶互聯(lián)網(wǎng)業(yè)務(wù)需求分析 租戶基于云平臺構(gòu)建的互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)，其安全風(fēng)險與傳統(tǒng)基于物理主機構(gòu)建的業(yè)務(wù)應(yīng)用相似，操作系統(tǒng)、數(shù)據(jù)庫、Web服務(wù)器軟件、中間件及應(yīng)用軟件相關(guān)安全風(fēng)險和可靠度均需要加以關(guān)注。2. 權(quán)限劃分：眾多的應(yīng)用系統(tǒng)需要采用合理的訪問權(quán)限控制機制，避免將重要服務(wù)器暴露在所有內(nèi)網(wǎng)甚至外網(wǎng)用戶面前，因密碼爆破、越權(quán)訪問等行為導(dǎo)致系統(tǒng)內(nèi)重要數(shù)據(jù)的泄露。 管理運維需求 三分技術(shù)，七分管理，有效的運維管理是保障安全的重要手段。同時在互聯(lián)網(wǎng)區(qū)與公用網(wǎng)絡(luò)區(qū)的管理網(wǎng)絡(luò)中斷部署防火墻等安全設(shè)備，用于兩個管理網(wǎng)絡(luò)的安全隔離。l 經(jīng)濟性原則云計算操作系統(tǒng)應(yīng)在滿足云平臺建設(shè)需求的前提下具備較高的性價比。 中共中央辦公廳、國務(wù)院辦公廳《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)的指導(dǎo)意見》（中辦發(fā)[2002]17號）；216。云平臺物理網(wǎng)絡(luò)出口部署的下一代防火墻NGAF可以有效保障平臺的安全。幫助客戶能夠定位出那臺PC中毒，并能阻斷其網(wǎng)絡(luò)流量，避免一些非法惡意數(shù)據(jù)進入客戶端，起到更好的防護效果。（如，SQL注入、XSS跨站腳本、CSRF跨站請求偽造）從而保護網(wǎng)站免受網(wǎng)站篡改、網(wǎng)頁掛馬、隱私侵犯、身份竊取、經(jīng)濟損失、名譽損失等問題。NGAF面向應(yīng)用層設(shè)計，能夠精確識別用戶、應(yīng)用和內(nèi)容，具備完整安全防護能力，能夠全面替代傳統(tǒng)防火墻，并具有全面的應(yīng)用層安全防護功能和強勁的處理能力。深信服VPN 設(shè)備內(nèi)置了AES/SANGFORDES/DES/3DES/RSA等多種加密算法，支持MD5/SHA1等標(biāo)準(zhǔn)HASH算法，包括國家密碼管理局指定的基于SCB2的標(biāo)準(zhǔn)加密算法。 集團子公司（租戶）業(yè)務(wù)系統(tǒng)上線后，面臨著用戶遠(yuǎn)程接入訪問的問題，不管是運維人員的運維接入，還是租戶的接入，都是需要慎重考慮接入安全的問題，尤其是使用BYOD接入訪問，更應(yīng)該對其接入進行嚴(yán)格的身份認(rèn)證和安全核查，同時對用戶訪問行為進行合理的權(quán)限劃分，及接入訪問的審計追溯，避免安全問題從遠(yuǎn)端傳遞過來并在云平臺蔓延。事后追查：整體保障應(yīng)用系統(tǒng)安全運維管理在訪問過程的進行日記記錄，提供管理日志和服務(wù)日志等日志。此外，AD還具有全局負(fù)載均衡功能，等將來備份數(shù)據(jù)中心建好后，還能實現(xiàn)將用戶訪問請求引導(dǎo)到最快最優(yōu)的數(shù)據(jù)中心進行響應(yīng)。該方法即避免了ICMP檢查的局限性，也避免了單一站點檢查帶來的單點失誤。我們主要從以下方面考慮：l 租戶VPC隔離在租戶的安全這一塊，我們首先要做的是區(qū)分出各租戶的邊界并予以安全隔離，鑒于云的特征，我們將每一個租戶劃分成一個獨立的虛擬區(qū)域，并在每一個區(qū)域使用虛擬防火墻進行區(qū)域之間的隔離，從而避免不受信的租戶之間的數(shù)據(jù)互訪造成安全隱患。并且能通過隱藏業(yè)務(wù)系統(tǒng)版本來提高入侵者的攻擊難度?？梢圆渴鹛摂M化AD組件，實現(xiàn)云應(yīng)用的實時監(jiān)控及訪問請求智能調(diào)度，保障用戶訪問體驗，杜絕因虛機故障或應(yīng)用假死造成用戶訪問中斷。本方案建議根據(jù)情況，進行客戶端安全檢查結(jié)果進行相應(yīng)應(yīng)用訪問權(quán)限的準(zhǔn)入和授權(quán)，同時通過SSL VPN成功接入到內(nèi)網(wǎng)中后，則自動斷開其他的Internet線路，只保留SSL VPN的通道，防止黑客通過Internet控制接入。（2）應(yīng)用優(yōu)化針對數(shù)據(jù)備份軟件、數(shù)據(jù)庫同步、FTP文件傳輸?shù)葢?yīng)用，通過應(yīng)用優(yōu)化策略，可進行進一步的優(yōu)化，減少數(shù)據(jù)小包交互，提升訪問速度，提高工作效率。n 建議部署組件：除了部署vAF、vAD外，還需要部署vVPN，針對訪客提供SSL VPN安全接入，針對租戶數(shù)據(jù)中心提供IPSec VPN接入。 單臂旁掛： vAD、vSSL VPN虛擬機方式部署簡單4步，快速部署上線：216。通過對服務(wù)鏈的健康狀態(tài)的整體監(jiān)控和評分，對每個租戶的總體服務(wù)質(zhì)量有全面的把握和管理。我們?yōu)樽鈶籼峁┑倪\維界面清晰、完整、簡單、自助化，從而可以使租戶管理員非常便捷的就能夠加載其需要的安全組件、優(yōu)化組件、計算組件等。平臺為租戶提供組件選擇，租戶可以根據(jù)自身的需要選擇相應(yīng)的服務(wù)。通過云平臺，多個部門可以共用相應(yīng)的基礎(chǔ)架構(gòu)，實現(xiàn)各應(yīng)用系統(tǒng)之間的軟硬件共享，提高信息共享的效率，擴大信息共享范圍；軟硬件資源和信息資源的共享將有利于促進各部門內(nèi)部與部門之間的業(yè)務(wù)系統(tǒng)的整合，為各部門業(yè)務(wù)協(xié)同創(chuàng)造條件。用一些事情，總會看清一些人。學(xué)習(xí)參考