【正文】 SL VPN設(shè)備，可以保障云平臺內(nèi)部應(yīng)用系統(tǒng)的安全發(fā)布，實現(xiàn)智能終端對業(yè)務(wù)的無縫訪問，實現(xiàn)云應(yīng)用的授權(quán)訪問，保障遠(yuǎn)程訪問安全，實現(xiàn)應(yīng)用系統(tǒng)安全加固，確保合法身份通過合法行為接入合法系統(tǒng)。充分的利用了各條線路，在保證線路的高穩(wěn)定性下實現(xiàn)線路價值的最大化。支持多線路技術(shù)實現(xiàn)多條線路之間的主備，可設(shè)備主線路組合備線路組，并可實現(xiàn)在主線路組、備線路組中分別進(jìn)行帶寬的疊加及負(fù)載均衡。高穩(wěn)定性 SANGFOR VPN通過VPN隧道、線路和設(shè)備三方面的全方位保證整個VPN網(wǎng)絡(luò)的穩(wěn)定性。通過IPSEC在Internet上建立安全可信的隧道，各實體之間的數(shù)據(jù)都是通過安全隧道傳遞。深信服SSL VPN網(wǎng)關(guān)也提供了專業(yè)的IPSec VPN功能，滿足云平臺業(yè)務(wù)使用IPSec VPN技術(shù)專網(wǎng)互聯(lián)的需求，實現(xiàn)各區(qū)域安全數(shù)據(jù)安全加固。因此，在信息傳遞過程中，必須加密方法措施進(jìn)行安全加固。集團(tuán)子公司（租戶）業(yè)務(wù)系統(tǒng)上線后，面臨著用戶遠(yuǎn)程接入訪問的問題，不管是運維人員的運維接入，還是租戶的接入，都是需要慎重考慮接入安全的問題，尤其是使用BYOD接入訪問，更應(yīng)該對其接入進(jìn)行嚴(yán)格的身份認(rèn)證和安全核查，同時對用戶訪問行為進(jìn)行合理的權(quán)限劃分，及接入訪問的審計追溯，避免安全問題從遠(yuǎn)端傳遞過來并在云平臺蔓延。深NGAF設(shè)備實現(xiàn)完整的二到七層網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)。 . 多業(yè)務(wù)數(shù)據(jù)隔離和交換面向外網(wǎng)用戶的公共服務(wù)區(qū)和面向互聯(lián)網(wǎng)服務(wù)的互聯(lián)網(wǎng)區(qū)，兩區(qū)之間采用強(qiáng)隔離技術(shù)實現(xiàn)數(shù)據(jù)交換或同步: 為了保障平臺層的安全，在互聯(lián)網(wǎng)區(qū)與公用網(wǎng)絡(luò)區(qū)出口邊界部署深信服下一代防火墻NGAF。該特征庫包含木馬，廣告軟件，惡意軟件，間諜軟件，后門，蠕蟲，漏洞，黑客工具，病毒9大分類。NGAF同時提供實時的漏洞保護(hù)和防護(hù)能力，能夠?qū)崟r對操作系統(tǒng)、應(yīng)用程序漏洞，如HTTP服務(wù)器(Apache、IIS)，F(xiàn)TP服務(wù)器(FileZilla)，Mail服務(wù)器(Exchange)，Realvnc，OpenSSH，Mysql，DB，SQL，Oracle等漏洞保護(hù)，包括后門程序預(yù)防、協(xié)議脆弱性保護(hù)、exploit保護(hù)、網(wǎng)絡(luò)共享服務(wù)保護(hù)、shellcode預(yù)防、間諜程序預(yù)防等，有效防止了云平臺主機(jī)漏洞被利用而成為黑客攻擊的跳板。. 防止漏洞攻擊 云平臺內(nèi)大量主機(jī)的底層和業(yè)務(wù)應(yīng)用系統(tǒng)會不斷產(chǎn)生安全漏洞，給了入侵者可乘之機(jī)。NGAF有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過程的動態(tài)防御機(jī)制，實現(xiàn)雙向的內(nèi)容檢測，提供OWASP定義的十大安全威脅的攻擊防護(hù)能力，有效防止常見的web攻擊?？呻[藏的服務(wù)器包括WEB服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等。NGAF具備專業(yè)的web應(yīng)用安全防御功能，能夠解決常見的web應(yīng)用安全問題，如SQL注入攻擊，跨站腳本攻擊攻，CSRF即跨站請求偽造，網(wǎng)站掃描攻擊，文件包含漏洞攻擊，目錄遍歷漏洞及弱口令風(fēng)險發(fā)現(xiàn)。NGAF提供了網(wǎng)絡(luò)病毒防護(hù)功能，從病毒傳播的途徑中對HTTP、FTP、SMTP、POP3等協(xié)議流量中進(jìn)行病毒查殺，亦可查殺壓縮包（zip，rar，7z等）中的病毒，內(nèi)置百萬級別病毒樣本，確保查殺效果。NGAF的APT檢測功能主要解決的問題：針對平臺內(nèi)部的主機(jī)感染了病毒、木馬的機(jī)器，其病毒、木馬試圖與外部網(wǎng)絡(luò)通信時，AF識別出該流量，并根據(jù)策略進(jìn)行阻斷和記錄日志。通過云平臺區(qū)域邊界劃分和安全隔離，實現(xiàn)網(wǎng)絡(luò)服務(wù)、應(yīng)用業(yè)務(wù)的獨立性和各業(yè)務(wù)的隔離、互訪安全保障。 一.1.2.3.4..... 平臺分區(qū)分域平臺層整體安全架構(gòu)如上圖所示，依照云平臺的建設(shè)需求，本次云平臺利用NGAF實現(xiàn)了公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)區(qū)區(qū)域邊界劃分，其中公用網(wǎng)絡(luò)區(qū)主要是部門系統(tǒng)內(nèi)和系統(tǒng)間的互訪，互聯(lián)網(wǎng)用戶不能直接訪問這個區(qū)域的數(shù)據(jù)和信息系統(tǒng)；互聯(lián)網(wǎng)區(qū)部署的是集團(tuán)的WEB等托管服務(wù)，完成信息互聯(lián)網(wǎng)發(fā)布和數(shù)據(jù)填報。深信服下一代防火墻（NextGeneration Application Firewall）NGAF面向應(yīng)用層設(shè)計，能夠精確識別用戶、應(yīng)用和內(nèi)容，具備完整安全防護(hù)能力，能夠全面替代傳統(tǒng)防火墻，并具有全面的應(yīng)用層安全防護(hù)功能和強(qiáng)勁的處理能力。運維管理網(wǎng)邊界：下一代防火墻、一套集中管理系統(tǒng)SC 平臺側(cè)設(shè)計方案云平臺安全部署框架如上圖所示，在云平臺物理網(wǎng)絡(luò)邊界部署安全、應(yīng)用交付類產(chǎn)品，如下一代防火墻NGAF、安全網(wǎng)關(guān)SSL VPN、應(yīng)用交付AD等產(chǎn)品，形成安全硬件資源池，在物理網(wǎng)絡(luò)出口提供平臺級的整體安全保護(hù)，實現(xiàn)如區(qū)域劃分、接入控制、病毒防護(hù)、入侵防護(hù)、漏洞檢測、DDoS攻擊防護(hù)、WEB安全防護(hù)、接入安全、服務(wù)器負(fù)載均衡等功能，實現(xiàn)2到7層安全防護(hù)和應(yīng)用、鏈路的負(fù)載優(yōu)化，實現(xiàn)精細(xì)的區(qū)域劃分與可視化的權(quán)限訪問控制，保證云平臺和內(nèi)部業(yè)務(wù)系統(tǒng)具備更高的安全性、可用性、持續(xù)性，以及快速性。這部分主要采用硬件設(shè)備：平臺互聯(lián)網(wǎng)出口：兩臺下一代防火墻、兩臺應(yīng)用交付、兩臺SSL VPN在租戶層，我們考慮了業(yè)務(wù)安全上云的問題，以及業(yè)務(wù)應(yīng)用安全、租戶、用戶接入安全問題，此外在租戶側(cè)我們還考慮了主機(jī)和虛機(jī)橫行訪問的安全問題。 國務(wù)院辦公廳關(guān)于加強(qiáng)政府網(wǎng)站建設(shè)和管理工作的意見(國辦發(fā)〔2006）104號）；216。 國家信息化領(lǐng)導(dǎo)小組《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）；216。 GB/T 250582010 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實施指南216。 GB/T 222392008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求216。本次方案設(shè)計中參考的依據(jù)如下：216。同時，云計算操作系統(tǒng)必須提供本地化技術(shù)支持，降低云平臺維護(hù)成本。l 開放適用由于云計算平臺為各業(yè)務(wù)應(yīng)用系統(tǒng)提供支撐，必須充分考慮系統(tǒng)的開放性，提供開放標(biāo)準(zhǔn)接口，供開發(fā)者、用戶使用。l 成熟穩(wěn)定由于云計算的發(fā)展變化很快，而本項目建設(shè)時間緊，涉及面廣，應(yīng)用性強(qiáng)，在設(shè)計過程中，應(yīng)選成熟穩(wěn)定的技術(shù)和產(chǎn)品，確保建成的云平臺適應(yīng)各方的需求，同時節(jié)約項目施工時間。l 平臺服務(wù)商合作運維：具備通過統(tǒng)一的接口實現(xiàn)云監(jiān)管平臺的相關(guān)管理功能要求（OpenStack），能夠和平臺服務(wù)商進(jìn)行合作開發(fā)，從而實現(xiàn)更加高效、完整易用的管理。網(wǎng)管平臺通過SNMP等方式實現(xiàn)對多種IT資產(chǎn)進(jìn)行統(tǒng)一的管理，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等設(shè)備。l 云平臺運維：管理平臺（網(wǎng)管平臺、安全管理平臺、云管理平臺）僅允許通過管理區(qū)域內(nèi)的管理終端本地訪問，避免遠(yuǎn)程管理可能引入的系統(tǒng)風(fēng)險。同時，在管理平臺上應(yīng)能定期的生成各租戶的安全風(fēng)險報表，可以幫助平臺上督促租戶進(jìn)行漏洞發(fā)現(xiàn)、安全整改等工作。在管理運維角度，我們從以下幾個方面進(jìn)行重點關(guān)注：l 租戶運維：需要將租戶管理賬號與云基礎(chǔ)設(shè)施管理賬號的權(quán)限分離，防止租戶主機(jī)非授權(quán)訪問?；谠朴嬎隳Ｊ降臉I(yè)務(wù)系統(tǒng)對數(shù)據(jù)安全、隱私保護(hù)提出了更高的要求，在數(shù)據(jù)管理權(quán)與所有權(quán)分離的狀態(tài)下這些問題顯得更加突出。在業(yè)務(wù)的低谷期，能夠減少虛擬機(jī)來避免資源的浪費。故障、用戶的請求被錯誤的分配等問題，我們需要從以下兩個方面來更好的保障租戶業(yè)務(wù)系統(tǒng)的穩(wěn)定：l 提供一種有效的方法實現(xiàn)云應(yīng)用的實時監(jiān)控及訪問請求的智能調(diào)度，從而保障用戶訪問體驗，杜絕因虛機(jī)故障或應(yīng)用假死造成用戶訪問中斷。4. 安全防護(hù)：與傳統(tǒng)數(shù)據(jù)中心類似，云平臺中的安全需求也是不僅能夠防護(hù)傳統(tǒng)網(wǎng)絡(luò)層的風(fēng)險，還能識別并防護(hù)應(yīng)用層的威脅，防止漏洞攻擊，實現(xiàn)雙向內(nèi)容檢測，防止敏感信息泄露。同時，針對于不同的應(yīng)用系統(tǒng)對訪問人員做好細(xì)致的訪問權(quán)限控制，避免越權(quán)訪問。 ：當(dāng)訪問量過多，業(yè)務(wù)量太大時，用戶的訪問速度變慢，如何在不改變用戶的使用習(xí)慣的情況下，通過合理調(diào)配鏈路、虛擬機(jī)等資源來實現(xiàn)訪問速度的提升？ 租戶外網(wǎng)業(yè)務(wù)需求分析 租戶的外網(wǎng)業(yè)務(wù)主要是用于各集團(tuán)子公司單位人員接入訪問或者移動辦公、出差人員的訪問，流量經(jīng)過互聯(lián)網(wǎng)或者廣域網(wǎng)，該區(qū)域存在的需求如下：1. 安全接入：訪問的人員需要經(jīng)過認(rèn)證授權(quán)，防止非法訪問，同時流量流經(jīng)城/廣域網(wǎng)，需要進(jìn)行加密傳輸，防止數(shù)據(jù)泄密的風(fēng)險。 ：租戶的業(yè)務(wù)系統(tǒng)上線后，與傳統(tǒng)的硬件平臺一樣，也存在著應(yīng)用假死、出口線路擁塞amp。 ：在云平臺中，同樣存在Web攻擊，黑客通常會采用Web攻擊的方式來入侵Web服務(wù)器，一旦獲取了權(quán)限，將造成信息泄露、網(wǎng)頁篡改等風(fēng)險，因此對于云平臺同樣需要做到Web的安全防護(hù)。租戶的互聯(lián)網(wǎng)業(yè)務(wù)主要承載對外發(fā)布系統(tǒng)、門戶網(wǎng)站等，用戶主要是互聯(lián)網(wǎng)用戶，因此該區(qū)域的需求分為了訪問控制、web安全防護(hù)、入侵防御、病毒防護(hù)、安全管理、應(yīng)用可靠、用戶體驗。在業(yè)務(wù)的低谷期，能夠減少虛擬機(jī)來避免資源的浪費，實現(xiàn)資源的動態(tài)調(diào)整。 租戶虛擬機(jī)需求分析 在云平臺的環(huán)境下，租戶內(nèi)部存在一臺或多臺虛擬機(jī)，虛擬機(jī)是否安全和可靠直接影響到租戶業(yè)務(wù)的質(zhì)量好壞，而虛擬機(jī)主要存在以下需求：l 對虛擬主機(jī)進(jìn)行安全加固，采取措施防止通過虛擬機(jī)漏洞獲得對所在物理機(jī)的訪問和控制；單臺物理服務(wù)器上的各虛擬機(jī)之間可能存在二層流量交換，而這部分流量對于管理員來說是不可見的。其次為滿足等保合規(guī)需求，每個業(yè)務(wù)區(qū)內(nèi)還需要劃分二級等保區(qū)和三級等保區(qū)兩個區(qū)域，兩者的計算資源不允許共享。全局負(fù)載均衡當(dāng)某一云中心出現(xiàn)系統(tǒng)性故障時，或者某一云中心的性能負(fù)載出現(xiàn)過大問題時，可以通過全局負(fù)載，進(jìn)行實時業(yè)務(wù)調(diào)度，讓兩個或者多個云數(shù)據(jù)中心能夠互為備份，讓用戶獲得就近最快速的訪問。鏈路負(fù)載均衡云平臺接入往往多條運營商鏈路，從而保證網(wǎng)絡(luò)服務(wù)的質(zhì)量，消除單點故障，減少停機(jī)時間。防止拒絕服務(wù)云平臺上托管著大量的面向互聯(lián)網(wǎng)的服務(wù)，往往會成為拒絕服務(wù)的攻擊目標(biāo)。不可抗拒性的中斷建議采用冗余數(shù)據(jù)中心的方式來解決。服務(wù)中斷來源于倆方面：一方面因為攻擊造成拒絕對外提供服務(wù)，這種情況下服務(wù)器或帶寬資源被消耗完，導(dǎo)致無法處理后續(xù)服務(wù)；另一方面是因為服務(wù)器故障停止對外服務(wù)、出口鏈路中斷、數(shù)據(jù)中心切換等問題帶來的服務(wù)軟中斷；此外，災(zāi)難、電力供應(yīng)等不可抗拒性也會導(dǎo)致服務(wù)中斷，此類事件一旦發(fā)生，便會造成數(shù)據(jù)中心毀滅性的破壞。訪問控制系統(tǒng)由防火墻系統(tǒng)組成，防火墻在網(wǎng)絡(luò)入口點根據(jù)設(shè)定的安全規(guī)則，檢查經(jīng)過的通信流量，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和聯(lián)接方式按照一定的安全策略進(jìn)行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許。訪問控制系統(tǒng)的安全目標(biāo)是將云計算中心與不可信任域進(jìn)行有效地隔離與訪問授權(quán)。 租戶安全接入集團(tuán)子公司（租戶）業(yè)務(wù)系統(tǒng)上線后，面臨著用戶遠(yuǎn)程接入訪問的問題，不管是運維人員的運維接入，還是集團(tuán)子公司用戶的接入，都是需要慎重考慮接入安全的問題，尤其是使用BYOD接入訪問，更應(yīng)該對其接入進(jìn)行嚴(yán)格的身份認(rèn)證和安全核查，同時對用戶訪問行為進(jìn)行合理的權(quán)限劃分，避