泛云安全解决方案ppt课件

1Confidential保密泛云安全整体解决方案-技术培训泛云安全整体解决方案-技术培训2Confidential保密互联网接入分区安全管理Server云管理Server整体组网（黄色为安全业务设备、绿色为VxlanGateWay节点、灰色为普通节点）WEBR390vSwitchVMVMVMWEBR390vSwitchVMVMVMWEBServerVMVMVMS1020V存储分区服务器分区一（含虚拟化DB）存储阵列业务ToRDBServerDBServer服务器分区二（物理DB）S6800DBA存储阵列APPR390vSwitchVMVMVMAPPR390vSwitchVMVMVMAPPServerVMVMVMS1020VABR390vSwitchVMVMVMABR390vSwitchVMVMVMDBServerVMVMVMS1020V存储阵列存储ToR管理&控制分区VCFCControllerCloudOS/3rd云平台NFVManagerCAS/CVM/VMware硬件堡垒机天机系统漏洞扫描网页防篡改（管理端）云监测中心广域网接入分区WANRouterCoreCoreDDoS检测基础网络分区Router出口NGFW（云基础架构安全防护、租户安全防护）东西向安全能力中心（服务链）南北向安全能力中心（出口防护）SecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvWAFvWAFvOAvOASecurityServerS1020VvWAFvWAFvOAvOA硬件LB业务ToR业务ToRSecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvFWvFWvLBvLB或硬件NGFW或硬件LBDDoS（管理中心）DDoS清洗Internet管理ToR管理NGFWvSwitchvSwitch网页防篡改监控端互联网接入分区安全管理 Server云管理 Server整体3Confidential保密耦合度说明VTEPHypervisor（CAS/KVM/VMWare）VTEPPhysicalSecurityNode(ServiceChain)VxlanIPGateWaySDNController（CloudOS/3rdOpenStack云平台）紧偶：推荐同一厂商解耦：可以厂商异构NFVSecurityNode(ServiceChain)Normal/3rdSecurityNode（ProxyAccess）耦合度说明VTEPHypervisor（CAS/KVM/VM4Confidential保密云安全体系架构云安全体系架构5Confidential保密WEBR390vSwitchVMVMVMWEBR390vSwitchVMVMVMWEBServerVMVMVMS1020V网页防篡改监控端互联网接入分区安全管理Server云管理Server云服务商流量模型及安全控制点存储分区服务器分区一（含虚拟化DB）存储阵列业务ToRDBServerDBServer服务器分区二（物理DB）S6800DBA存储阵列APPR390vSwitchVMVMVMAPPR390vSwitchVMVMVMAPPServerVMVMVMS1020VABR390vSwitchVMVMVMABR390vSwitchVMVMVMDBServerVMVMVMS1020V存储阵列存储ToR管理&控制分区VCFCControllerCloudOS/3rd云平台NFVManagerCAS/CVM/VMware广域网接入分区WANRouterCoreCore基础网络分区Router东西向安全能力中心（服务链）南北向安全能力中心SecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvWAFvWAFvOAvOASecurityServerS1020VvWAFvWAFvOAvOA硬件LB业务ToR业务ToRSecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvFWvFWvLBvLB或硬件NGFW或硬件LBInternet管理ToRvSwitchvSwitchDDoS检测出口NGFW（云基础架构安全防护）DDoS清洗硬件堡垒机天机系统漏洞扫描网页防篡改（管理端）云监测中心DDoS（管理中心）管理NGFW云服务商运维流量云服务商广域网出口流量云服务商互联网出口流量WEB R390vSwitchVMVMVMWEB R390v6Confidential保密互联网接入分区安全管理Server云管理Server云租户流量模型及安全控制点WEBR390vSwitchVMVMVMWEBR390vSwitchVMVMVMWEBServerVMVMVMS1020V存储分区服务器分区一（含虚拟化DB）存储阵列业务ToRDBServerDBServer服务器分区二（物理DB）S6800存储阵列APPR390vSwitchVMVMVMAPPR390vSwitchVMVMVMAPPServerVMVMVMS1020VABR390vSwitchVMVMVMABR390vSwitchVMVMVMDBServerVMVMVMS1020V存储阵列存储ToR管理&控制分区VCFCControllerCloudOS/3rd云平台NFVManagerCAS/CVM/VMware硬件堡垒机天机系统广域网接入分区WANRouterCoreCore基础网络分区Router东西向安全能力中心（服务链）南北向安全能力中心业务ToR业务ToRInternet管理ToR管理NGFWvSwitchvSwitchDBA或硬件NGFW或硬件LBSecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvFWvFWvLBvLBSecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvWAFvWAFvOAvOASecurityServerS1020VvWAFvWAFvOAvOA出口NGFW（云租户安全防护）DDoS检测DDoS清洗漏洞扫描云监测中心网页防篡改（管理端）DDoS（管理中心）硬件LB云主机/租户东西向流量（APP访问DB）云租户业务流量（广域网出口+互联网出口）、运维流量云租户监管流量云主机/租户东西向流量（WEB访问APP）网页防篡改监控端互联网接入分区安全管理 Server云管理 Server云租7Confidential保密广域网接入分区南北向安全防护-边界安全接入互联网接入分区WAN（MPLSVPN）Internet出口VPN-NGFWSOP虚拟化为云主机/租户分配的虚拟防火墙为云基础架构分配的虚拟防火墙广域网专线接入：n安全需求：针对云租户广域网接入分区连接外部单位（比如电子政务网接入）n实现方式：通过出口路由器的MCE功能将不同租户的广域网流量分开，下行连接各自的虚拟防火墙实现租户接入n部署位置：广域网接入分区n运维主体：出口路由器由云服务商统一运维，虚拟防火墙由租户单独运维n运维方式：出口路由器为纯手工运维，虚拟防火墙可由SDN控制器管理n产品选型：出口路由器（具备MPLSVPNMCE功能）、M9000/F5000NGFWSOP虚拟化互联网VPN接入：n安全需求：针对云服务商、云租户用于互联网接入分区的VPN业务接入(IPSecVPN、SSLVPN)n实现方式：为租户和云服务商分配各自的虚拟防火墙，通过二合一VPN实现接入，做到安全隔离n部署位置：互联网接入分区n运维主体：云服务商和租户单独运维n运维方式：云服务的虚拟防火墙手工运维，云租户的IPSecVPN策略由SDN统一管理，云租户的SSLVPN策略手工部署n产品选型：M9000/F5000SSLVPN流量IPsecVPN流量MCERouterRouterVPN1VPN3VPN2PERouter子接口广域网接入分区南北向安全防护-边界安全接入互联网接入分区WA8Confidential保密南北向安全防护-出口多业务防护统一出口安全防护：n安全需求：针对为云服务商、云租户提供访问控制、NAT、VPN、防攻击、防病毒等出口安全需求n实现方式：为云服务商和租户分配单独的虚拟防火墙，加载不同的多业务License实现安全防护n部署位置：旁挂/串接于互联网出口区和广域网出口区，部署一套或两套n运维主体：云服务商、云租户单独运维n运维方式：云服务商虚拟防火墙手工部署，云租户的虚拟防火墙由SDN控制器统一管理+策略路由引流n产品选型：M9000/F5000互联网接入分区广域网接入分区WAN（MPLSVPN）RouterInternetRouter出口NGFW（LLB、IPS、AV、VPN、NAT）-SOP虚拟化为云主机/租户分配的虚拟防火墙为云基础架构分配的虚拟防火墙南北向安全防护-出口多业务防护统一出口安全防护：互联网接入分9Confidential保密南北向安全防护-互联网DDoS攻击防护DDoS检测设备DDoS清洗设备RouterInternetDDoS管理中心（管理&控制分区）云租户A云租户B云服务商一旦发现DDoS攻击立即通知管理中心管理中心按照策略通知清洗设备启动防护清洗设备对攻击流量进行牵引，并进行清洗最后将干净流量回注用户网络流量镜像/分光/Netflow，检测设备探测是否存在DDoS攻击流量n安全需求：针对云服务商、云租户在互联网出口的DDoS攻击防护，避免带宽占用或业务瘫痪n实现方式：部署异常流量防护设备（检测+清洗+管理）实现DDoS攻击流量的检测、清洗和回注。通过不同的公网IP来为云服务商和云租户的业务进行防护n部署位置：检测设备和清洗设备旁挂于互联网出口路由器或交换机，管理设备部署于管理&控制区n运维主体：由云服务商统一运维n运维方式：纯手工策略部署n产品选型：合作中，预计下半年推出n防护步骤：注：黄色为DDoS攻击流量、红色为正常流量互联网接入分区南北向安全防护-互联网DDoS攻击防护DDoS检测设备DD10Confidential保密南北向安全防护-WEBServer负载均衡WEBServerVMVMVMS1020VCore基础网络分区南北向安全能力中心（出口防护）服务器分区一业务ToR业务ToRWAN/Internet广域网/互联网接入分区硬件LBWEBServer负载均衡：n安全需求：针对云租户的多台WEBServer同时提供服务，需要前端负载均衡设备进行服务器流量负载分担，实现服务器高可靠性n实现方式：部署硬件LB设备，利用虚拟化技术为每个租户分配单独的LB设备n部署位置：旁挂于核心交换机，部署在overlay网络外n运维主体：云租户单独运维n运维方式：SDN控制器统一管理+策略路由引流（旁路）n产品选型：L5000/L1000南北向安全防护-WEB Server负载均衡WEB Serv11Confidential保密南北向安全防护-互联网WEB应用防护WEBServerVMVMVMS1020VCore基础网络分区南北向安全能力中心（出口防护）SecurityServerS1020VvWAFvWAFvWAFvWAF服务器分区一业务ToR业务ToR安全管理Server网页防篡改（管理端）vSwitch管理&控制分区管理ToR管理FWInternet互联网接入分区WEB防攻击：n安全需求：针对云租户HTTP业务的SQL注入、跨站攻击的防护n实现方式：通过S1020V或S6800以代理的方式将vWAF接入Overlay网络中，vWAF本身以反向代理的方式接入到网络中，并实现WEB防攻击n部署位置：南北向安全能力中心分区n运维主体：由租户单独运维n运维方式：通过CloudOS工单的方式申请，人工部署运维n产品选型：vWAF（可方案引导、供货时间10月份）网页防篡改监控端WEB防篡改：n安全需求：防止云租户WEB网站的静态文件目录被恶意篡改n实现方式：通过管理FW上NAT+VRF将管理端与多个租户的监控端网络连通n部署位置：直接在WEBServer上部署网页防篡改-监控端，然后在管理&控制分区部署网页防篡改-管理端n运维主体：由云服务商统一运维n运维方式：通过CloudOS工单的方式申请，人工部署运维n产品选型：网页防篡改（含监控端、管理端）NAT+VRF出口NGFWNAT映射南北向安全防护-互联网WEB应用防护WEB ServerVM12Confidential保密主机安全加固WEBR390vSwitchVMVMVMWEBR390vSwitchVMVMVMWEBServerVMVMVMS1020V服务器分区一（含虚拟化DB）业务ToRAPPR390vSwitchVMVMVMAPPR390vSwitchVMVMVMAPPServerVMVMVMS1020VABR390vSwitchVMVMVMABR390vSwitchVMVMVMDBServerVMVMVMS1020Vn安全需求：针对云服务商、云租户的主机自身的安全加固n实现方式：1.安装主机版杀毒软件（趋势、360）2.主机操作系统进行安全加固，包括安全访问控制策略、认证策略、补丁策略、安全审计策略、安全准入策略等n部署位置：部署于云主机服务器上，安全加固以人工服务的方式进行策略优化n运维主体：云服务商、云租户单独运维n运维方式：手工部署n产品选型：主机杀毒软件、人工服务主机安全加固WEB R390vSwitchVMVMVMWEB13Confidential保密东西向安全防护-主机访问控制和应用负载分担WEBR390vSwitchVMVMVMWEBR390vSwitchVMVMVMWEBServerVMVMVMS1020V服务器分区一（含虚拟化DB）业务ToRAPPR390vSwitchVMVMVMAPPR390vSwitchVMVMVMAPPServerVMVMVMS1020VABR390vSwitchVMVMVMABR390vSwitchVMVMVMDBServerVMVMVMS1020VSecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvFWvFWvLBvLB东西向安全能力中心（服务链）业务ToRCoreCore基础网络分区服务链模式n安全需求：针对云租户服务器内部的访问控制及应用服务器/数据库服务器的负载分担n实现方式：为云租户分配单独的虚拟防火墙和虚拟LB，并且虚拟防火墙和虚拟LB支持服务链功能n部署位置：部署于东西向安全能力中心，通过服务链将流量牵引至安全设备进行防护n运维主体：云租户单独运维n运维方式：SDN控制器统一管理+服务链n产品选型：NFV形态（vFW、vLB）、硬件形态（M9000/F5000、L5000/L1000）或硬件NGFW或硬件LB东西向安全防护-主机访问控制和应用负载分担WEB R390v14Confidential保密安全服务链编排逻辑租户（市场部）服务实例服务模式正向规则集反向规则集服务资源服务类型防火墙其他负载均衡流量特征匹配NetWorkPortSubnetu定义需要服务链处理的流量类型，将处理动作（下一跳服务节点信息）写入流表，后续推送至各转发节点u流分类节点处理处理流量时，根据流表转发至相应服务节点OpenFlowNetconfu将匹配流量后执行的安全策略的配置下发至相关服务资源中；u流分类节点将匹配流量牵引过来后可执行相应策略SDN控制器注：上图以NetWork为流量特征，执行防火墙服务为例（灰色内容也为支持功能）安全服务链编排逻辑租户（市场部）服务实例服务模式正向规则集反15Confidential保密拓扑示例VxLANIPGateWayVTEP-AVTEP-BVM-1VM-2FWSDNControllerOpenStack云管理平台封装/解封装封装/解封装VxLANTunnelVxLANID100VxLAN封装+原始IP报文(删除Vlan标记)原始IP报文原始IP报文VLANID10VLANIDxxVLANID10VLANIDxxVxLANID100VxLANIDxxxVxLANIDxxx防火墙需支持服务链及OpenFlow协议拓扑示例VxLAN IP GateWayVTEP-AVTEP16Confidential保密控制层面过程VxLANIPGateWayVTEP-AVTEP-BVM-1VM-2FWSDNControllerOpenStack云管理平台uSDN控制器作为整网的控制大脑，拥有完整的转发地址表项（Vxlan、vlan、MAC、Port对应关系）u根据业务访问需要，通过openflow协议灵活下发流表到相应的转发节点上u同时利用netconf接口将相应配置发下至转发节点全局地址表VxlanVNID100100MACVTEPIPVlan1010InterfacevPort1vPort1VM-1VTEP-AvPort1VM-2VTEP-BvPort1SDN控制器根据VxLAN与Vlan映射关系，添加主机MAC、所在VTEP节点以及端口信息，逐步完成整网主机搜集虚机上线，发送ARP/RARP/DHCPVTEP-A将其作为首包封装在Packin报文中，上送至SDN控制器虚机上线，发送ARP/RARP/DHCPVTEP-B将其作为首包封装在Packin报文中，上送至SDN控制器控制层面过程 VxLAN IP GateWayVTEP-AV17Confidential保密转发层面过程（同一网段）VxLANIPGateWayVTEP-AVTEP-BVM-1VM-2FWVTEPAddress:1.1.1.1VTEPAddress:1.1.1.2IP:10.1.1.2IP:10.1.1.1VTEPAddress:1.1.1.3u正常报文封装u服务链报文封装SrcMACDstMACSrcIPDstIPPayloadVM-1VM-210.1.1.110.1.1.2ICMP-QnVM-1-VTEP-ASrcMACDstMACSrcIPDstIPPayloadVTEP-AVTEP-B1.1.1.11.1.1.2原始报文VNID1000ServiceID0nVTEP-A-VTEP（VxLAN封装、根据流表转发）SrcMACDstMACSrcIPDstIPPayloadVM-1VM-210.1.1.110.1.1.2ICMP-QnVTEP-B-VM-2（VxLAN解封装、根据流表转发）SrcMACDstMACSrcIPDstIPPayloadVM-1VM-210.1.1.110.1.1.2ICMP-QnVM-1-VTEP-ASrcMACDstMACSrcIPDstIPPayloadVTEP-AFW1.1.1.11.1.1.3原始报文VNID1000ServiceID1nVTEP-A-FW（流分类节点：数据流匹配服务链策略，执行服务链封装）SrcMACDstMACSrcIPDstIPPayloadFWVTEP-B1.1.1.31.1.1.2原始报文VNID1000ServiceID0nFW-VTEP-B（服务节点：安全业务处理，去除服务链封装，普通转发）SrcMACDstMACSrcIPDstIPPayloadVM-1VM-210.1.1.110.1.1.2ICMP-QnVTEP-B-VM-2（根据流表转发）SDNController流表配置流表配置流表配置流表配置SDN控制器计算得出转发表后下发流表和相应的配置，并进行ARP代答发送ARP请求,请求VM2-MAC，首包上送VM-1封装报文发出，各节点根据流表转发转发层面过程（同一网段）VxLAN IP GateWayVT18Confidential保密转发层面过程（不同网段）VxLANIPGateWayVTEP-AVTEP-BVM-1VM-2FWVTEPAddress:1.1.1.1VTEPAddress:1.1.1.2IP:20.1.1.1GW-2：20.1.1.2IP:10.1.1.1GW-1：10.1.1.2VTEPAddress:1.1.1.3SDNController流表配置流表配置流表配置流表配置SDN控制器计算得出转发表后下发流表和相应的配置发送ARP请求,请求网关MAC，首包上送VM-1封装报文发出，各节点根据流表转发VTEPAddress:1.1.1.4GW-1GW-2n不同网段通信需要网关进行转发nVM-1先发送给GW-1，GW-1处理，然后GW-2发给VM-2转发层面过程（不同网段）VxLAN IP GateWayVT19Confidential保密转发层面过程（不同网段）u正常报文封装SrcMACDstMACSrcIPDstIPPayloadVM-1VSI-GW10.1.1.120.1.1.1ICMP-QnVM-1-VTEP-A（跨网段通信，VM-1将报文封装发给自己的VxlanVSI网关）SrcMACDstMACSrcIPDstIPPayloadVTEP-AIPGW1.1.1.11.1.1.4原始报文VNID1000ServiceID0nVTEP-A-VxLANIPGW（VxLAN1000的报文封装，根据流表转发）SrcMACDstMACSrcIPDstIPPayloadVSI-GWVM-210.1.1.120.1.1.2ICMP-QnVTEP-B-VM-2（VxLAN解封装、根据流表转发）SrcMACDstMACSrcIPDstIPPayloadIPGWVTEP-B1.1.1.41.1.1.2新报文VNID2000ServiceID0nVxLANIPGW-VTEP-B（VxLAN2000封装，通过隧道发送）SrcMACDstMACSrcIPDstIPPayloadVM-1VSI-GW10.1.1.120.1.1.1ICMP-QnVxLANIPGW解封装得到原始报文，发现目的MAC是自己，便进行查询处理SrcMACDstMACSrcIPDstIPPayloadVSI-GWVM-210.1.1.120.1.1.1ICMP-QnVxLANIPGW-VM-2（重新封装新报文，以VxLAN2000网关的身份发送给VM-2）u服务链报文封装SrcMACDstMACSrcIPDstIPPayloadVM-1VSI-GW10.1.1.110.1.1.2ICMP-QnVM-1-VTEP-ASrcMACDstMACSrcIPDstIPPayloadVTEP-AFW1.1.1.11.1.1.3原始报文VNID1000ServiceID1nVTEP-A-FW（流分类节点：数据流匹配服务链策略，执行服务链封装）SrcMACDstMACSrcIPDstIPPayloadFWIPGW1.1.1.31.1.1.4原始报文VNID1000ServiceID0nFW-VxlanIPGW（服务节点：安全业务处理，去除服务链封装转发）SrcMACDstMACSrcIPDstIPPayloadVM-1VSI-GW10.1.1.120.1.1.1ICMP-QnVxLANIPGW解封装得到原始报文，发现目的MAC是自己，便进行查询处理SrcMACDstMACSrcIPDstIPPayloadVSI-GWVM-210.1.1.120.1.1.1ICMP-QnVxLANIPGW-VM-2（重新封装新报文，以VxLAN2000网关的身份发送给VM-2）SrcMACDstMACSrcIPDstIPPayloadVSI-GWVM-210.1.1.120.1.1.2ICMP-QnVTEP-B-VM-2（VxLAN解封装、根据流表转发）SrcMACDstMACSrcIPDstIPPayloadIPGWVTEP-B1.1.1.41.1.1.2新报文VNID2000ServiceID0nVxLANIPGW-VTEP-B（VxLAN2000封装，通过隧道发送）转发层面过程（不同网段）正常报文封装Src MACDst M20Confidential保密云安全监管-数据库审计DBServerDBServer服务器分区二（物理DB）S6800硬件DBAABR390vSwitchVMVMVMABR390vSwitchVMVMVMDBServerVMVMVMvSwitch服务器分区一（虚拟DB）S6800硬件DBA针对数据库安装在物理服务器上的流量审计：n安全需求：云服务商、云租户对其自身数据库的请求、响应及操作流量的审计n实现方式：通过基于端口的流量镜像的方式将S6800交换机的下行端口的双向流量复制到另一接口（连接硬件数据库审计设备）n部署位置：旁挂于物理数据库接入交换机n运维主体：云服务商统一运维n运维方式：CloudOS工单申请，人工部署运维n产品选型：D2020/D2050针对数据库安装在虚拟服务器的流量审计：n安全需求：云服务商、云租户对其安装在虚拟服务器上的数据库的请求、响应及操作流量的审计n实现方式：通过基于QoS的流量镜像能力，将S6800下行端口的双向流量可按照指定ACL匹配流量，并复制到另一接口（连接硬件数据库审计）n部署位置：硬件数据库审计旁挂于接入交换机n运维主体：云服务商统一运维n运维方式：CloudOS工单申请，人工部署运维n产品选型：D2020/D2050基于端口的流量镜像基于QoS的流量镜像云安全监管-数据库审计DB ServerDB Server服21Confidential保密云安全监管-漏洞探测安全管理Server管理&控制分区Sys漏洞扫描基础网络分区DB漏洞扫描主机操作系统/WEB应用/数据库的漏洞探测：n安全需求：针对云服务商、云租户的主机、WEB、DB的漏洞探测与扫描n实现方式：通过3款漏洞扫描工具来进行漏洞探测，通过在管理FW上配置NAT+VRF方式将漏扫与租户网络进行连通n部署位置：管理&控制分区的安全运维服务器（或者单独部署于租户网络）n运维主体：由云服务商统一运维，以报表的形式提供给租户n运维方式：人工部署运维n产品选型：SysScan、WebScan、DBScanCore管理ToR管理NGFWvSwitch云租户A云租户B云服务商WEB漏洞扫描NAT+VRF云安全监管-漏洞探测安全管理 Server管理&控制分区Sy22Confidential保密云安全监管-WEB网站安全监测安全管理Server管理&控制分区云安全监测中心-管理引擎基础网络分区云安全监测中心-探测引擎Core管理ToR管理NGFWvSwitchNAT+VRFWEBServerVMVMVMS1020V租户A服务器业务ToRWEBServerVMVMVMS1020V租户B服务器业务ToR通过内网进行监测：n安全需求：云服务商、租户网站的安全监测（可用性、篡改、漏洞等）n实现方式：通过部署云安全监测中心来实现需求，通过对管理FW的NAT+VRF的策略配置，可将云安全监测中心连通至租户网络n部署位置：管理&控制分区n运维主体：由云服务商统一运维n运维方式：通过CloudOS工单的方式申请，人工部署运维n产品选型：云安全监测中心云安全监管-WEB网站安全监测安全管理 Server管理&控23Confidential保密云安全监测-云基础架构态势感知安全管理Server管理&控制分区SecCenterA2000基础网络分区Core管理ToR管理NGFWvSwitch云服务商网络、业务系统、安全日志等云基础架构的安全态势感知：n安全需求：实现云基础架构网络安全管理可视化，包括安全风险态势分析与监控、安全事件收集、日志审计、资产管理、安全风险联动等功能n实现方式：通过部署华三天机来实现安全态势感知n部署位置：管理&控制分区n运维主体：由云服务商运维n运维方式：手工部署n产品选型：SecCenterA2000注：针对租户的态势感知还在规划中云安全监测-云基础架构态势感知安全管理 Server管理&控24Confidential保密云安全监管-运维审计安全管理Server云管理Server管理&控制分区VCFCControllerCloudOS/3rd云平台NFVManagerCAS/CVM/VMware硬件堡垒机天机系统漏洞扫描网页防篡改（管理端）云监测中心DDoS（管理中心）管理ToR管理NGFWvSwitchvSwitch互联网接入分区广域网接入分区WANRouterRouterInternetCoreCore基础网络分区南北向安全能力中心SecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvWAFvWAFvOAvOASecurityServerS1020VvOAvOAvOAvOA业务ToR云服务商运维：n安全需求：云服务商对基础架构、云租户的运维审计n实现方式：将硬件堡垒机作为云服务商运维的统一入口n部署位置：管理&控制分区，保证与运维资产IP可达n运维主体：云服务商运维n运维方式：手工部署n产品选型：A2020、A2100云租户运维：n安全需求：云租户对自己的VPC网络的运维审计n实现方式：为每个云租户分配单独的虚拟堡垒机，云租户运维人员通过访问虚拟堡垒机来实现对自己资产的运维及审计（代理方式接入Overlay网络）n部署位置：南北向安全能力中心n运维主体：云租户单独运维n运维方式：手工部署n产品选型：v堡垒机云服务商运维人员云租户运维人员云租户运维人员云安全监管-运维审计安全管理 Server云管理 Serve25Confidential保密安全隔离与数据交换网闸内网区互联网区网闸CoreCore安全隔离与数据交换：n安全需求：互联网分区与内部核心网络分区的物理隔离与数据交换n实现方式：通过部署跨网数据交换平台，内/外置服务器主要用于文件过滤、网闸主要用于数据摆渡n部署位置：连接在两个物理隔离网络的核心交换机之间n运维主体：云服务商统一运维n运维方式：纯手工运维n产品选型：GAP2000-B、GAP2000-S、GAP2000-A（预计8月中过TR4A）网闸注：政务云数据中心的“跨网数据交换平台”包含单向光闸、双向数据网闸、双向视频网闸，内/外交换服务器。我们可作为其中的一部分参与项目安全隔离与数据交换网闸内网区互联网区网闸CoreCore安全26Confidential保密安全资源服务目录硬件堡垒机漏洞扫描NGFW（IPS/AV/VPN）硬件负载均衡异常流量检测和清洗网闸云安全监测中心天机系统vFW或硬件FWvLB或硬件LB数据库审计网页防篡改vWAFV堡垒机主机防病毒u南北向（出口）安全u东西向（服务器区）安全u运维管理区安全运维DDoS管理中心网页防篡改-管理端管理防火墙u跨网数据交换平台内置服务器外置服务器：表示由SDN自动化部署：表示工单申请，人工部署未标星：表示纯人工部署安全资源服务目录硬件堡垒机漏洞扫描NGFW（IPS/AV/V27Confidential保密总结：泛云安全解决方案特点华三华三云安全云安全1234普适性/开放性（OpenStack，ESXi/KVM，北向API）弹性可扩展安全资源池（硬件+NFV，HA部署)多安全服务交付（FW/LB/IPS/AV/WAF/堡垒机）自动化部署（网络安全一体化交付）总结：泛云安全解决方案特点华三1234普适性/开放性弹性可扩28Confidential保密案例分享：广东省政务云28二安全需求：广东省电子政务云实验平台是由面向互联网的公众云平台和面向电子政务外网的专有云平台，两者之间通过数据交换平台互联，安全设计需要确保云平台的网络安全、云操作系统安全、云服务器安全、业务安全，同时需要保证各租户租户间的业务安全。租户可以根据自身需求，灵知定义安全服务防护策略。三安全解决方案：H3C提供了网络、安全、云计算和大数据整体解决方案。云平台安全防护：H3CM9006、IPS、SSLVPN、运维审计产品保证云平台接入、审计和攻击防范的需要云租户安全防护：H3C的WEB防火墙、数据库审计和漏洞扫描系统有效的保护各租户的应用层安全，同时H3CvFW构建软件安全资源池，实现对租户与租户之间的虚拟机以及租户内部的虚拟机之间的智能化安全控制。现时为各租户提供云防火墙、云入侵检测、云负载均衡和云WAF等的安全服务。应用层智能交付：在电子政务外网和互联网区使用H3CL5000负载均产品，实现应用层的智能交付。四方案价值H3C安全解决方案遵循中央网信办和公安部相关的云安全标准，充分考虑了云平台和云租户的安全防护和应用系统的智能交付，为广东省先探索和积累电子政务云建设经验奠定了安全基础。一项目简介：广东省信息中心将网上办事大厅、信息资源共享平台迁移到政务云实验平台,推进以云计算平台为基础进行系统整合，对网上办事大厅有关数据进行示范分析运用。案例分享：广东省政务云28二 安全需求：广东省电子政务云实验29Confidential保密案例分享：大象融媒河南广电整合旗下4家传统媒体单位和8个媒体公司组建成立的新型集团公司，拥有报纸、杂志、广播、电视、网站、网络电视台、IPTV、手机报、手机电台、手机电视、电话广播、手机客户端、移动电视、户外大屏等14类主流媒体业态和38个媒体传播平台。案例分享：大象融媒河南广电整合旗下4家传统媒体单位和8个媒体30Confidential保密案例分享：大象融媒案例分享：大象融媒31Confidential保密