深信服等级保护咨询服务技术白皮书

1背景随着互联网技术的不断发展，网站系统成为了政务公开的门户和企事业单位互联网业务的窗口，在“政务公开”、“互联网+”等变革发展中承担重要角色，具备较高的资产价值。

但是另一方面，由于黑客攻击行为变得自动化和高级化，也导致了网站系统极易成为黑客攻击目标，造成篡改网页、业务瘫痪、网页钓鱼等一系列问题。

其安全问题受到了国家的高度关注。

近年来国家相关部门针对网站尤其是政府网站组织了多次安全检查，并推出了一系列政策文件。

据权威调研机构数据显示，近年来，中国网站遭受篡改攻击呈增长态势。

其中2018 年，我国境内被篡改的网站数量达到13.7万次，15.6万个网站曾遭到CC攻击。

2018年共有6116个境外IP地址承载了93136个针对我国境内网站的仿冒页面。

中国反钓鱼网站联盟共处理钓鱼网站51198个，平均每月处理钓鱼网站4266个。

同时，随着贸易战形势的不断严峻，境外机构针对我国政府网站的攻击力度也不断的加强，尤其是在重要活动期间，政府网站的安全防护成为了重中之重。

为了帮助企业级客户及政府机构保障网站的安全，解决网站被攻陷、网页被篡改、加强重要活动期间的网站安全防护能力，深信服云盾提供持续性的安全防护保障，同时由云端专家进行7*24小时的值守服务，帮助客户识别安全风险，提供高级攻防对抗的能力，有效应对各种攻击行为。

2产品体系架构深信服利用云计算技术融合评估、防护、监测和响应四个模块，打造由安全专家驱动，围绕业务生命周期，深入黑客攻击过程的自适应安全防护平台，帮助用户代管业务安全问题，交付全程可视的安全服务。

客户端无需硬件部署或软件安装，只需将DNS映射至云盾的CNAME别名地址即可。

全程专家参与和值守，为用户提供托管式安全防护。

安全防护设施部署在深信服安全云平台上，安全策略的配置和调优由深信服安全专家进行，用户仅需要将用户访问的流量牵引至深信服安全云。

所有的部署和运维工作全部由深信服安全专家在云上完成，更简单，更安全，更省心。

深信服VDS桌面云一体机技术白皮书目录第1章背景介绍 (1)第2章传统桌面云的选购困扰 (1)2.1采购成本高 (1)2.1.1独立存储价格昂贵 (1)2.1.2组合方案，成本叠加 (2)2.2部署周期长 (2)2.3售后服务责任不明确 (2)第3章深信服桌面云一体机VDS (2)3.1桌面云一体机概述 (2)3.2桌面云一体机预装组件介绍 (3)第4章产品技术亮点解析 (4)4.1分布式架构 (4)4.2SSD缓存优化 (5)4.3多副本机制 (5)4.4横向堆叠 (6)4.5数据自动均衡 (6)第5章深信服桌面云一体机方案优势 (6)第6章桌面云一体机规格说明 (8)第1章背景介绍自2006年，Google首席执行官埃里克·施密特在搜索引擎大会首次提出“云计算”(Cloud Computing)的概念，至今已经将近10年的时间，而桌面虚拟化也一直是IT界的热点。

随着技术的积淀，云计算逐渐从概念转换为应用。

早在多年前，就有国际厂商推出桌面虚拟化方案，但没没有得到广泛部署使用，根据IDC的报告，桌面虚拟化在企业的渗透率目前还不到10%。

Gartner分析报告指出，成本问题是制约桌面虚拟化在市场上大规模推广的主要因素之一。

桌面虚拟化整体项目包含软件、硬件和服务。

其中硬件部分又包括服务器、存储、瘦终端等设备。

硬件成本，尤其是存储部分，占据整个桌面虚拟化项目60%以上的资金投入。

为降低桌面虚拟化整体方案的总体成本，深信服继2013年推出一站式桌面云方案后，于2015年推出桌面云一体机VDS，通过虚拟存储技术，将多台服务器上的所有硬盘组成一个大的存储池，提供低成本、高性能的存储方案，保障云桌面的高可用性和数据安全性。

第2章传统桌面云的选购困扰2.1采购成本高2.1.1独立存储价格昂贵传统桌面云方案一般需要配置独立存储，用于存放桌面虚拟化所需的所有数据，并且保证在服务器宕机后，迁移到其他服务器，用户依然可以正常访问数据，桌面业务不中断。

1.1.EMM客户端aWork的使用员工通过个人域中的EMM客户端aWork访问工作域，是一种轻量级的沙箱机制，不需要Android系统、iOS系统的高权限。

EMM客户端aWork的使用流程如下：1.2.EMM沙箱客户端技术概述非安全应用通过自动方式集成封装组件，成为安全应用。

安全区应用间共享同一个安全剪切板，共享同一个虚拟外置存储，安全应用间可以正在的互相访问；但是个人区的的非安全应用禁止访问安全区应用的数据。

封装安全组件包括以下几个功能模块，安全剪切板、安全分享模块、安全文件系统等，通过应用封装隔离组件后，封装的应用数据会与个人应用分离，安全应用间会共享安全数据，同时个人应用禁止访问安全应用。

1.3.沙箱文件系统文件系统隔离将个人区与安全区的应用数据进行隔离存储，对企业的数据进行安全加密重定向处理，达到安全区应用与非安全区应用无法互相访问的安全效果，具体包括对企业应用数据进路径重定向、存储路径加密、存储数据加密；通过封装隔离组件后，封装应用间会共享同一个虚拟的文件系统,与外部应用隔离同时安全应用间可以互相共享。

文件系统隔离主要包括两大功能：文件隔离和文件内容加密。

通过隔离功能将文件路径重定向到安全沙箱目录，方便对安全数据进行管理；通过加密功能对文件数据进行加密，保证数据是加密存储，即使文件泄露也不会导致数据泄露。

文件隔离的工作流程如下所示：1.拦截到OS系统的文件操作，判断访问的文件是否为重定向安全区数据；2.如果不是访问安全工作区数据，直接返回系统调用，否则修改访问路径重定向到安全数据区；3.对访问到的数据进行加解密操作，完成后调用原系统调用。

1.4.分享和打开隔离应用进行分享隔离主要包括如下场景：1.安全应用向个人应用主动分享;2.个人应用向安全应用进行分享;3.安全应用向安全应用进行分享。

分享和打开隔离主要限制安全应用主动分享给非安全应用、非安全应用主动拉起安全应用分享。

在某些客户场景下，处于便利性考虑，可以通过放开非安全应用到安全应用的文件分享，如在个人App中的有用的工作文件希望传递到工作域中的OA App中，提升工作效率。

深信服服务器虚拟化产品技术白皮书深信服科技声明市深信服电子科技所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等容，除另有特别注明外，其著作权或其它相关权利均属于市深信服电子科技。

未经市深信服电子科技书面同意，任何人不得以任何方式或形式对本文档的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

免责条款本文档仅用于为最终用户提供信息，其容如有更改，恕不另行通知。

市深信服电子科技在编写本文档的时候已尽最大努力保证其容准确可靠，但市深信服电子科技不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

信息反馈如果您有任何宝贵意见，请反馈：信箱：省市学苑大道1001号南山智园A1栋邮编：518055电话：09传真：09您也可以访问深信服科技：获得最新技术和产品信息缩写和约定英文缩写英文全称中文解释Hypervisor Hypervisor虚拟机管理器（和VMM同义）VMM VMM Virtual Machine Manager 虚拟机监视器HA HighAvailability 高可用性vMotion vMotion 实时迁移DRS Distributed Resource Scheduler 分布式资源调度程序FC Fibre Channel 光纤通道HBA Host Bus Adapter 主机总线适配器RAID Redundant Arrays of IndependentDisks磁盘阵列IOPS Input/Output Operations Per Second 每秒读写（I/O）操作的次数VM Virtual Machine 虚拟机LUN Logical Unit Number 逻辑单元号目录第1章服务器虚拟化介绍 (1)第2章深信服服务器虚拟化aSV解决方案 (2)2.1技术原理 (2)2.2解决方案 (4)2.3计算虚拟化 (5)2.4存储虚拟化 (6)2.5网络虚拟化 (8)2.6高可用 (8)2.7管理与运维 (9)2.8备份与恢复 (10)第3章深信服aSV特色技术............................................ 错误!未定义书签。

深信服应用交付产品技术白皮书深信服科技有限公司2013年版权声明深圳市深信服电子科技有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其着作权或其它相关权利均属于深圳市深信服电子科技有限公司。

未经深圳市深信服电子科技有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

免责条款本文档仅用于为最终用户提供信息，其内容如有更改，恕不另行通知。

深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠，但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

信息反馈如果您有任何宝贵意见，请反馈：信箱：广东省深圳市学苑大道1001号南山智园A1栋邮编：518055电话：9传真：9您也可以访问深信服科技网站：获得最新技术和产品信息缩写和约定英文缩写英文全称中文解释ACL Access Control List访问控制列表ADC Application Delivery Controller应用交付设备BRAS Broadband Remote Access Server宽带接入服务器DNAT Destination NAT目的地址NATDNS Domain Name Service域名服务DR Direct Route直达路由FTP File Transfer Protocol文件传输协议HA High Availability高可用性HTTP Hypertext Transfer Protocol超文本传输协议ICMP Internet Control Message Protocol因特网控制报文协议ISP Internet Service Provider Internet服务提供商MAC Media Access Control介质访问控制NAT Network Address Translation网络地址转换OSPF Open Shortest Path First开放最短路径优先RADIUS Remote Authentication Dial In UserService 远程用户拨号认证系统RIP Routing Information Protocol路由信息协议RTT Round Trip Time往返时间STP Spanning Tree Protocol生成树协议SNAT Source NAT源地址NAT SNMP Simple Network Management Protocol简单网络管理协议SOA Service Oriented Architecture面向服务架构SSL Secure Socket Layer安全套接层TCP Transmission Control Protocol传输控制协议UDP User Datagram Protocol用户数据报协议URI Uniform Resource Identifier统一资源标识符URL Uniform Resource Locator统一资源定位符VLAN Virtual Local Area Network虚拟局域网目录第1章应用交付，后负载均衡时代的选择 ......... 错误!未定义书签。

信息安全等级保护目标白皮书信息安全等级保护目标白皮书（覆盖等保二级和三级）目录1．第二级等保安全目标 (3)1.1. 技术目标 (3)1.2. 管理目标 (5)2．第三级等保安全目标 (7)2.1. 技术目标 (7)2.2. 管理目标 (10)3．等级保护二级、三级要求比较 (13)3.1. 技术要求比较 (13)3.2. 管理要求比较 (27)1．第二级等保安全目标第二级信息系统应实现以下目标。

1.1.技术目标O2-1. 应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力O2-2. 应具有防止雷击事件导致重要设备被破坏的能力O2-3. 应具有防水和防潮的能力O2-4. 应具有灭火的能力O2-5. 应具有检测火灾和报警的能力O2-6. 应具有温湿度自动检测和控制的能力O2-7. 应具有防止电压波动的能力O2-8. 应具有对抗短时间断电的能力O2-9. 应具有防止静电导致重要设备被破坏的能力O2-10. 具有基本的抗电磁干扰能力O2-11. 应具有对传输和存储数据进行完整性检测的能力O2-12. 应具有对硬件故障产品进行替换的能力O2-13. 应具有系统软件、应用软件容错的能力O2-14. 应具有软件故障分析的能力O2-15. 应具有合理使用和控制系统资源的能力O2-16. 应具有记录用户操作行为的能力O2-17. 应具有对用户的误操作行为进行检测和报警的能力O2-18. 应具有控制机房进出的能力O2-19. 应具有防止设备、介质等丢失的能力O2-20. 应具有控制机房内人员活动的能力O2-21. 应具有控制接触重要设备、介质的能力O2-22. 应具有对传输和存储中的信息进行保密性保护的能力O2-23. 应具有对通信线路进行物理保护的能力O2-24. 应具有限制网络、操作系统和应用系统资源使用的能力O2-25. 应具有能够检测对网络的各种攻击并记录其活动的能力O2-26. 应具有发现所有已知漏洞并及时修补的能力O2-27. 应具有对网络、系统和应用的访问进行控制的能力O2-28. 应具有对数据、文件或其他资源的访问进行控制的能力O2-29. 应具有对资源访问的行为进行记录的能力O2-30. 应具有对用户进行唯一标识的能力O2-31. 应具有对用户产生复杂鉴别信息并进行鉴别的能力O2-32. 应具有对恶意代码的检测、阻止和清除能力O2-33. 应具有防止恶意代码在网络中扩散的能力O2-34. 应具有对恶意代码库和搜索引擎及时更新的能力O2-35. 应具有保证鉴别数据传输和存储保密性的能力O2-36. 应具有对存储介质中的残余信息进行删除的能力O2-37. 应具有非活动状态一段时间后自动切断连接的能力O2-38. 应具有网络边界完整性检测能力O2-39. 应具有重要数据恢复的能力1.2.管理目标O2-40. 应确保建立了安全职能部门，配备了安全管理人员，支持信息安全管理工作O2-41. 应确保配备了足够数量的管理人员，对系统进行运行维护O2-42. 应确保对主要的管理活动进行了制度化管理O2-43. 应确保建立并不断完善、健全安全管理制度- 10 -O2-44. 应确保能协调信息安全工作在各功能部门的实施O2-45. 应确保能控制信息安全相关事件的授权与审批O2-46. 应确保建立恰当可靠的联络渠道，以便安全事件发生时能得到支持O2-47. 应确保对人员的行为进行控制O2-48. 应确保对人员的管理活动进行了指导O2-49. 应确保安全策略的正确性和安全措施的合理性O2-50. 应确保对信息系统进行合理定级O2-51. 应确保安全产品的可信度和产品质量O2-52. 应确保自行开发过程和工程实施过程中的安全O2-53. 应确保能顺利地接管和维护信息系统O2-54. 应确保安全工程的实施质量和安全功能的准确实现O2-55. 应确保机房具有良好的运行环境O2-56. 应确保对信息资产进行标识管理O2-57. 应确保对各种软硬件设备的选型、采购、发放、使用和保管等过程进行控制O2-58. 应确保各种网络设备、服务器正确使用和维护O2-59. 应确保对网络、操作系统、数据库管理系统和应用系统进行安全管理O2-60. 应确保用户具有鉴别信息使用的安全意识O2-61. 应确保定期地对通信线路进行检查和维护O2-62. 应确保硬件设备、存储介质存放环境安全，并对其的使用进行控制和保护O2-63. 应确保对支撑设施、硬件设备、存储介质进行日常维护和管理O2-64. 应确保系统中使用的硬件、软件产品的质量O2-65. 应确保各类人员具有与其岗位相适应的技术能力O2-66. 应确保对各类人员进行相关的技术培训O2-67. 应确保提供的足够的使用手册、维护指南等资料O2-68. 应确保内部人员具有安全方面的常识和意识O2-69. 应确保具有设计合理、安全网络结构的能力O2-70. 应确保密码算法和密钥的使用符合国家有关法律、法规的规定O2-71. 应确保任何变更控制和设备重用要申报和审批，并对其实行制度化的管理O2-72. 应确保在事件发生后能采取积极、有效的应急策略和措施O2-73. 应确保信息安全事件实行分等级响应、处置2．第三级等保安全目标第三级信息系统应实现以下目标。

SSL VPN V4.1 技术白皮书目录第1章序言 (1)第2章SANGFOR SSL VPN网关简介 (3)第3章SANGFOR SSL VPN网关技术 (5)3.1更快的SSL VPN (5)3.1.1多线路智能选路解决您的网络延迟问题 (5)3.1.2多线路带宽叠加技术，扩大出口带宽 (6)3.1.3HTP技术，提高无线和恶劣环境下的访问速度 (7)3.1.4动态压缩技术，全面提高传输速度 (8)3.1.5基于Web的压缩技术，进一步提高传输效率 (8)3.1.6强大的硬件加速卡，更快的SSL处理速度 (8)3.2更安全的SSL VPN (8)3.2.1集成多种认证方式 (8)3.2.2混合认证 (8)3.2.3动态身份认证提供多重保证 (9)3.2.4内置的CA中心提供完整认证体系 (11)3.2.5与LDAP（AD）结合 (11)3.2.6与Radius结合 (12)3.2.7与第三CA结合 (12)3.2.8开放数据接口提供二次开发 (12)3.2.9与其他第三方认证系统结合，保护前期投资 (13)3.2.10图形码验证功能 (13)3.2.11软键盘功能 (13)3.2.12会话超时控制功能 (13)3.2.13全面的密码安全保障 (14)3.2.14客户端安全检查从端点开始保障您的网络安全 (14)3.2.15强化的网络防护－VPN虚拟专线功能 (14)3.2.16零痕迹访问功能避免安全漏洞 (15)3.2.17真正的SSL 协议加密传输 (15)3.2.18访问权限控制功能提供最细致的权限管理 (16)3.2.19完善的日志系统 (16)3.2.20丰富的日志信息 (17)3.2.21强大的实时监控能力 (17)3.2.22集成企业级状态防火墙 (17)3.3更好用的SSL VPN (18)3.3.1能支持您的所有网络应用 (18)3.3.2B/S正则替换，全面适应各种平台 (19)3.3.3提供IPSec/SSL一体化选择 (19)3.3.4配置向导简化管理员的操作过程 (20)3.3.5隐藏服务模式 (20)3.3.6支持动态IP (20)3.3.7管理员分级分权限管理 (21)3.3.8定制登录界面功能 (21)3.3.9单点登录功能（SSO） (21)3.3.10移动终端设备的完美支持 (22)3.3.11内网DNS支持 (22)3.3.12多虚拟IP池支持 (22)3.3.13User权限下正常访问 (22)3.3.14默认服务页面 (23)3.3.15系统托盘 (23)3.3.16全网资源 (23)3.4更稳定的SSL VPN (23)3.4.1支持动态IP (23)3.4.2多线路技术实现线路备份，保证VPN线路稳定 (24)3.4.3双机热备，保证VPN网络稳定性 (24)3.4.4自动恢复，提高网络适应能力 (25)3.4.5集群功能，满足大并发接入 (25)第4章SANGFOR SSL VPN网关网络和系统结构 (25)4.1路由模式部署 (25)4.2单臂模式部署 (26)4.3双机热备原理 (26)4.4客户端登录和使用界面 (27)4.4.1缺省登录界面 (27)4.4.2可用资源界面 (27)第5章SANGFOR SSL VPN网关技术优势 (28)5.1更方便易用的SSL VPN (28)5.1.1单点登录 (28)5.1.2默认服务页面 (28)5.1.3分级分权限管理 (28)5.1.4集群 (28)5.1.5完全页面定制 (28)5.2更安全的SSL VPN (29)5.2.1混合认证 (29)5.3更快的SSL VPN (29)5.3.1多线路技术 (29)5.3.2HTP技术 (29)5.3.3压缩技术 (30)5.3.4更多广域网加速技术 (30)5.4更好管理和易用的SSL VPN (30)5.4.1动态IP快速建立隧道 (30)第6章深信服公司简介 (1)第7章附录 (2)7.1VPN技术背景知识 (2)7.1.1VPN简介 (2)7.1.2SSL 协议介绍 (5)7.1.3SSL VPN技术 (6)第1章序言随着移动数据技术的进步和商务模式的发展，选择远程办公的人越来越多。

1 前言1.1 等级保护的现状与挑战信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。

开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障，是信息安全保障工作中国家意志的体现。

同时等级保护建设是一项体系化的工程，在进行等级保护建设时往往面临建设时间成本和管理成本高、实施复杂、运维管理难等难题。

1.2 深信服等保一体机概述深信服等保一体机解决方案是基于用户在等保建设中的实际需求，推出软件定义、轻量级、快速交付的实用有效的一站式解决方案，不仅能够帮助用户快速有效地完成等级保护建设、通过等保测评，同时通过丰富的安全能力，可帮助用户为各项业务按需提供个性化的安全增值服务。

采用基于标准X86平台打造的等保一体机，无需交付过多专有硬件设备，即可完成等级保护合规交付。

2 深信服等保一体机技术架构2.1 系统整体架构深信服等保一体机架构由两部分组成：一是超融合基础架构，二是一体机管理平台。

在等保一体机架构上，客户可以基于自身安全需求按需构建等级保护安全建设体系。

超融合基础架构以虚拟化技术为核心，利用计算虚拟化、存储虚拟化、网络虚拟化等模块，将计算、存储、网络等虚拟资源融合到一台标准X86服务器中，形成基础架构单元。

并且多套单元设备可以通过网络聚合起来，实现模块化的无缝横向扩展，形成统一的等保一体机资源池。

一体机管理平台提供对深信服安全组件、第三方安全组件的管理和资源调配能力；通过接口自动化部署组件，降低组网难度，减少上架工作量；借助虚拟化技术的优势，提升用户弹性扩充和按需购买安全的能力，从而提高组织的安全服务运维效率。

2.2 超融合基础架构超融合基础架构主要由计算虚拟化、存储虚拟化、网络虚拟化三部分组成，从而使得等保一体机能够提供给客户按需购买和弹性扩充对应的安全组件。

2.2.1 计算虚拟化传统硬件安全解决方案提供的硬件计算资源一般存在资源不足或者资源冗余的情况。

深信服等保一体机创新性的使用计算资源虚拟化技术，通过通用的x86服务器经过服务器虚拟化模块，呈现标准的安全设备虚拟机。

网络安全等级保护：深信服安全感知平台白皮书_V3.0深信服安全感知平台白皮书文档密级：公开深信服科技安全感知平台（Security Intelligence Platform）产品白皮书网络安全等级保护目录1. 引言 (4)1.1背景 (4)1.2新的威胁 (5)1.3应对措施 (5)2. 设计理念 (5)2.1产品理念 (5)2.2产品定位 (6)2.3方案设计 (7)2.4整体价值 (7)3. 产品架构 (9)3.1分层设计 (9)3.2大数据架构 (11)3.3产品组件 (13)4. 关键技术应用 (15)4.1 UEBA行为画像 (15)4.2追踪溯源可视化 (16)4.2.1流量可视 (16)4.2.2威胁追捕 (17)4.2.3统一检索 (17)4.3机器学习技术使用 (17)4.3.1精准的已知威胁检测 (18)4.3.2发现内鬼和未知威胁 (18)4.4威胁深度分析 (19)4.4.1攻击事件深度挖掘 (19)4.4.2成功的攻击事件检测 (20)4.5威胁情报结合 (20)4.5.1热点事件 (21)4.5.2情报来源 (21)5. 功能价值呈现 (22)5.1有效数据提取 (22)5.2全面的实时监测体系 (24)5.3.1脆弱性感知 (24)5.3.2外部威胁感知 (25)5.3.3内部异常感知 (26)5.3多维度的安全可视预警 (28)5.3.1宏观决策视角 (28)5.3.2微观运维视角 (31)5.4易运营的运维处置 (32)5.4.1应急处置 (32)5.4.2影响面分析 (34)5.4.3主动溯源 (35)5.4.4会话分析 (36)5.5可感知的威胁告警 (37)5.6实用工具箱 (38)5.6.1等保管理 (38)5.6.2情报与数据共享 (39)5.6.3绿色查杀工具 (40)6. 产品部署 (40)6.1流量监测（高级威胁监测） (41)6.2安全运营中心 (42)6.3作为第三方SOC/SIEM的流量检测组件 (43)1.引言1.1背景互联网技术的飞速发展使得互联网承载的价值越来越多、网络的规模和复杂度越来越大，因此，黑客有了越来越多的动机和手段来窃取企业的机密信息和资源，甚至是对企业资产造成破坏。

软件定义边界SDP实现等保2.0合规技术指南白皮书2020年4月编者信息由云安全联盟大中华区（CSA GCR）组织SDP工作组专家对《SDP实现等保2.0合规技术指南》进行编写。

参与本文档编写的专家（排名不分先后）：●总编辑：陈本峰（云深互联）●安全通用要求章节：组长：卢艺（深信服）组员：刘鹏（深信服）、鹿淑煜（三未信安）、潘盛合（顺丰）、刘洪森●云计算安全扩展要求章节：组长：薛永刚（华为）组员：秦益飞（易安联）、于继万（华为）、魏琳琳（国云科技）、杨洋●移动互联安全扩展要求章节：组长：何国锋组员：张全伟（吉大正元）、张泽洲（奇安信）、孙刚、赵锐●物联网安全扩展要求章节：组长：余晓光（华为）组员：张大海（三未信安）、高轶峰、马红杰、王安宇（OPPO）、杨喜龙●工控系统安全扩展要求章节：组长：汪云林（天融信）组员：靳明星（易安联）、袁初成（缔安科技）、姚凯、于新宇（安几网安）●CSA GCR研究助理：朱晓璐、高健凯、廖飞感谢以下单位对本文档的支持和贡献（按拼音排序）：北京三未信安科技发展有限公司、北京天融信网络安全技术有限公司、长春吉大正元信息技术股份有限公司、国云科技股份有限公司、华为技术有限公司、江苏易安联网络技术有限公司、OPPO广东移动通信有限公司、奇安信科技集团股份有限公司、上海安几科技有限公司、上海缔安科技股份有限公司、深信服科技股份有限公司、深圳顺丰泰森控股（集团）有限公司、深圳竹云科技有限公司、云深互联（北京）科技有限公司序言网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法，由公安部牵头的网络安全等级保护制度2.0标准于2019年12月1日实施，等保2.0将等保1.0的被动式传统防御思路转变为主动式防御，覆盖工业控制系统、云计算、大数据、物联网等新技术新应用，为落实信息系统安全工作提供了方向和依据。

云安全联盟提出的SDP软件定义边界是实施零信任安全架构的解决方案，SDP将基于传统静态边界的被动防御转化为基于动态边界的主动防御，与等保2.0的防御思路非常吻合，成为满足等保2.0合规要求的优选解决方案。

深信服 aBos 一体机技术白皮书缩写和约定英文缩写英文全称中文解释Hypervisor Hypervisor虚拟机管理器（和 VMM 同义）VMM VMM Virtual Machine Manager虚拟机监视器HA HighAvailability高可用性vMotion vMotion实时迁移DRS Distributed Resource Scheduler分布式资源调度RAID Redundant Arrays ofIndependent Disks磁盘阵列IOPS Input/Output Operations PerSecond每秒读写（I/O）操作的次数VM Virtual Machine虚拟机SDN Software Defined Network软件定义网络NFV Network FunctionVirtualization网络功能虚拟化目录1 前言 (2)1.1 边缘IT 时代变革 (2)1.2 白皮书总览 (2)2 深信服aBos 一体机架构技术 (4)2.1 aBos 超融合架构概述 (4)2.1.1 aBos 超融合架构的定义 (4)2.2 深信服aBos 超融合架构组成模块 (4)2.2.1 系统总体架构 (4)2.3 aSV 计算虚拟化 (4)2.3.1 计算虚拟化概述 (4)2.3.2 aSV 技术原理 (5)2.3.3 深信服aSV 的技术特性 (14)2.3.4 aSV 的特色技术 (17)2.4 aNet 网络设备虚拟化 (18)2.4.1 网络设备虚拟化概述 (18)2.4.2 aNET 网络虚拟化技术原理 (19)2.4.3 aNet 功能特性 (22)2.4.4 深信服aNet 的特色技术 (28)2.5 aSAN 存储虚拟化 (29)2.5.1 存储虚拟化概述 (29)2.5.2 aSAN 技术原理 (29)2.5.3 aSAN 存储数据可靠性保障 (38)2.5.4 深信服aSAN 功能特性 (38)3 深信服aBos 一体机核心价值 (40)3.1 高稳定性 (40)3.2 简化分支机构IT (40)3.3 简化运维、集中管理 (40)3.4 灵活部署、扩展性好 (40)4 超融合架构最佳实践 (41)1 前言1.1 边缘 IT 时代变革随着在物联网的构建过程中传感器的大量使用，企业客户及员工使用的移动设备和云服务的大量增加,企业边缘的概念也正在被重新定义。

深信服下一代防火墙NGAF技术白皮书深信服科技有限公司二零一三年四月目录一、概述 (4)二、为什么需要下一代防火墙 (4)2.1 网络发展的趋势使防火墙以及传统方案失效 (4)2.2 现有方案缺陷分析 (5)2.2.1 单一的应用层设备是否能满足？ (5)2.2.2 “串糖葫芦式的组合方案” (5)2.2.3 UTM统一威胁管理 (6)三、下一代防火墙标准 (6)3.1 Gartner定义下一代防火墙 (6)3.2 适合国内用户的下一代防火墙标准 (7)四、深信服下一代应用防火墙—NGAF (8)4.1 产品设计理念 (8)4.2 产品功能特色 (9)4.2.1 更精细的应用层安全控制 (9)4.2.2 全面的应用安全防护能力 (12)4.2.3 独特的双向内容检测技术 (17)4.2.4 涵盖传统安全功能 (19)4.2.5 智能的网络安全防御体系 (19)4.2.6 更高效的应用层处理能力 (20)4.3 产品优势技术 (21)4.3.1 深度内容解析 (21)4.3.2 双向内容检测 (21)4.3.3 分离平面设计 (21)4.3.4 单次解析架构 (22)4.3.5 多核并行处理 (23)4.3.6 智能联动技术 (24)五、解决方案与部属 (24)5.1 互联网出口-内网终端上网 (24)5.2 互联网出口-服务器对外发布 (25)5.3 广域网边界安全隔离 (25)5.4 数据中心 (26)六、关于深信服 (26)一、概述防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。

作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的安全。

防火墙就像机场的安检部门，对进出机场/防火墙的一切包裹/数据包进行检查，保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。

1.1.EMM客户端aWork的使用员工通过个人域中的EMM客户端aWork访问工作域，是一种轻量级的沙箱机制，不需要Android系统、iOS系统的高权限。

EMM客户端aWork的使用流程如下：1.2.EMM沙箱客户端技术概述非安全应用通过自动方式集成封装组件，成为安全应用。

安全区应用间共享同一个安全剪切板，共享同一个虚拟外置存储，安全应用间可以正在的互相访问；但是个人区的的非安全应用禁止访问安全区应用的数据。

封装安全组件包括以下几个功能模块，安全剪切板、安全分享模块、安全文件系统等，通过应用封装隔离组件后，封装的应用数据会与个人应用分离，安全应用间会共享安全数据，同时个人应用禁止访问安全应用。

1.3.沙箱文件系统文件系统隔离将个人区与安全区的应用数据进行隔离存储，对企业的数据进行安全加密重定向处理，达到安全区应用与非安全区应用无法互相访问的安全效果，具体包括对企业应用数据进路径重定向、存储路径加密、存储数据加密；通过封装隔离组件后，封装应用间会共享同一个虚拟的文件系统,与外部应用隔离同时安全应用间可以互相共享。

文件系统隔离主要包括两大功能：文件隔离和文件内容加密。

通过隔离功能将文件路径重定向到安全沙箱目录，方便对安全数据进行管理；通过加密功能对文件数据进行加密，保证数据是加密存储，即使文件泄露也不会导致数据泄露。

文件隔离的工作流程如下所示：1.拦截到OS系统的文件操作，判断访问的文件是否为重定向安全区数据；2.如果不是访问安全工作区数据，直接返回系统调用，否则修改访问路径重定向到安全数据区；3.对访问到的数据进行加解密操作，完成后调用原系统调用。

1.4.分享和打开隔离应用进行分享隔离主要包括如下场景：1.安全应用向个人应用主动分享;2.个人应用向安全应用进行分享;3.安全应用向安全应用进行分享。

分享和打开隔离主要限制安全应用主动分享给非安全应用、非安全应用主动拉起安全应用分享。

在某些客户场景下，处于便利性考虑，可以通过放开非安全应用到安全应用的文件分享，如在个人App中的有用的工作文件希望传递到工作域中的OA App中，提升工作效率。