云平台安全解决方案

外网 接口
汇聚区 业务区
Internet
ISP1
ISP2
Internet用户
DDoS检测设备 DDoS管理中心
DDoS清洗设备
阻止
Firewall
SSL VPN IPS/IDS AVE WAF
云平台内部
Web、DNS、FTP、 Email、DB服务器
SSL VPN加密 流量
SSL VPN解 密后流量
IPS/IDS
AVE
WAF 服务 区内 部设 备
部署方案 1. 域间隔离：防火墙双机直路部署在边界，提供虚拟防火墙
功能，针对数据服务区上下及横向流量进行访问控制。 2. 深度检测：交换机旁挂IPS/IDS设备，对进出服务区的流
量进行深度检测和阻断，防止系统漏洞导致异常攻击。 3. 病毒查杀：交换机侧挂AVE防病毒网关，提供专业病毒查
层
LB
WAF
服务区 接入层
汇聚交换机
核心交换机
FW IPS/IDS AVE
LB
WAF
…
计算网络
存储网络
数据中心服务区是数据中心的核心区，网络内部署了大 量服务器和存储系统，数据中心的业务和数据基本都在 该网络内，针对数据中心服务区的网络特点，提供了组 合安全方案，业务流的安全处理顺序如下图所示：
Firewall 访问 服务 区流 量
终端信息防泄露
SIEM/SOC 设备管理
网络行为审计
VPN WAF、防病毒网关
UMA-DB数据库审计
网络安全 内部网络 边界网络
端点接入安全
FW
IPS/IDS/UTM
FW
IPS/IDS/UTM
身份认证管理 鉴别和认证
远程接入安全解决方案 访问与授权
内容安全
Anti-DDOS 响应和恢复
审计和跟踪
互联网接入区安全方案
DDoS攻击流量
清洗后正常流 量
非法访 问流量
部署方案
1. 保护服务器及带宽：外网接口部署Anti-DDoS设备， 防止DDoS攻击导致服务器瘫痪，同时保护出口带 宽。
2. 域间隔离：防火墙双机直路部署在边界，提供ACL 控制，NAT等功能，防止非法访问。
3. 终端用户接入：交换机旁挂SSL VPN设备， 提供 终端用户的接入认证和数据加密传输功能。
终端接入 网络
应用
管理
FW
FW
…
计算网络
存储网络
虚拟防火墙，业务隔离
Vfw Vfw Vfw
Vfw Vfw Vfw
FW
Vfw Vfw Vfw
每个虚拟防火墙均可以设置安全域，接口可以灵活划分和分配，不同租户数据 安全隔离，内部网络不同域隔离；
虚拟防火墙的每个用户管理员可独立配置防火墙，各租户虚拟资源个性化定制， 轻松支持2到7层海量终端接入和数据中心虚拟化安全运营。
云平台安全解决方案
云计算时代数据中心网络面临的安全挑战
DDoS攻击 边界网络攻击 不同安全区域间攻击 VM间攻击 数据传输安全
网络
应用
Web攻击\SQL注入 病毒传播 各种应用漏洞入侵 主机\Hypervisor系统漏洞威胁 数据内\外网传输安全
非法终端或非法用户访问 终端数据泄露 终端恶意攻击
远程 员工 现场 员工
访客
外部 非法 用户
A处理 P计划 PDCA
C策检略查 D执行
A：调整策略
一般信息资源
敏感信息资源
修复
核心信息资源
阻止 非法用户
隔离修复 不合规用户
授权用户 访问范围
监控行为 审计取证
•TSM(终端安全管理系统)，支持传统物理主机和云计算虚拟机混合部署场景。
方案价值
准入控制
杀，防止木马，蠕虫，恶意软件的攻击，并能有效防护零 日攻击。 4. Web业务安全：web服务器前部署WAF设备，针对 http/https进行检测，对web流量进行安全控制。
端点接入安全技术方案
终端接入 网络
应用
管理
移动办公 出差在途
远程维护
分支机构
合作伙伴
客户
SSL VPN加密隧 道
Internet
Internet
静态引流
检测+清洗设备
ATIC管理 中心
数据中心网络
数据中心网络
方式 说明
适用 场景
动态检测清洗方案（offline模式）
• 检测设备、清洗设备旁路部署； • 通过分光或端口镜像引流。
统一认 证服务
器
云平台内部网络
SSL VPN虚拟化，一机多用
应用系统1
企业A部 门的员工
SVN A
应用系统2
企业B部 门的员工
SVN B
部署方案
SVN网关一般旁挂在网络出入口防火墙之后，应用服务器之前，防火墙 开启SSL默认端口443 ；
SVN网关上配置一个私网IP，与内网服务器路由可达；对外公布一个公 网IP地址供用户访问，该地址可以配置在网关上，或由防火墙做NAT；
访客管理 设备管理 网络访问权限控制 身份认证 合规性检查 一键式自动修复 基于时间段的NAC(准入控制)
安全管理
安全加固 办公行为管理 自定义各种安全策略 信息泄密防护 网络防护 策略自适应
桌面管理
补丁管理 资产管理 软件分发 远程协助 消息工号
虚拟机隔离
4. 深度检测：交换机旁挂IPS/IDS设备，对异常流量 进行检测和阻断， 防止黑客攻击。
5. 应用安全：web服务器前部署WAF设备，针对 http/https进行检测，对web流量进行安全控制。 部署AVE设备对邮件、文件服务器流量进行过滤。
云平台内部安全方案
FW
云
平
IPS/IDS
台
核
AVE
心
多业务共用 业务a
网络出口
业务b
部
业务c
署
方
业务a
多业务多
案
出口，完
业务b
全隔离。
业务c
Vfw-1 Vfw-2 Vfw-3
public
Vfw-1 Vfw-2 Vfw-3
抗拒绝服务攻击
终端接入
网络
应用
管理
动态引流部署方案
Internet
分光或镜像
检测设备 清洗设备
ATIC管理 中心
独立清洗部署方案
终端 接入
安全挑战
管理
管理员特权滥用缺乏监管 整网安全状态缺乏可视化 海量日志不宜管理 众多安全系统管理不统一
云平台安全解决方案架构
安全服务
安wenku.baidu.com管理
应用安全 数据安全 业务安全
安全管理咨询服务
信息安全评估
信息安全业务评估 信息安全渗透测试 信息安全加固优化
身份认证管理
访问和授权策略管理 统一运维管理
远程用户通过web浏览器或者客户端软件访问，输入网关IP地址，报文 先到达防火墙，防火墙发现目的地址是SVN网关，则转发给SVN处理， 网关解密后再发送到目的服务器；
终端接入认证&身份管理安全方案
终端接入 网络
应用
管理
策略
身份认证
P：制定策略
合规性检查
修复
授权访问
监控
D：检查/修复
审计 C：检查效果