網禦星雲為山東省雲計算中心提供雲安全支撐

【51CTO.com綜合報導】一年多前還讓人霧裡看花的雲計算，如今已如潮水般湧入中國。 去年底，我國確定了5個城市先行開展雲計算服務創新發展試點工作，被視為從「雲端」降落人間的一個信號。 2011年，則是業界所期待的「落地」關鍵年，甚至在國家「十二五」經濟發展中，雲計算將成為全新的推動引擎。 在濟南，雲計算已從「雲端」悄然落地，生根發芽，目前雲平臺已經聚合了150余台伺服器以及近500T的存儲，可提供基礎設施服務、平臺服務、軟體服務，面向企業或個人的雲存儲服務以及面向軟體發展企業的線上開發、測試等服務。 同時，雲計算平臺面臨的來自互聯網的安全威脅，以及如何保障承租方重要的資料資產資源的安全問題也迫在眉睫。 下面就給大家詳細講述一下，山東省計算中心使用網禦星雲公司安全解決方案為「雲計算中心」保駕護航的典型應用情況。 一、背景與需求2010年8月6日，作為國內首家實現跨區域資源整合的省級雲計算中心，山東省雲計算中心在濟南揭開面紗，雲計算平臺也正式開通試運行。 如今，該中心已聚合了省內14家軟體園區、科研院所、大專院校等多方IT資源，並與一批企業建立合作關係，共同拓展雲計算產業鏈。 目前，山東雲計算中心可提供基礎設施服務、平臺服務、軟體服務，面向企業或個人的雲存儲服務以及面向軟體發展企業的線上開發、測試等服務，都是以公益性為主推出的。 楊美紅告訴記者，雲計算平臺給軟體企業帶來的好處顯而易見：企業不必再在重金購買各種設計、測試專業軟體和冒險使用盜版之間掙扎，不必費心費力維護、調試、建設，只需根據需求、支付低廉的租金，就可以獲取最先進的軟體發展環境的支援， 即時享有所需的資訊服務。 這樣一來，企業大大降低了開發成本，可以把有限的資金更多地投入到招攬激勵人才、關鍵創新研發、市場行銷推廣等關鍵業務領域。 不難看出，雲計算採用的技術和服務同樣可以被駭客利用發起針對下載、資料上傳統計、洪水攻擊、惡意程式碼監測等更為高級的惡意程式攻擊。 雲計算改變了服務方式，但並沒有顛覆傳統的安全模式，所不同的是，在雲計算時代，安全設備和安全措施的部署位置有所不同；安全責任的主體發生了變化。 原來，使用者自己要保證服務的安全性，現在由雲計算服務提供者來保證服務提供的安全性。 和雲計算安全問題同樣重要，雲計算的可靠性和可用性值得高度關注。 雲計算提供給傳統安全廠商以極大的優勢來提高服務品質和水準。 下面，重點講一下網禦星雲公司為山東省雲計算中心提供安全解決方案，保障雲計算平臺價值鏈提升的應用。 二、解決方案網禦星雲公司根據山東省雲計算中心的安全需求，結合山東省雲計算中心的平臺架構，分別在架構服務層(IaaS)、平臺服務層（PaaS）、應用服務層（SaaS）、以及平臺管理系統層提出了階層式安全解決方案。 本次，重點在架構服務層（IaaS）部署網禦星雲邊界安全設備對整個山東省雲計算中心系統進行防護。 特別強調的是，為了應對雲平臺在處理速度、性能方面對於大併發、高吞吐資料處理的需求，作為閘道型線上部署的產品，我們都提供基於多核架構的安全設備。 498)this.width=498;' onmousewheel = 'javascript:return big(this)' height="581" alt="" src="HTTP://images.51cto.com/ files/uploadimg/20111013/1657310.jpg" width="461" border="0" />山東省雲計算中心網路安全拓撲圖第一，在雲平臺網路最邊界部署網禦星雲異常流量管理系統Guard， 主要用來即時發現並阻止異常流量，為正常的互聯網訪問請求提供高可靠的環境。 第二，在網路邊界Guard之後部署網禦星雲多核防火牆Super V，主要用來實現基於IP位址、協定、埠的存取控制。 保障只要合法的應用才能通過防火牆。 同時，對於重要應用提供頻寬保障功能，防火牆採用雙機熱備方式，實現高可靠性支援。 第三，在防火牆之後，部署網禦星雲多核Power V-IPS，主要實現在防火牆的存取控制基礎之上，對於應用層存在的惡意攻擊、入侵和滲透，做深層檢測過濾。 將一切的惡意行為扼殺在互聯網邊界。 IPS採用單鏈路線上運行，保證鏈路的高可靠性。 第四，在核心交換器旁路部署SSL VPN 應用安全閘道SAG，主要提供遠端存取准入，實現使用者隔離、身份驗證和資料加密。 部署SSL VPN主要兩個作用：1、為雲平臺開發人員和管理人員提供遠端准接入，方便遠端開發和系統維護；2、為承租方管理人員提供遠端可信准入，方便遠端維護自己的系統。 第五，在核心交換器旁路部署網禦星雲資料庫審計系統，實現對雲平臺中的資料庫的訪問、維護和管理提供日誌記錄，便於事後審計。 第六，部署網禦星雲應用安全監控APM，由於應用系統的複雜性，一個網上應用往往涉及到多台伺服器的多個執行緒，因此出現問題的概率也越來越大，問題回饋的時間也越來越長，甚至發生故障後很長時間都無人知道。 APM可即時監視整個系統中的每一個執行緒，一旦出現問題可迅速報警，從而保證在第一時間發現故障或超出性能的臨界狀態。 第七，對整個安全設備進行統一集中管理和日誌歸檔、審計，部署網禦星雲安全管理平臺Leadsec Manager。 第八，為了避免雲計算中心虛擬主機在不同安全域之間的相互訪問，網禦星雲向使用者提供基於虛擬主機的防火牆、UTM產品，保障雲計算中心虛擬之間訪問的安全防護和過濾。 網禦星雲提供的電信級多核安全設備，以其出色的性能和完備的功能以及完整的解決方案從各競爭廠商中脫穎而出，為使用者節省投資，避免分散式部署，統一集中管理，保障使用者投資，系統更加穩定，使雲計算系統價值鏈得到提升。 安全產品部署說明：498)this.width=498;' onmousewheel = 'javascript:return big(this)' height="477" alt="" src="HTTP:// images.51cto.com/files/uploadimg/20111013/1657311.jpg" width="666" border="0" />三、實施效果目前山東省雲計算中心雲平臺運行正常， 特別在部署網禦星雲安全設備後，在安全性得到大幅提升的同時，具體體現在如下：1、限制來自互聯網對雲平臺中服務資源的IP位址、協定和埠號的存取控制，同時對雲平臺中的重要關鍵應用服務提供頻寬保障。 2、抵禦來自互聯網的DDOS攻擊，保證只有乾淨流量才能進入雲平臺系統。 3、可檢測掃描、緩衝區溢位、木馬、蠕蟲、間諜軟體、網路釣魚、IP poofing等攻擊，並即時主動阻斷，使雲平臺網路系統免受惡意滲透和攻擊。 4、提供遠端准接入服務，隔離使用者，為雲平臺系統維護人員和承租方系統維護人員提供可信接入。 5、實現對資料庫訪問和管理的審計，全方位的提升對資料庫安全的審計。 四、特色描述當前，雲計算正在如火如荼的進行，針對雲計算的安全問題，也是仁者見仁，智者見智。 但真正落地的針對雲計算的安全少之又少。 對於雲時代的安全解決方案供應商能夠拿下此專案，對我司在雲計算時代、雲安全時代安全專案的操作提供了參考價值和樣板案例。 多核高性能提供SAAS（Security as a Service）安全及服務網禦星雲產品高性能的吞吐處理能力是保障山東雲計算中心的基礎。 在此基礎上，網禦星雲的產品還具備高性能虛擬化，每台高性能硬體防火牆可以虛擬4096個虛擬防火牆，在使用者網路出口形成一個龐大的海量處理的防火牆雲，為租戶提供SAAS的防火牆服務。 除了防火牆以外，網禦星雲的Guard、IPS、UTM、AVG等全線網路產品都實現了虛擬化，可以隨時隨地為租戶提供各種SAAS安全及服務的防護。 全線產品支援IPv6，滿足使用者未來發展需要憑藉全線產品支援IPv6功能實現使用者網路未來升級的保障，網禦星雲憑藉多年對網路安全的深刻理解和技術沉澱，率先在業內將所有安全產品支援IPv6協定，可以實現對IPv6網路的狀態檢測 ，包過濾，病毒過濾，抗IPv6的synflood、udpflood等多種DDOS攻擊，還可以實現基於IPv6網路的入侵防護功能。 最後，網禦星雲以其產品的前瞻性和更貼近使用者需求的特色功能，得到雲計算使用者和雲計算行業的認可。 基於雲計算的虛擬防火牆和虛擬UTM產品網禦星雲率先在業內開發出來了基於雲計算的虛擬防火牆和虛擬UTM產品，用於雲計算內部虛擬伺服器之間的網路控制和安全過濾，網禦星雲將繼續引領技術新思想，開拓網路安全行業新領域。 【責任編輯：守望幸福 TEL：（010）68476606】 原文：網禦星雲為山東省雲計算中心提供雲安全支撐 返回網路安全首頁