泛云安全解决方案

1Confidential保密整体组网（黄色为安全业务设备、绿色为VxlanGateWay节点、灰色为普通节点）WEBR390vSwitchVMVMVMWEBR390vSwitchVMVMVMWEBServerVMVMVMS1020V存储分区服务器分区一（含虚拟化DB）存储阵列业务ToRDBServerDBServer服务器分区二（物理DB）S6800DBA存储阵列APPR390vSwitchVMVMVMAPPR390vSwitchVMVMVMAPPServerVMVMVMS1020VABR390vSwitchVMVMVMABR390vSwitchVMVMVMDBServerVMVMVMS1020V存储阵列存储ToR管理&控制分区VCFCControllerCloudOS/3rd云平台NFVManagerCAS/CVM/VMware硬件堡垒机天机系统漏洞扫描网页防篡改（管理端）云监测中心广域网接入分区WANRouterCoreCoreDDoS检测基础网络分区Router出口NGFW（云基础架构安全防护、租户安全防护）东西向安全能力中心（服务链）南北向安全能力中心（出口防护）SecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvWAFvWAFvOAvOASecurityServerS1020VvWAFvWAFvOAvOA硬件LB业务ToR业务ToRSecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvFWvFWvLBvLB或硬件NGFW或硬件LBDDoS（管理中心）DDoS清洗Internet管理ToR管理NGFWvSwitchvSwitch网页防篡改监控端3Confidential保密（CAS/KVM/VMWare）VTEPPhysicalSecurityNode(ServiceChain)VxlanIPGateWaySDNController（CloudOS/3rdOpenStack云平台）紧偶：推荐同一厂商解耦：可以厂商异构NFVSecurityNode(ServiceChain)Normal/3rdSecurityNode（ProxyAccess）4Confidential保密云服务商流量模型及安全控制点存储分区服务器分区一（含虚拟化DB）存储阵列业务ToRDBServerDBServer服务器分区二（物理DB）S6800DBA存储阵列APPR390vSwitchVMVMVMAPPR390vSwitchVMVMVMAPPServerVMVMVMS1020VABR390vSwitchVMVMVMABR390vSwitchVMVMVMDBServerVMVMVMS1020V存储阵列存储ToR管理&控制分区VCFCControllerCloudOS/3rd云平台NFVManagerCAS/CVM/VMware广域网接入分区WANRouterCoreCore基础网络分区Router东西向安全能力中心（服务链）南北向安全能力中心SecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvWAFvWAFvOAvOASecurityServerS1020VvWAFvWAFvOAvOA硬件LB业务ToR业务ToRSecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvFWvFWvLBvLB或硬件NGFW或硬件LBInternet管理ToRvSwitchvSwitchDDoS检测出口NGFW（云基础架构安全防护）DDoS清洗硬件堡垒机天机系统漏洞扫描网页防篡改（管理端）云监测中心DDoS（管理中心）管理NGFW①云服务商运维流量②云服务商广域网出口流量③云服务商互联网出口流量6Confidential保密存储分区服务器分区一（含虚拟化DB）存储阵列业务ToRDBServerDBServer服务器分区二（物理DB）S6800存储阵列APPR390vSwitchVMVMVMAPPR390vSwitchVMVMVMAPPServerVMVMVMS1020VABR390vSwitchVMVMVMABR390vSwitchVMVMVMDBServerVMVMVMS1020V存储阵列存储ToR管理&控制分区VCFCControllerCloudOS/3rd云平台NFVManagerCAS/CVM/VMware硬件堡垒机天机系统广域网接入分区WANRouterCoreCore基础网络分区Router东西向安全能力中心（服务链）南北向安全能力中心业务ToR业务ToRInternet管理ToR管理NGFWvSwitchvSwitchDBA或硬件NGFW或硬件LBSecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvFWvFWvLBvLBSecurityServervSwitchvWAFvWAFvOAvOASecurityServervSwitchvWAFvWAFvOAvOASecurityServerS1020VvWAFvWAFvOAvOA出口NGFW（云租户安全防护）DDoS检测DDoS清洗漏洞扫描云监测中心网页防篡改（管理端）DDoS（管理中心）硬件LB④云主机/租户东西向流量（APP访问DB）②云租户业务流量（广域网出口+互联网出口）、运维流量①云租户监管流量③云主机/租户东西向流量（WEB访问APP）网页防篡改监控端7Confidential保密（MPLSVPN）Internet出口VPN-NGFWSOP虚拟化为云主机/租户分配的虚拟防火墙为云基础架构分配的虚拟防火墙广域网专线接入：安全需求：针对云租户广域网接入分区连接外部单位（比如电子政务网接入）实现方式：通过出口路由器的MCE功能将不同租户的广域网流量分开，下行连接各自的虚拟防火墙实现租户接入部署位置：广域网接入分区运维主体：出口路由器由云服务商统一运维，虚拟防火墙由租户单独运维运维方式：出口路由器为纯手工运维，虚拟防火墙可由SDN控制器管理产品选型：出口路由器（具备MPLSVPNMCE功能）、M9000/F5000NGFWSOP虚拟化互联网VPN接入：安全需求：针对云服务商、云租户用于互联网接入分区的VPN业务接入(IPSecVPN、SSLVPN)实现方式：为租户和云服务商分配各自的虚拟防火墙，通过二合一VPN实现接入，做到安全隔离部署位置：互联网接入分区运维主体：云服务商和租户单独运维运维方式：云服务的虚拟防火墙手工运维，云租户的IPSecVPN策略由SDN统一管理，云租户的SSLVPN策略手工部署产品选型：M9000/F5000SSLVPN流量IPsecVPN流量MCERouterRouterVPN1VPN3VPN2PERouter子接口8Confidential保密南北向安全防护-出口多业务防护统一出口安全防护：安全需求：针对为云服务商、云租户提供访问控制、NAT、VPN、防攻击、防病毒等出口安全需求实现方式：为云服务商和租户分配单独的虚拟防火墙，加载不同的多业务License实现安全防护部署位置：旁挂/串接于互联网出口区和广域网出口区，部署一套或两套运维主体：云服务商、云租户单独运维运维方式：云服务商虚拟防火墙手工部署，云租户的虚拟防火墙由SDN控制器统一管理+策略路由引流产品选型：M9000/F5000互联网接入分区广域网接入分区WAN（MPLSVPN）RouterInternetRouter出口NGFW（LLB、IPS、AV、VPN、NAT）-SOP虚拟化为云主机/租户分配的虚拟防火墙为云基础架构分配的虚拟防火墙9Confidential保密⑤南北向安全防护-互联网DDoS攻击防护DDoS检测设备DDoS清洗设备RouterInternetDDoS管理中心（管理&控制分区）①②③④云租户A云租户B云服务商一旦发现DDoS攻击立即通知管理中心管理中心按照策略通知清洗设备启动防护清洗设备对攻击流量进行牵引，并进行清洗最后将干净流量回注用户网络流量镜像/分光/Netflow，检测设备探测是否存在DDoS攻击流量①②③④⑤安全需求：针对云服务商、云租户在互联网出口的DDoS攻击防护，避免带宽占用或业务瘫痪实现方式：部署异常流量防护设备（检测+清洗+管理）实现DDoS攻击流量的检测、清洗和回注。通过不同的公网IP来为云服务商和云租户的业务进行防护部署位置：检测设备和清洗设备旁挂于互联网出口路由器或交换机，管理设备部署于管理&控制区运维主体：由云服务商统一运维运维方式：纯手工策略部署产品选型：合作中，预计下半年推出防护步骤：注：黄色为DDoS攻击流量、红色为正常流量互联网接入分区10Confidential保密基础网络分区南北向安全能力中心（出口防护）服务器分区一业务ToR业务ToRWAN/Internet广域网/互联网接入分区硬件LBWEBServer负载均衡：安全需求：针对云租户的多台WEBServer同时提供服务，需要前端负载均衡设备进行服务器流量负载分担，实现服务器高可靠性实现方式：部署硬件LB设备，利用虚拟化技术为每个租户分配单独的LB设备部署位置：旁挂于核心交换机，部署在overlay网络外运维主体：云租户单独运维运维方式：SDN控制器统一管理+策略路由引流（旁路）产品选型：L5000/L100011Confidential保密基础网络分区南北向安全能力中心（出口防护）SecurityServerS1020VvWAFvWAFvWAFvWAF服务器分区一业务ToR业务ToR安全管理Server网页防篡改（管理端）vSwitch管理&控制分区管理ToR管理FWInternet互联网接入分区WEB防攻击：安全需求：针对云租户HTTP业务的SQL注入、跨站攻击的防护实现方式：通过S1020V或S6800以代理的方式将vWAF接入Overlay网络中，vWAF本身以反向代理的方式接入到网络中，并实现WEB防攻击部署位置：南北向安全能力中心分区运维主体：由租户单独运维运维方式：通过CloudOS工单的方式申请，人工部署运维产品选型：vWAF（可方案引导、供货时间10月份）网页防篡改监控端WEB防篡改：安全需求：防止云租户WEB网站的静态文件目录被恶意篡改实现方