云計(jì)算安全技術(shù)方案

1、 云數(shù)據(jù)中心安全（云計(jì)算安全詳細(xì)技術(shù)方案）目 錄 TOC o 1-4 h z u HYPERLINK l _Toc526956204 1云計(jì)算帶來的安全挑戰(zhàn) PAGEREF _Toc526956204 h 4 HYPERLINK l _Toc526956205 2技術(shù)架構(gòu)設(shè)計(jì) PAGEREF _Toc526956205 h 6 HYPERLINK l _Toc526956206 2.1基礎(chǔ)安全設(shè)計(jì) PAGEREF _Toc526956206 h 6 HYPERLINK l _Toc526956207 2.1.1下一代防火墻 PAGEREF _Toc526956207 h 6 HYPERLINK

2、 l _Toc526956208 2.1.2入侵防護(hù)/檢測(cè) PAGEREF _Toc526956208 h 6 HYPERLINK l _Toc526956209 2.1.3流控/網(wǎng)絡(luò)審計(jì) PAGEREF _Toc526956209 h 7 HYPERLINK l _Toc526956210 2.1.4防病毒 PAGEREF _Toc526956210 h 7 HYPERLINK l _Toc526956211 2.1.5安全應(yīng)用交付 PAGEREF _Toc526956211 h 8 HYPERLINK l _Toc526956212 2.1.6WAF PAGEREF _Toc5269562

3、12 h 8 HYPERLINK l _Toc526956213 2.1.7安全管理中心 PAGEREF _Toc526956213 h 8 HYPERLINK l _Toc526956214 2.2云環(huán)境安全設(shè)計(jì) PAGEREF _Toc526956214 h 9 HYPERLINK l _Toc526956215 2.2.1強(qiáng)身份認(rèn)證 PAGEREF _Toc526956215 h 9 HYPERLINK l _Toc526956216 2.2.2虛擬防火墻 PAGEREF _Toc526956216 h 9 HYPERLINK l _Toc526956217 2.2.3虛擬應(yīng)用交付 PA

4、GEREF _Toc526956217 h 9 HYPERLINK l _Toc526956218 2.2.4安全接口 PAGEREF _Toc526956218 h 9 HYPERLINK l _Toc526956219 2.2.5云安全運(yùn)維中心 PAGEREF _Toc526956219 h 10 HYPERLINK l _Toc526956220 3整體方案 PAGEREF _Toc526956220 h 11 HYPERLINK l _Toc526956221 3.1設(shè)計(jì)思路 PAGEREF _Toc526956221 h 11 HYPERLINK l _Toc526956222 3.

5、2數(shù)據(jù)存儲(chǔ)安全 PAGEREF _Toc526956222 h 12 HYPERLINK l _Toc526956223 3.3虛擬機(jī)安全 PAGEREF _Toc526956223 h 13 HYPERLINK l _Toc526956224 3.4管理平臺(tái)安全 PAGEREF _Toc526956224 h 17 HYPERLINK l _Toc526956225 3.5虛擬云安全交付 PAGEREF _Toc526956225 h 19 HYPERLINK l _Toc526956226 3.6方案配置 PAGEREF _Toc526956226 h 22 HYPERLINK l _To

6、c526956227 3.6.1產(chǎn)品列表 PAGEREF _Toc526956227 h 22 HYPERLINK l _Toc526956228 3.6.2方案合規(guī)性分析 PAGEREF _Toc526956228 h 25云計(jì)算帶來的安全挑戰(zhàn)云計(jì)算模式當(dāng)前已得到業(yè)界普遍認(rèn)同，成為信息技術(shù)領(lǐng)域新的發(fā)展方向。但是，隨著云計(jì)算的大量應(yīng)用，云環(huán)境的安全問題也日益突出。在眾多對(duì)云計(jì)算的討論中，IDC的調(diào)查非常具有代表性：“對(duì)于云計(jì)算面臨的安全問題， 75%的用戶對(duì)云計(jì)算安全擔(dān)憂?！备鞣N調(diào)研數(shù)據(jù)也表明：安全性是用戶選擇云計(jì)算的首要考慮因素。云計(jì)算的一個(gè)重要特征就是IT資源的大集中，而隨著資源的集中，相

7、應(yīng)的安全風(fēng)險(xiǎn)也呈現(xiàn)集中化的趨勢(shì)。雖然云計(jì)算相對(duì)傳統(tǒng)計(jì)算網(wǎng)絡(luò)具備一定的安全優(yōu)勢(shì)，但數(shù)據(jù)的大集中會(huì)引來不法分子眾矢之的更多攻擊。因此，做好云的安全防護(hù)要從建設(shè)云的階段就開始規(guī)劃設(shè)計(jì)，這樣才能做到防患于未然。云計(jì)算在技術(shù)層面上的核心特點(diǎn)是虛擬化技術(shù)的運(yùn)用帶來的資源彈性和可擴(kuò)展性，虛擬機(jī)和應(yīng)用程序隨時(shí)可能遷移或變更，僅僅依靠傳統(tǒng)的基于物理環(huán)境拓?fù)涞陌踩O(shè)備已經(jīng)不能完全解決云計(jì)算環(huán)境下的安全問題。因此，虛擬化后的云計(jì)算系統(tǒng)需要重新構(gòu)建安全防護(hù)體系。所以，在安全云的信息化建設(shè)過程中，我們應(yīng)當(dāng)正視可能面臨的各種安全風(fēng)險(xiǎn)，對(duì)網(wǎng)絡(luò)威脅給予充分的重視。為了云數(shù)據(jù)中心的安全穩(wěn)定運(yùn)行，確保項(xiàng)目的順利實(shí)施，公司具備多年

8、云計(jì)算中心構(gòu)造、運(yùn)維的經(jīng)驗(yàn)，根據(jù)云數(shù)據(jù)中心現(xiàn)有的網(wǎng)絡(luò)特點(diǎn)及安全需求，本著切合實(shí)際、保護(hù)投資、著眼未來的原則，提出本技術(shù)實(shí)施方案，以供參考。技術(shù)架構(gòu)設(shè)計(jì)云計(jì)算技術(shù)能夠快速落地并被人們接受，離不開虛擬化技術(shù)、高速存儲(chǔ)技術(shù)、虛擬網(wǎng)絡(luò)技術(shù)和安全技術(shù)的高速發(fā)展。在云計(jì)算平臺(tái)所具備強(qiáng)大的彈性、擴(kuò)展能力之下，伴隨著更多更復(fù)雜的應(yīng)用場(chǎng)景的出現(xiàn)，安全防范是必不可少的基礎(chǔ)。作為提供云計(jì)算服務(wù)的公司，無論是為客戶建設(shè)私有云，還是自建公有云出租，都必須具備一定的安全能力來保障客戶的信息和數(shù)據(jù)安全。本文總結(jié)公司多年云計(jì)算和云安全產(chǎn)品研發(fā)及項(xiàng)目運(yùn)維的經(jīng)驗(yàn)，從基礎(chǔ)安全（縱向/南北）、云環(huán)境安全（橫向/東西）兩部分進(jìn)行全面分

9、析和設(shè)計(jì)，為客戶設(shè)計(jì)一套合理、可靠、合規(guī)的云計(jì)算安全方案?；A(chǔ)安全設(shè)計(jì)下一代防火墻下一代防火墻NGFW（Next Generation Firewall）在未來的網(wǎng)絡(luò)安全設(shè)計(jì)中更加不可或缺，作為目前智能防火墻及UTM的升級(jí)版產(chǎn)品。NGFW具備更高的抗攻擊性能、更廣泛的應(yīng)用識(shí)別、一體化的深度DPI安全過濾，同時(shí)也具備對(duì)虛擬化應(yīng)用平臺(tái)的兼容性支持和軟件定義安全的模式識(shí)別。無論如何，在云數(shù)據(jù)中心的基礎(chǔ)安全中，F(xiàn)W或NGFW是必不可少的網(wǎng)絡(luò)安全網(wǎng)關(guān)。入侵防護(hù)/檢測(cè)在云數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)邊界和主要服務(wù)器區(qū)安全域均需要設(shè)計(jì)部署防火墻，對(duì)每個(gè)安全域進(jìn)行嚴(yán)格的訪問控制。鑒于以上對(duì)防火墻核心作用的分析，需要其他具

10、備檢測(cè)新型的混合攻擊和防護(hù)的能力的設(shè)備和防火墻配合，共同防御來自應(yīng)用層到網(wǎng)絡(luò)層的多種攻擊類型，建立一整套的安全防護(hù)體系，進(jìn)行多層次、多手段的檢測(cè)和防護(hù)。入侵防御/防護(hù)系統(tǒng)（IDS/IPS）就是安全防護(hù)體系中重要的一環(huán)，它能夠及時(shí)識(shí)別網(wǎng)絡(luò)中發(fā)生的入侵行為并實(shí)時(shí)報(bào)警并且進(jìn)行有效攔截防護(hù)。流控/網(wǎng)絡(luò)審計(jì)云數(shù)據(jù)中心提供面向互聯(lián)網(wǎng)的服務(wù)，包括門戶網(wǎng)站、互聯(lián)網(wǎng)數(shù)據(jù)收集服務(wù)等，這些服務(wù)集中在互聯(lián)網(wǎng)服務(wù)區(qū)安全域中。對(duì)于服務(wù)的訪問流量，是我們需要保護(hù)的流量。但是，往往有一些“異?！钡牧髁浚ㄟ^部分或完全占據(jù)網(wǎng)絡(luò)資源，使得正常的業(yè)務(wù)訪問延遲或中斷?？赡馨l(fā)生在互聯(lián)網(wǎng)服務(wù)區(qū)安全邊界的異常流量，根據(jù)產(chǎn)生原因的不同，大致

11、可以分為兩類：攻擊流量、病毒流量。通過在互聯(lián)網(wǎng)服務(wù)區(qū)安全邊界最外側(cè)部署流量管理系統(tǒng)，可以實(shí)時(shí)的發(fā)現(xiàn)并阻斷異常流量，為正常的互聯(lián)網(wǎng)訪問請(qǐng)求提供高可靠環(huán)境。流量控制系統(tǒng)部署在互聯(lián)網(wǎng)服務(wù)區(qū)安全邊界最外層，直接面向互聯(lián)網(wǎng)，阻斷來自互聯(lián)網(wǎng)的攻擊，阻斷病毒的自動(dòng)探測(cè)和傳播。各安全區(qū)域邊界需部署對(duì)應(yīng)的安全設(shè)備負(fù)責(zé)進(jìn)行區(qū)域邊界的安全。對(duì)于流經(jīng)各主要邊界（重要服務(wù)器區(qū)域、外部連接邊界）需要設(shè)置必要的審計(jì)機(jī)制，進(jìn)行數(shù)據(jù)監(jiān)視并記錄各類操作，通過審計(jì)分析能夠發(fā)現(xiàn)跨區(qū)域的安全威脅，實(shí)時(shí)地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件。一般可采取開啟邊界安全設(shè)備的審計(jì)功能模塊，根據(jù)審計(jì)策略進(jìn)行數(shù)據(jù)的日志記錄與審計(jì)。同時(shí)審計(jì)信息要通過安全

12、管理中心進(jìn)行統(tǒng)一集中管理，為安全管理中心提供必要的邊界安全審計(jì)數(shù)據(jù)，利于管理中心進(jìn)行全局管控。邊界安全審計(jì)和主機(jī)審計(jì)、應(yīng)用審計(jì)、網(wǎng)絡(luò)審計(jì)等一起構(gòu)成完整的、多層次的審計(jì)系統(tǒng)。防病毒在云數(shù)據(jù)中心邊界部署防病毒模塊，采用透明接入方式，在安全邊界處進(jìn)行集中防護(hù)，對(duì)夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)病毒進(jìn)行過濾，可以對(duì)網(wǎng)絡(luò)病毒、蠕蟲、混合攻擊、端口掃描、間諜軟件、P2P軟件帶寬濫用等各種廣義病毒進(jìn)行全面的攔截。阻止病毒通過網(wǎng)絡(luò)的快速擴(kuò)散，將經(jīng)網(wǎng)絡(luò)傳播的病毒阻擋在外，可以有效防止病毒從其他區(qū)域傳播到內(nèi)部其他安全域中。安全應(yīng)用交付應(yīng)用交付產(chǎn)品（ADC）集成高性能鏈路負(fù)載均衡和4-7層服務(wù)器應(yīng)用負(fù)載均衡，保證應(yīng)用

13、數(shù)據(jù)在錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)中獲得最佳傳輸路徑。完善的鏈路、應(yīng)用服務(wù)健康檢查機(jī)制，及時(shí)診斷出不能正常工作或負(fù)載過重的鏈路和服務(wù)器。能夠根據(jù)應(yīng)用、鏈路的健康狀況，智能調(diào)整流量在多鏈路、多服務(wù)器之間的分配，并自動(dòng)完成切換，提升網(wǎng)絡(luò)和應(yīng)用的可用性。云數(shù)據(jù)中心的網(wǎng)絡(luò)流量復(fù)雜，為了保障應(yīng)用安全可靠的交付到客戶端，需精確應(yīng)用識(shí)別與控制，避免傳統(tǒng)隊(duì)列機(jī)制所帶來的廣域網(wǎng)下行帶寬的浪費(fèi)，實(shí)現(xiàn)優(yōu)先級(jí)管理、帶寬保障以及帶寬的公平使用，提升應(yīng)用體驗(yàn)。云數(shù)據(jù)中心的應(yīng)用具備彈性和遷移能力，一款設(shè)計(jì)良好并具備良好虛擬化技術(shù)兼容性的安全應(yīng)用交付產(chǎn)品（SADC）也是必不可少的。WAF近幾年，基于Web的攻擊方式愈發(fā)的多樣，而且相比傳統(tǒng)

14、的主機(jī)滲透&提權(quán)等攻擊方式，Web攻擊的效果更加直接和明顯。比如SQL注入攻擊，可以直接讓被攻擊方的數(shù)據(jù)庫(kù)漏洞暴露出來，有可能一條攻擊指令獲得重要數(shù)據(jù)。如今網(wǎng)絡(luò)安全環(huán)境日益惡化，Web攻擊方式多種多樣，包括XSS跨站腳本、CGI緩沖區(qū)溢出、目錄遍歷、Cookie假冒等。為了應(yīng)對(duì)Web攻擊，WAF設(shè)備再配合網(wǎng)頁(yè)防篡改軟件，是保障Web服務(wù)能夠持續(xù)可靠的提供服務(wù)的最佳選擇。安全管理中心安全管理中心用于支撐云數(shù)據(jù)中心全面的安全審計(jì)和運(yùn)維，功能包括：實(shí)現(xiàn)對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境中安全設(shè)備的集中管理；對(duì)整體網(wǎng)絡(luò)進(jìn)行各種監(jiān)控，并對(duì)監(jiān)控?cái)?shù)據(jù)分析生成報(bào)表；對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志進(jìn)行安全審計(jì)并進(jìn)行深入分析。

15、云環(huán)境安全設(shè)計(jì)以強(qiáng)身份認(rèn)證為基礎(chǔ)，云計(jì)算平臺(tái)可提供虛擬化層面的云安全防護(hù)功能和云管理層面的云安全運(yùn)維功能，可以為云平臺(tái)提供全面的安全保護(hù)功能。強(qiáng)身份認(rèn)證云環(huán)境系統(tǒng)必須具備強(qiáng)身份認(rèn)證安全體系，雙因子認(rèn)證或更強(qiáng)身份識(shí)別手段保障云數(shù)據(jù)中心用戶的安全接入。同時(shí)具備詳細(xì)的雙向認(rèn)證設(shè)計(jì)，并具備用戶行為審計(jì)系統(tǒng)，可確保事后用戶行為可溯源。虛擬防火墻基于虛擬化層面的云安全防護(hù)用于保證云環(huán)境下虛擬網(wǎng)絡(luò)和數(shù)據(jù)的安全?；赟DN/NFV技術(shù)來實(shí)現(xiàn)虛擬網(wǎng)絡(luò)安全，包括訪問控制、應(yīng)用流量識(shí)別在宿主機(jī)層面實(shí)現(xiàn)Hypervisor層防火墻動(dòng)態(tài)的，可基于API的配置模式可支持基于VM 名稱, 用戶ID的安全策略具備較好性能，云

16、平臺(tái)虛擬防火墻線速轉(zhuǎn)發(fā)不低于10Gbps虛擬應(yīng)用交付基于虛擬化層面的云應(yīng)用交付系統(tǒng)可在客戶的應(yīng)用之前建立一套安全屏障用于保證云環(huán)境下虛擬網(wǎng)絡(luò)和數(shù)據(jù)信息的安全，并且通過應(yīng)用交付強(qiáng)大的應(yīng)用負(fù)載和全局負(fù)載功能更好的實(shí)現(xiàn)彈性、可伸縮、按需所取的云計(jì)算資源。安全接口云操作系統(tǒng)作為一個(gè)開放平臺(tái)，必須為自身的健壯性負(fù)責(zé)。在整個(gè)云環(huán)境中，包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全、管理等各個(gè)方面，都需要對(duì)外有安全的接口設(shè)計(jì)。所以在系統(tǒng)建設(shè)之初，或者在系統(tǒng)投入使用之后，都要建立完善的API的安全訪問機(jī)制。云安全運(yùn)維中心云安全運(yùn)維中心用于支撐云計(jì)算平臺(tái)全面的安全審計(jì)和運(yùn)維，功能包括：實(shí)現(xiàn)對(duì)虛擬網(wǎng)絡(luò)環(huán)境中安全設(shè)備的集中管理；對(duì)虛擬

17、化網(wǎng)絡(luò)進(jìn)行全面監(jiān)控，并對(duì)監(jiān)控?cái)?shù)據(jù)分析生成報(bào)表；對(duì)虛擬機(jī)主機(jī)、虛擬網(wǎng)絡(luò)環(huán)境和虛擬安全設(shè)備的日志進(jìn)行安全審計(jì)并進(jìn)行深入分析。整體方案設(shè)計(jì)思路在進(jìn)行云計(jì)算數(shù)據(jù)中心安全方案設(shè)計(jì)時(shí)，將遵循以下思路：保障云平臺(tái)及其配套設(shè)施系統(tǒng)除了提供彈性靈活的計(jì)算資源服務(wù)基礎(chǔ)平臺(tái)外，還有配套的云管理平臺(tái)、運(yùn)維管理平臺(tái)等。要保障虛擬化的安全，必須從整體出發(fā)，保障系統(tǒng)承載的各種業(yè)務(wù)、服務(wù)的安全。基縱深防護(hù)體系設(shè)計(jì)對(duì)于整個(gè)云計(jì)算數(shù)據(jù)中心來說根據(jù)威脅、安全需求和策略的不同，劃分為不同的安全域，并基于安全域設(shè)計(jì)相應(yīng)的邊界防護(hù)策略、內(nèi)部防護(hù)策略，部署相應(yīng)的防護(hù)措施，從而構(gòu)造起縱深的防護(hù)體系。當(dāng)然，在云平臺(tái)中，安全域的邊界可能是動(dòng)態(tài)變

18、化的，但通過相應(yīng)的技術(shù)手段，可以做到動(dòng)態(tài)邊界的安全策略跟隨，持續(xù)有效的保證系統(tǒng)的安全。以安全服務(wù)為導(dǎo)向，符合虛擬化的特點(diǎn)云計(jì)算的特點(diǎn)是按需分配、資源彈性、自動(dòng)化、重復(fù)模式，并以服務(wù)為中心。因此，對(duì)于安全控制措施選擇、部署、使用來講必須滿足上述特點(diǎn)，即提供資源彈性、按需分配、自動(dòng)化的安全服務(wù)，滿足云平臺(tái)的安全保障要求。充分利用現(xiàn)有安全控制措施及最新技術(shù)在云環(huán)境中，還存在的傳統(tǒng)的網(wǎng)絡(luò)、主機(jī)等，同時(shí)，云主機(jī)中也有相應(yīng)的操作系統(tǒng)、應(yīng)用和數(shù)據(jù)，傳統(tǒng)的安全控制措施仍舊可以部署、應(yīng)用和配置，充分發(fā)揮防護(hù)作用。另外，部分安全控制措施已經(jīng)具有了虛擬化版本，也可以部署在云平臺(tái)上，進(jìn)行云平臺(tái)中的東西向流量進(jìn)行檢測(cè)、

19、防護(hù)。充分考慮安全運(yùn)營(yíng)隨著系統(tǒng)的運(yùn)行，會(huì)出現(xiàn)大量云安全實(shí)例的增加和消失，需要對(duì)相關(guān)的網(wǎng)絡(luò)流量進(jìn)行調(diào)度和監(jiān)測(cè)，對(duì)風(fēng)險(xiǎn)進(jìn)行快速的監(jiān)測(cè)、發(fā)現(xiàn)、分析及相應(yīng)管理，并不斷完善安全防護(hù)措施，提升安全防護(hù)能力。數(shù)據(jù)存儲(chǔ)安全數(shù)據(jù)完整性云數(shù)據(jù)中心的所有數(shù)據(jù)存儲(chǔ)在后端的統(tǒng)一存儲(chǔ)系統(tǒng)上。在存儲(chǔ)系統(tǒng)中可采用RAID技術(shù)保證數(shù)據(jù)的完整性，應(yīng)對(duì)部分磁盤失效的情況。分布式存儲(chǔ)系統(tǒng)還可以采用多副本技術(shù)最大限度的保證數(shù)據(jù)的安全性，當(dāng)出現(xiàn)磁盤故障甚至節(jié)點(diǎn)故障時(shí)，分布式存儲(chǔ)系統(tǒng)可以通過本身的機(jī)制自動(dòng)在其他數(shù)據(jù)節(jié)點(diǎn)上重建失效部分的數(shù)據(jù)，整個(gè)過程無需人工干預(yù)，實(shí)現(xiàn)零運(yùn)維成本。卷快照機(jī)制統(tǒng)一存儲(chǔ)系統(tǒng)支持對(duì)整個(gè)數(shù)據(jù)卷的快照功能，并在出現(xiàn)故障

20、時(shí)快速的回滾到故障前的快照時(shí)間點(diǎn)。備份與恢復(fù)云數(shù)據(jù)中心的數(shù)據(jù)包括數(shù)據(jù)庫(kù)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)、虛擬機(jī)磁盤鏡像數(shù)據(jù)以及其他文件數(shù)據(jù)等。其備份系統(tǒng)建設(shè)可分為以下幾個(gè)層面：虛擬機(jī)磁盤文件備份。在虛擬化管理平臺(tái)中可以直接對(duì)虛擬機(jī)的磁盤鏡像文件進(jìn)行備份，而無需第三方的備份軟件介入。備份任務(wù)可以按照計(jì)劃定時(shí)自動(dòng)的執(zhí)行，無需人工干預(yù)，降低運(yùn)維的復(fù)雜度。數(shù)據(jù)庫(kù)數(shù)據(jù)的備份。對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的備份可通過部署專門的備份系統(tǒng)，指定備份計(jì)劃，選擇全備份或者增量備份。備份可以通過TCP/IP網(wǎng)絡(luò)進(jìn)行，也可以直接通過FC光纖網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)塊級(jí)的備份。備份的目標(biāo)存儲(chǔ)可以是與原數(shù)據(jù)相同的存儲(chǔ)系統(tǒng)，也可以是另外一個(gè)獨(dú)立的存儲(chǔ)系統(tǒng)。非結(jié)構(gòu)化文件

21、備份。用戶產(chǎn)生的數(shù)據(jù)以及應(yīng)用產(chǎn)生的一些非結(jié)構(gòu)化文件數(shù)據(jù)也可以通過備份系統(tǒng)進(jìn)行備份。備份系統(tǒng)可以與數(shù)據(jù)庫(kù)備份同一套系統(tǒng)。采用軟硬一體化的備份系統(tǒng)可以降低部署和運(yùn)維的復(fù)雜度，避免軟硬件兼容性等問題。訪問權(quán)限控制統(tǒng)一存儲(chǔ)系統(tǒng)中根據(jù)不同的業(yè)務(wù)應(yīng)用劃分了一個(gè)個(gè)不同存儲(chǔ)區(qū)域，每個(gè)業(yè)務(wù)應(yīng)用只能訪問屬于自己那塊的存儲(chǔ)空間，不同業(yè)務(wù)應(yīng)用之間不能直接在存儲(chǔ)系統(tǒng)層面相互訪問數(shù)據(jù)。虛擬機(jī)安全在云數(shù)據(jù)中心的共享域和專有域，其密級(jí)、架構(gòu)、功能都類似，故在設(shè)計(jì)方案時(shí)總體來考慮。跟傳統(tǒng)網(wǎng)絡(luò)通過安全設(shè)備做各個(gè)業(yè)務(wù)區(qū)域的隔離、流量的分析不同，云環(huán)境下同一個(gè)物理機(jī)當(dāng)中的多個(gè)虛擬機(jī)中可能部署多個(gè)業(yè)務(wù)，而業(yè)務(wù)之間的流量直接通過虛擬化操

22、作系統(tǒng)的vSwitch進(jìn)行轉(zhuǎn)發(fā)，不出物理機(jī)，無法進(jìn)行有效的網(wǎng)絡(luò)隔離以及流量的分析。因此，需要一種軟件定義安全的方式，在每臺(tái)物理機(jī)上分配一臺(tái)單獨(dú)的虛擬機(jī)作為集中安全網(wǎng)關(guān)模塊，該網(wǎng)關(guān)模塊會(huì)與Hypervisor深度結(jié)合，對(duì)進(jìn)出每一個(gè)虛擬機(jī)的所有流量進(jìn)行捕獲、分析及控制，從而實(shí)現(xiàn)虛擬平臺(tái)內(nèi)部東西向流量之間的防護(hù)。其具備的具體功能如下：功能強(qiáng)大的威脅防御提供對(duì)云平臺(tái)的立體威脅防御，包括：惡意代碼防護(hù)惡意代碼包括：病毒、蠕蟲、木馬后門等，包括實(shí)時(shí)掃描、預(yù)設(shè)掃描及手動(dòng)掃描功能，處理措施包含清除、刪除、拒絕訪問或隔離惡意軟件。檢測(cè)到惡意軟件時(shí)，可以生成警報(bào)日志。防火墻它可用于啟用正確的服務(wù)器運(yùn)行所必需的端口

23、和協(xié)議上的通信，并阻止其他所有端口和協(xié)議，降低對(duì)服務(wù)器進(jìn)行未授權(quán)訪問的風(fēng)險(xiǎn)。其功能如下： 虛擬機(jī)隔離：需要對(duì)不同單位（租戶）的虛擬機(jī)業(yè)務(wù)系統(tǒng)進(jìn)行隔離，且無需修改虛擬交換機(jī)配置即可提供虛擬分段。細(xì)粒度過濾：通過實(shí)施有關(guān) IP 地址、Mac 地址、端口及其他內(nèi)容的防火墻規(guī)則過濾通信流?？蔀槊總€(gè)網(wǎng)絡(luò)接口配置不同的策略。覆蓋所有基于 IP 的協(xié)議：通過支持全數(shù)據(jù)包捕獲簡(jiǎn)化了故障排除，并且可提供寶貴的分析見解，有助于了解增加的防火墻事件 TCP、UDP、ICMP 等。偵察檢測(cè)：檢測(cè)端口掃描等活動(dòng)。還可限制非 IP 通信流，如 ARP 通信流。靈活的控制：狀態(tài)型防火墻較為靈活，可在適當(dāng)時(shí)以一種受控制的方式

24、完全繞過檢查。它可解決任何網(wǎng)絡(luò)上都會(huì)遇到的通信流特征不明確的問題，此問題可能出于正常情況，也可能是攻擊的一部分。預(yù)定義的防火墻配置文件：對(duì)常見企業(yè)服務(wù)器類型（包括 Web、LDAP、DHCP、FTP 和數(shù)據(jù)庫(kù)）進(jìn)行分組，確保即使在大型復(fù)雜的網(wǎng)絡(luò)中也可快速、輕松、一致地部署防火墻策略?？刹僮鞯膱?bào)告：通過詳細(xì)的日志記錄、警報(bào)、儀表板和靈活的報(bào)告，Deep Security 防火墻軟件模塊可捕獲和跟蹤配置更改（如策略更改內(nèi)容及更改者），從而提供詳細(xì)的審計(jì)記錄。入侵檢測(cè)和阻止 (IDS/IPS) 在操作系統(tǒng)和企業(yè)應(yīng)用程序安裝補(bǔ)丁之前對(duì)其漏洞進(jìn)行防護(hù)，以提供及時(shí)保護(hù)，使其免受已知攻擊和零日攻擊?；谀Ｊ?/p>

25、匹配、異常檢測(cè)、統(tǒng)計(jì)分析等入侵檢測(cè)和協(xié)議分析技術(shù)，阻擋各種入侵攻擊，如蠕蟲、木馬、間諜軟件、廣告軟件、緩沖區(qū)溢出、掃描、非法連接、SQL注入、XSS跨站腳本等攻擊，攻擊特征庫(kù)可在線更新或離線更新。異常流量清洗對(duì)畸形報(bào)文及分布式拒絕服務(wù)攻擊（DDOS）進(jìn)行防御，將異常的流量進(jìn)行清洗，放行正常流量。WEB應(yīng)用防護(hù)Web 應(yīng)用防護(hù)規(guī)則可防御 SQL 注入攻擊、跨站點(diǎn)腳本攻擊及其他 針對(duì)Web 應(yīng)用程序漏洞攻擊，在代碼修復(fù)完成之前對(duì)這些漏洞提供防護(hù)，識(shí)別并阻止常見的 Web 應(yīng)用程序攻擊，并可實(shí)現(xiàn)網(wǎng)頁(yè)防篡改功能。應(yīng)用程序控制應(yīng)用程序控制能夠識(shí)別網(wǎng)絡(luò)中的七層流量，可針對(duì)訪問網(wǎng)絡(luò)的應(yīng)用程序提供更進(jìn)一步的可

26、見性控制能力。能夠阻止隱藏或封裝在正常四層數(shù)據(jù)報(bào)文中的惡意程序或者惡意軟件，并能夠?qū)W(wǎng)絡(luò)中的非業(yè)務(wù)流量進(jìn)行精確的限制。 日志審計(jì)對(duì)所有可疑或有害的網(wǎng)絡(luò)事件進(jìn)行記錄，提供有效的行為審計(jì)、內(nèi)容審計(jì)、行為報(bào)警等功能。滿足分級(jí)保護(hù)對(duì)于安全的審計(jì)備案及安全保護(hù)措施的要求，提供完整的流量記錄，便于信息追蹤、系統(tǒng)安全管理和風(fēng)險(xiǎn)防范。虛擬機(jī)之間的數(shù)據(jù)流量檢查及控制利用細(xì)粒度的防火墻策略和一流的立體威脅防御功能，對(duì)所有虛擬機(jī)之間的數(shù)據(jù)流量進(jìn)行檢查，從而確保虛擬機(jī)的安全性。與虛擬化操作系統(tǒng)Hypervisor深度結(jié)合，在管理程序內(nèi)部無縫實(shí)施安全防護(hù)措施。安全網(wǎng)關(guān)模塊支持分離虛擬應(yīng)用，從而避免相互感染以及外部威脅。

27、集成的IPS利用基于簽名和協(xié)議異常的入侵防御功能，來保護(hù)FTP、HTTP和VoIP等關(guān)鍵業(yè)務(wù)服務(wù)免遭已知和未知攻擊。提供對(duì)特征庫(kù)的更新，以便實(shí)施最新的防護(hù)措施。增強(qiáng)動(dòng)態(tài)云環(huán)境的安全性當(dāng)虛擬機(jī)從一個(gè)物理機(jī)向另一個(gè)物理機(jī)進(jìn)行實(shí)時(shí)遷移或者新增虛擬機(jī)時(shí)，不能夠終端對(duì)虛擬機(jī)的保護(hù)。當(dāng)虛擬機(jī)在不同物理機(jī)之間的漂移時(shí)，安全策略能夠在保持開放連接的情況下跟隨虛擬機(jī)實(shí)時(shí)遷移，無需手動(dòng)配置安全策略，對(duì)虛擬機(jī)的防護(hù)隨著漂移實(shí)時(shí)生效，不產(chǎn)生中斷。在創(chuàng)建新虛擬機(jī)時(shí)，根據(jù)配置好的模板自動(dòng)實(shí)施安全策略。完全虛擬化的安全網(wǎng)關(guān)依賴傳統(tǒng)物理安全設(shè)備對(duì)虛擬機(jī)間流量進(jìn)行檢測(cè)會(huì)影響性能，同時(shí)也會(huì)增加網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性。通過部署完全虛擬化

28、的安全網(wǎng)關(guān)模塊，可以避免復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，并可降低網(wǎng)絡(luò)延時(shí)、提升安全檢測(cè)提升性能、優(yōu)化部署成本。安全網(wǎng)關(guān)模塊以虛擬機(jī)的形式部署在每一臺(tái)物理機(jī)上，在邏輯上提供透明或者網(wǎng)關(guān)等多種部署方式。利用集成的防火墻、IPS、VPN、DDoS防護(hù)、防病毒、僵尸網(wǎng)絡(luò)防護(hù)、防垃圾郵件、URL過濾、Web安全、數(shù)據(jù)防泄漏等功能，保護(hù)虛擬機(jī)免遭外部威脅以及互相感染，并可通過安全網(wǎng)關(guān)模塊對(duì)不同業(yè)務(wù)進(jìn)行訪問控制的隔離。對(duì)虛擬機(jī)提供即插即用的安全保護(hù)對(duì)虛擬機(jī)自動(dòng)啟動(dòng)安全策略，而無需為虛擬機(jī)、VLAN或vSwitch改變網(wǎng)路拓?fù)?，減少管理運(yùn)維成本。統(tǒng)一管理通過專門的云安全管理平臺(tái)對(duì)多個(gè)物理機(jī)之上的云安全網(wǎng)關(guān)模塊進(jìn)行統(tǒng)一管理及統(tǒng)

29、一配置，無需登陸到每臺(tái)物理機(jī)上進(jìn)行運(yùn)維。為增加部署的靈活性，該管理平臺(tái)可根據(jù)計(jì)算資源的實(shí)際情況，靈活部署在虛擬機(jī)或者物理機(jī)之上。管理平臺(tái)安全云計(jì)算技術(shù)實(shí)現(xiàn)了資源的集中部署、集約管理和統(tǒng)一調(diào)度，資源管理權(quán)限的集中也帶來了更多的安全需求。電子政務(wù)內(nèi)網(wǎng)云數(shù)據(jù)中心接入單位多、應(yīng)用數(shù)量多，有物理設(shè)備管理員、虛擬化設(shè)備管理員、各單位業(yè)務(wù)系統(tǒng)用戶等，用戶對(duì)虛擬資源的操作更加復(fù)雜化，安全控制精細(xì)程度更高且操作審計(jì)覆蓋面更廣。傳統(tǒng)的物理服務(wù)器安全管理基于4A的用戶訪問控制系統(tǒng)，即用戶賬號(hào)（account）管理、認(rèn)證（authentication）管理、授權(quán)（authorization）管理和安全審計(jì)（audit

30、），無法滿足虛擬化計(jì)算環(huán)境下的安全控制需求。因此云環(huán)境下的權(quán)限管理必須要對(duì)現(xiàn)有4A系統(tǒng)進(jìn)一步加強(qiáng)，包括身份識(shí)別與訪問操作的控制和審計(jì)，實(shí)現(xiàn)與已有4A系統(tǒng)和信息安全管理中心的對(duì)接，從而實(shí)現(xiàn)虛擬化資源管理的安全。云環(huán)境下的資源管理權(quán)限高度集中，一旦分配不當(dāng)容易造成很大的安全隱患，因此必須要對(duì)管理員進(jìn)行更細(xì)粒度的權(quán)限管理與操作審計(jì)，對(duì)各業(yè)務(wù)系統(tǒng)所管轄的虛擬化計(jì)算資源系統(tǒng)賬號(hào)和應(yīng)用賬號(hào)進(jìn)行集中管理、統(tǒng)一認(rèn)證、集中授權(quán)和綜合審計(jì)。云環(huán)境下的資源均納入虛擬化管理平臺(tái)管理，因此要實(shí)現(xiàn)物理資源與虛擬資源的用戶訪問控制，必須將基于4A的傳統(tǒng)運(yùn)維系統(tǒng)與虛擬化管理平臺(tái)結(jié)合，形成兩層用戶訪問控制，協(xié)同實(shí)現(xiàn)對(duì)物理資源與

31、虛擬資源的全面訪問管理?；?A的傳統(tǒng)運(yùn)維系統(tǒng)側(cè)重納管所有物理資源，包括云數(shù)據(jù)中心中的物理資源，對(duì)物理資源訪問用戶進(jìn)行賬號(hào)管理、認(rèn)證、授權(quán)和操作審計(jì)；虛擬化管理平臺(tái)側(cè)重納管虛擬資源，對(duì)虛擬資源訪問用戶進(jìn)行賬號(hào)管理、認(rèn)證、授權(quán)和操作審計(jì)等。虛擬化管理平臺(tái)的安全保障措施包括：一要保障所有用戶操作虛擬資源時(shí)都必須經(jīng)過虛擬化管理平臺(tái)，關(guān)閉其他途徑；二要對(duì)虛擬機(jī)進(jìn)行的所有修改類操作（包括創(chuàng)建、刪除、啟動(dòng)、停止、備份、恢復(fù)等）進(jìn)行審計(jì)日志留存；另外，針對(duì)接入數(shù)據(jù)中心的各電黨政機(jī)關(guān)單位提供多種靈活的訪問認(rèn)證方式，如口令加動(dòng)態(tài)密碼雙因子認(rèn)證、硬件密匙認(rèn)證等，把安全措施顯性化，增強(qiáng)平臺(tái)的安全性。另外，虛擬化管理

32、平臺(tái)需要實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)中心的各種資源使用和運(yùn)行情況，包括CPU負(fù)載、磁盤使用情況、服務(wù)器內(nèi)存等。系統(tǒng)資源運(yùn)行異常時(shí)，虛擬化管理平臺(tái)能以郵件、短信等形式通知管理員，協(xié)助管理員對(duì)系統(tǒng)的異常進(jìn)行及時(shí)的處理。注：基礎(chǔ)安全功能詳解功能位置作用防火墻業(yè)務(wù)網(wǎng)數(shù)據(jù)中心區(qū)域邊界內(nèi)部辦公網(wǎng)邊界對(duì)業(yè)務(wù)網(wǎng)進(jìn)行獨(dú)立防護(hù)，進(jìn)行訪問控制、攻擊防御對(duì)外部單位接入的各種數(shù)據(jù)交換進(jìn)行訪問控制、入侵防御IPS入侵防護(hù)IDS入侵檢測(cè)業(yè)務(wù)網(wǎng)核心服務(wù)器區(qū)域邊界實(shí)時(shí)監(jiān)控并阻斷針對(duì)數(shù)據(jù)中心核心業(yè)務(wù)服務(wù)器的入侵行為防毒墻網(wǎng)絡(luò)邊界實(shí)時(shí)監(jiān)控并阻斷網(wǎng)絡(luò)層傳輸?shù)?，針?duì)數(shù)據(jù)中心核心業(yè)務(wù)的病毒和木馬行為SSL VPN網(wǎng)關(guān)外網(wǎng)邊界對(duì)外網(wǎng)用戶的可信接入進(jìn)行身份

33、認(rèn)證、數(shù)據(jù)加密、角色授權(quán)和訪問審計(jì)等，保護(hù)辦公網(wǎng)內(nèi)部服務(wù)器資源的可用性，保障正常業(yè)務(wù)可控的訪問上網(wǎng)行為審計(jì)網(wǎng)絡(luò)流量控制外網(wǎng)邊界對(duì)內(nèi)部人員網(wǎng)絡(luò)行為的約束與審計(jì)對(duì)網(wǎng)絡(luò)流量進(jìn)行整形，保障重要業(yè)務(wù)的網(wǎng)絡(luò)帶寬符合安全要求網(wǎng)頁(yè)防篡改WAF外網(wǎng)DMZ網(wǎng)站服務(wù)區(qū)WEB應(yīng)用安全防護(hù)，防止對(duì)外網(wǎng)站被破壞數(shù)據(jù)庫(kù)審計(jì)部署在服務(wù)器網(wǎng)絡(luò)中主要是實(shí)現(xiàn)所有用戶對(duì)數(shù)據(jù)庫(kù)訪問及操作的行為進(jìn)行審計(jì)分析對(duì)數(shù)據(jù)庫(kù)操作進(jìn)行記錄、審計(jì)、授權(quán)、命令回放等身份認(rèn)證系統(tǒng)部署在云安全管理中心區(qū)對(duì)內(nèi)部所有服務(wù)器及應(yīng)用系統(tǒng)的登錄、身份識(shí)別進(jìn)行認(rèn)證及安全識(shí)別全面的監(jiān)控和安全的身份認(rèn)證安全隔離網(wǎng)閘業(yè)務(wù)網(wǎng)與辦公網(wǎng)邊界未來可用于業(yè)務(wù)網(wǎng)與其他機(jī)構(gòu)外聯(lián)邊界與辦公

34、網(wǎng)進(jìn)行適度的、可控的數(shù)據(jù)交換，同時(shí)保持業(yè)務(wù)網(wǎng)的高度隔離狀態(tài)，保護(hù)核心業(yè)務(wù)服務(wù)器的高度安全安全應(yīng)用交付多鏈路安全交付服務(wù)器應(yīng)用交付全局應(yīng)用均衡對(duì)應(yīng)用服務(wù)器和網(wǎng)絡(luò)鏈路進(jìn)行全面的安全交付放置在網(wǎng)絡(luò)出口或者應(yīng)用服務(wù)區(qū)堡壘主機(jī)運(yùn)維安全風(fēng)險(xiǎn)管控內(nèi)部安全管理放置在應(yīng)用服務(wù)區(qū)對(duì)服務(wù)區(qū)運(yùn)維人員和管理人員的行為進(jìn)行全面監(jiān)管，并且具備日志溯源回放虛擬云安全交付虛擬云安全應(yīng)用交付可通過硬件或者軟件的方式來為客戶提供服務(wù)。硬件模式通過使用硬件的應(yīng)用交付系統(tǒng)與云計(jì)算平臺(tái)對(duì)接，為虛擬服務(wù)器提供服務(wù)；軟件模式下則將ADC系統(tǒng)設(shè)計(jì)成云計(jì)算環(huán)境內(nèi)部的安全交付應(yīng)用模塊，以虛擬機(jī)的方式來提供服務(wù)，在云環(huán)境中與VM一樣，可隨時(shí)生成、取

35、消、遷移等等。傳統(tǒng)共享模式虛擬化只是在邏輯上將物理主機(jī)劃分為多個(gè)虛擬主機(jī)。雖然用戶看到的是“獨(dú)立”的資源，但實(shí)際虛擬主機(jī)之間依然共享CPU、內(nèi)存、接口等硬件資源。當(dāng)其中某臺(tái)虛擬主機(jī)流量過高或發(fā)生故障時(shí)，就會(huì)導(dǎo)致整個(gè)系統(tǒng)不可用。與傳統(tǒng)的共享模式的虛擬化技術(shù)不同，安全應(yīng)用交付應(yīng)該實(shí)現(xiàn)真正支持基于Hypervisor的硬件虛擬化：在單一物理服務(wù)主機(jī)上最高可同時(shí)運(yùn)行32個(gè)虛擬主機(jī)隔離，在同一物理主機(jī)上的虛擬機(jī)之間相互隔離獨(dú)立，每個(gè)虛擬主機(jī)可指定自己的CPU、內(nèi)存等資源分配，并擁有獨(dú)立的管理員； 業(yè)務(wù)，每個(gè)虛擬主機(jī)都可以獨(dú)立運(yùn)行不同的業(yè)務(wù)模式，最大程度的滿足用戶需求。同時(shí)，軟件形式的虛擬云應(yīng)用交付系統(tǒng)亦

36、是實(shí)現(xiàn)SDN中不可或缺的功能。以下將對(duì)應(yīng)用交付的技術(shù)功能進(jìn)行詳細(xì)描述。在系統(tǒng)里建立一個(gè)或多個(gè)虛擬服務(wù)VS（IP：Port），來映射內(nèi)部的服務(wù)器組（云計(jì)算平臺(tái)的虛擬VM）來對(duì)外提供的一種或者多種應(yīng)用。VM被加入到地址池中（Pool），當(dāng)有外部流量訪問VS時(shí)，安全應(yīng)用交付通過預(yù)先配置好的負(fù)載分擔(dān)算法，從地址池中選擇一臺(tái)可用的VM作為應(yīng)用提供者。同時(shí)安全應(yīng)用交付實(shí)時(shí)對(duì)每個(gè)服務(wù)器節(jié)點(diǎn)進(jìn)行健康檢查，并且與云管理平臺(tái)實(shí)時(shí)聯(lián)動(dòng)，當(dāng)某一VM出現(xiàn)故障無法正常提供服務(wù)或者收到管理平臺(tái)關(guān)閉某VM的指令，把該VM從Pool中的可用列表移出，不再向其分發(fā)流量。VM平滑接入和退出當(dāng)有新的VM接入或者VM重新啟動(dòng)時(shí)，云應(yīng)用

37、交付系統(tǒng)可以把流量逐步分配給其他VM來實(shí)現(xiàn)服務(wù)器的平滑接入，避免VM的某些進(jìn)程還沒有加載完成而導(dǎo)致系統(tǒng)服務(wù)無法正常響應(yīng)或者應(yīng)用響應(yīng)緩慢的情況。云管理中心也可以通過設(shè)置手工方式操作把某臺(tái)VM退出流量分擔(dān)機(jī)制，此時(shí)云應(yīng)用交付系統(tǒng)不再分配新的流量給該VM，該服務(wù)器的現(xiàn)有連接將繼續(xù)保持，直至連接結(jié)束。七層內(nèi)容交換四層交換主要是依賴IP和TCP/UDP層的信息進(jìn)行流量的分配，而隨著應(yīng)用自身的復(fù)雜性和不斷改善用戶體驗(yàn)的需求，有時(shí)候需要為不同的用戶類型返回不同的呈現(xiàn)內(nèi)容，例如：把移動(dòng)用戶的手機(jī)/pad瀏覽器請(qǐng)求分發(fā)給專門經(jīng)針對(duì)性過優(yōu)化的服務(wù)器。把請(qǐng)求圖片，文檔，視頻等靜態(tài)內(nèi)容分發(fā)給緩存服務(wù)器。根據(jù)瀏覽器自身

38、的語言設(shè)置，為不同語言區(qū)域的用戶返回相應(yīng)的頁(yè)面可以根據(jù)HTTP請(qǐng)求的方法實(shí)現(xiàn)讀寫分離，HTTP讀（get）請(qǐng)求分配給緩存服務(wù)器，HTTP寫（post）請(qǐng)求分配給處理動(dòng)態(tài)內(nèi)容的服務(wù)器。云安全應(yīng)用交付的七層內(nèi)容交換可以識(shí)別用戶請(qǐng)求報(bào)文的內(nèi)容，如URL信息，應(yīng)用數(shù)據(jù)類型，Cookie信息，瀏覽器類型，HTTP方法等內(nèi)容，將流量分配給相應(yīng)的應(yīng)用VM。安全應(yīng)用交付平臺(tái)通過http-class來標(biāo)識(shí)一個(gè)業(yè)務(wù)分類，http-class根據(jù)主機(jī)地址，URI路徑，頭信息和Cookie來定義，每個(gè)http-class可以關(guān)聯(lián)一個(gè)服務(wù)器地址池，然后再虛擬服務(wù)（VS）的配置中，引用一個(gè)或者多個(gè)http-class。當(dāng)

39、客戶端請(qǐng)求訪問虛擬服務(wù)時(shí)，安全應(yīng)用交付設(shè)備進(jìn)行http-class匹配，匹配成功的請(qǐng)求被分配給對(duì)應(yīng)的地址池。TCP連接復(fù)用TCP連接復(fù)用技術(shù)使多個(gè)客戶端共享一個(gè)到服務(wù)器的TCP連接，可以提升應(yīng)用服務(wù)器的整體性能，使應(yīng)用服務(wù)器從維護(hù)海量的TCP連接，并不斷的進(jìn)行TCP建立和拆除維護(hù)中解脫出來，極大的提升單臺(tái)服務(wù)器的承載能力。安全應(yīng)用交付設(shè)備在接到一個(gè)客戶端HTTP請(qǐng)求后，通過負(fù)載分擔(dān)算法會(huì)選擇一臺(tái)服務(wù)器建立連接。如果接收到正常的服務(wù)器響應(yīng)，安全應(yīng)用交付設(shè)備會(huì)把這個(gè)連接放入到“連接復(fù)用池”里面，當(dāng)另外一個(gè)新的客戶端發(fā)起HTTP連接請(qǐng)求時(shí)，安全應(yīng)用交付設(shè)備從現(xiàn)有的連接池里面選擇一個(gè)可用的連接來和服務(wù)

40、器的進(jìn)行數(shù)據(jù)交互，而不是重新創(chuàng)建一個(gè)到服務(wù)器的連接。通過這種優(yōu)化，可以把服務(wù)器負(fù)載降低到原來的1/10-50。方案配置產(chǎn)品列表以下產(chǎn)品列表是在滿足等保三級(jí)的基礎(chǔ)之上提出的，有部分產(chǎn)品沒有，這里給出的是參考價(jià)格。序號(hào)設(shè)備型號(hào)設(shè)備配置數(shù)量單價(jià)（萬元）合計(jì)（萬元）1下一代防火墻配置6個(gè)千兆電口，4個(gè)千兆光口，1U機(jī)架，冗余電源。吞吐量10G，并發(fā)連接數(shù)500萬，每秒新建連接數(shù)8萬。領(lǐng)先的一體化檢測(cè)引擎技術(shù)，支持IPv6，包含應(yīng)用識(shí)別與用戶識(shí)別功能、智能流量管理、應(yīng)用管控、入侵防護(hù)、病毒防護(hù)、DNS防護(hù)、應(yīng)用安全防護(hù)、URL過濾、垃圾郵件過濾、數(shù)據(jù)防泄密、內(nèi)容過濾、基于云租戶的安全防護(hù)等安全模塊，支持路由、交換、訪問控