云数据中心边界防护项目解决方案v1.0[文字说明]
技术建议书_安全解决处理方案技术建议书(边界防护、行为监管)v1.0
XXXXXX网络安全建设技术建议书2008年2月目录1.XX网络安全现状 -------------------------------------------------------------------------------------------- 22.H3C安全解决方案理念------------------------------------------------------------------------------------- 42.1.智能安全渗透网络——局部安全 ------------------------------------------------------------- 42.2.智能安全渗透网络——全局安全 ------------------------------------------------------------- 52.3.智能安全渗透网络——智能安全 ------------------------------------------------------------- 53.建设原则及设计思路 ---------------------------------------------------------------------------------------- 63.1.安全平台设计思路 ------------------------------------------------------------------------------- 63.1.1.以安全为核心划分区域 ------------------------------------------------------------------- 63.1.2.用防火墙隔离各安全区域 ---------------------------------------------------------------- 73.1.3.对关键路径进行深入检测防护 ---------------------------------------------------------- 83.1.4.对用户非法上网行为进行识别和控制 ------------------------------------------------- 83.1.5.对全网设备进行统一安全管理并进行用户行为审计 ------------------------------- 93.1.6.根据实际需要部署其他安全系统 ------------------------------------------------------- 94.XXXX网络安全解决方案 --------------------------------------------------------------------------------- 114.1.1.边界安全防护 ------------------------------------------------------------------------------ 114.1.2.用户行为监管 ------------------------------------------------------------------------------ 124.1.3.统一安全管理中心 ------------------------------------------------------------------------ 145.安全管理建议(供参考)---------------------------------------------------------------------------------- 155.1.安全管理组织结构 ----------------------------------------------------------------------------- 155.1.1.人员需求与技能要求 --------------------------------------------------------------------- 155.1.2.岗位职责 ------------------------------------------------------------------------------------ 155.2.安全管理制度------------------------------------------------------------------------------------ 165.2.1.业务网服务器上线及日常管理制度 --------------------------------------------------- 165.2.2.安全产品管理制度 ------------------------------------------------------------------------ 175.2.3.应急响应制度 ------------------------------------------------------------------------------ 175.2.4.制度运行监督 ------------------------------------------------------------------------------ 171.XX网络安全现状随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。
安恒云 V1.0.0 快速入门说明书
安恒云V1.0.0快速入门文档版本:01发布日期:2020-10-27本文中出现的任何文字描述、文字格式、插图、照片、方法等内容,除另有特别注明,版权均属杭州安恒信息技术股份有限公司(简称“安恒信息”)所有,受到有关产权及版权法保护。
任何个人、机构未经安恒信息的书面授权许可,不得以任何方式复制或引用本文的任何片段。
经授权使用本文中内容的的单位或个人,应在授权范围内使用,并注明“来源:安恒信息”。
违反上述声明者,安恒信息保留追究其法律责任的权利。
除杭州安恒信息技术股份有限公司的商标外,本手册中出现的其他商标、产品标识及商品名称,由各自权利人拥有。
文档说明修订记录目录前言 (I)1. 概述 (1)1.1产品简介 (1)1.2主要业务流程 (1)2. 团队管理 (4)2.1创建团队 (4)2.2团队相关操作 (8)3. 多云管理 (10)3.1资源池 (10)3.1.1 导入VMware资源池 (10)3.1.2 导入OpenStack资源池 (13)3.2导入对象存储资源 (18)3.3导入CDN资源 (19)4. 导入主机与数据库 (21)4.1导入公有云主机 (21)4.2导入私有云主机 (22)4.3导入局域网主机 (23)4.4导入资源池主机 (27)4.5导入数据库 (29)4.6云账号管理 (33)5. 开启安全防护 (35)5.1开通服务类产品 (35)5.2开通镜像类产品 (36)5.2.1 开通数据库审计 (37)5.2.2 使用数据库审计 (41)6. 日常运维 (42)6.1主机管理 (42)6.2磁盘快照 (43)6.3文件传输 (44)6.3.1 主机文件管理 (45)6.3.2 文件分发 (45)6.3.3 文件采集 (47)6.4成本优化 (49)6.4.1 概述 (49)6.4.2 查看成本优化 (49)6.4.3 优化仿真工具 (50)前言概述感谢您选择安恒信息的网络安全产品。
数据中心需求分析报告_v1.0
数据中心需求分析报告_v1.0数据中心需求分析报告_v10一、引言在当今数字化时代,数据中心已成为企业运营和发展的关键基础设施。
随着业务的不断增长和技术的迅速发展,对数据中心的需求也日益复杂和多样化。
为了更好地满足企业的业务需求,提高数据处理和存储能力,保障系统的稳定性和安全性,有必要对数据中心进行全面的需求分析。
二、企业现状与业务需求(一)企业现状概述目前,企业的业务涵盖了多个领域,包括线上销售、客户关系管理、供应链管理等。
现有的数据中心在过去几年中为企业的发展提供了一定的支持,但随着业务规模的扩大和数据量的急剧增加,逐渐暴露出一些问题。
(二)业务增长趋势根据市场预测和企业发展规划,未来几年内业务将保持高速增长。
预计线上销售业务将翻倍,客户数量将大幅增加,这将导致数据量的迅速膨胀,对数据中心的处理能力和存储容量提出了更高的要求。
(三)业务关键需求1、高可用性:业务的连续性至关重要,数据中心必须保证 24/7 的不间断运行,以避免因系统故障导致的业务中断和损失。
2、数据安全性:企业涉及大量客户隐私和商业机密数据,数据中心需要具备强大的安全防护机制,防止数据泄露和恶意攻击。
3、快速响应能力:在处理大量并发交易和查询时,数据中心应能够快速响应,提供低延迟的服务,以提升用户体验。
三、技术环境与现有系统评估(一)技术环境分析企业目前采用的技术架构包括云计算、虚拟化和传统的物理服务器。
网络架构采用了多层交换和冗余设计,但随着业务的增长,网络带宽可能会成为瓶颈。
(二)现有系统评估1、服务器性能:部分服务器已接近满负荷运行,处理能力不足,需要进行升级或扩容。
2、存储系统:存储容量接近饱和,且存储性能逐渐下降,无法满足数据快速读写的需求。
3、网络设施:网络带宽在高峰时段存在拥塞现象,影响数据传输速度和系统响应时间。
四、数据中心容量需求预测(一)计算资源需求根据业务增长趋势和应用负载模型,预计未来三年内需要新增_____台服务器,以满足计算能力的需求。
云计算中心(数据中心)施工方案
云计算中心(数据中心)施工方案云计算中心(数据中心)施工方案简介本文档旨在提供一个云计算中心(数据中心)的施工方案,确保工程顺利进行并满足相关要求。
项目概述云计算中心(数据中心)是一个关键的基础设施项目,用于存储和处理大量的数据以支持各种云计算服务。
本项目旨在建立一个现代化的数据中心,满足客户和用户对高可用性、可靠性和安全性的需求。
施工策略1. 确定合适的地点:选择一个便于施工和运营管理的地点,同时考虑供电、网络连接等基础设施的条件。
2. 设计与规划:组织团队进行详细的设计和规划,包括机房布局、电力供应、网络架构、防火墙等。
3. 施工准备:确定所需的建筑材料和设备,并与供应商合作,确保及时供货。
4. 建设和安装:按照设计和规划要求,进行机房的建设和设备的安装,确保施工质量和进度。
5. 测试和调试:完成机房施工后,进行设备的测试和调试,确保其功能和性能符合要求。
6. 系统集成和运营:将各项设备和系统进行集成,并进行相关的运营管理,以确保云计算中心的正常运行。
施工要求1. 施工安全:施工过程中必须遵守相关的安全规定和标准,确保工人和设备的安全。
2. 节约能源:在设计和施工过程中,考虑节约能源的措施,以减少对环境的影响。
3. 环境保护:施工过程中必须遵循环境保护的要求,减少噪音、尘埃等对周边环境的影响。
4. 设备可靠性:选择可靠的供应商和设备,确保设备的质量和性能达到要求。
5. 安全性防护:在设计和建设过程中,提供必要的安全性防护措施,确保数据中心的安全。
6. 合规要求:满足相关法律法规和行业标准的要求,确保数据中心的合规性。
预期效果通过该施工方案的实施,预期能够建立一个符合客户需求和行业标准的云计算中心(数据中心)。
该中心能够提供高可用性、可靠性和安全性的云计算服务,满足用户对数据存储和处理的需求。
以上是云计算中心(数据中心)的施工方案,请参考和实施相应的措施来确保项目的成功进行和顺利完成。
边界防护解决方案
边界防护解决方案一、概述边界防护解决方案是一种综合性的网络安全解决方案,旨在保护企业网络的边界,防止未经授权的访问和恶意攻击。
该解决方案采用多层次的安全措施,包括网络防火墙、入侵检测系统、虚拟专用网络等,以确保企业网络的安全性和可靠性。
二、网络防火墙网络防火墙是边界防护解决方案的核心组件之一。
它通过设置访问控制策略,过滤和监控进出企业网络的数据流量,以防止未经授权的访问和恶意攻击。
网络防火墙可以根据规则对数据包进行检查和过滤,只允许符合规则的数据通过,并阻挠不符合规则的数据。
此外,网络防火墙还可以提供虚拟专用网络(VPN)功能,以加密和隔离远程访问。
三、入侵检测系统入侵检测系统(IDS)是边界防护解决方案中的另一个重要组成部份。
它可以监控企业网络中的流量和活动,及时发现并报告潜在的入侵行为。
IDS可以根据预先定义的规则和模式对网络流量进行分析,以识别可能的攻击行为。
一旦发现异常活动,IDS会即将发出警报,并采取相应的措施,如阻挠攻击源IP地址或者关闭受攻击的服务端口。
四、虚拟专用网络虚拟专用网络(VPN)是边界防护解决方案中的另一个重要组件。
它通过加密和隧道技术,为远程用户提供安全的访问企业网络的方式。
VPN可以在公共网络上建立一个加密的通信通道,使远程用户可以通过互联网安全地访问企业内部资源。
同时,VPN还可以提供身份验证和访问控制功能,以确保惟独经过授权的用户才干访问企业网络。
五、数据备份与恢复数据备份与恢复是边界防护解决方案中的一个重要环节。
它可以匡助企业保护关键数据免受意外删除、硬件故障或者恶意攻击的影响。
数据备份可以定期将企业数据复制到备份设备或者远程服务器上,以防止数据丢失。
而数据恢复则可以在发生数据丢失或者损坏的情况下,快速恢复数据,确保业务的连续性和可靠性。
六、安全培训与意识安全培训与意识是边界防护解决方案中的一个重要环节。
它可以提高企业员工对网络安全的认识和理解,增强他们的安全意识和防范能力。
华为超融合产品介绍及配置V1.0
FusionCube Builder 自动化安装工具
vCenter PlugIn vCenter管理插件
Huawei FusionSphere 虚拟化平台
Vmware vSphere 虚拟化平台
Oracle RAC/SAP HANA/Sybase IQ/DB2
CPU
SDC
Node #N
CPU
SDS
..
SSD
..
SSD
HDD
HDD
Compute Storage
10GE RoCE/100G IB
Network
融合分布式存储与虚拟化,云化基础设施,提升资源利用率
VM
VM
VM
VM
VMware/FusionSphere
VM
VM
VM
VM
VMware/FusionSphere
FusionStorage Manager(Active)
FusionStorage Manager(Standby)
Se rver
Se rver
Se rver
Se rver
Server
Se rver
FusionStorage Agent
ZK MDC VBS
OSD … OSD
FusionStorage Agent
计算 • 虚拟化,Docker
• 时延敏感型业务
• GB-TB级数据量 • 内存、算力不大 • 模型要求小型化。 • 应用要能快速启动和
加载 • 无需多线程 • Docker
FusionCube 边缘数据基础设施
FusionCube 2000丰富的产品形态,灵活支持多种负载,满足复杂业务所需
5G边缘计算安全防护方案
5G边缘计算安全防护方案1、MEC在5G中的应用多接入边缘计算技术(MEC)是5G业务多元化的核心技术之一,采用分布式网络架构,把服务能力和应用推进到网络边缘,改变了当前网络与业务分离的状态,是5G的代表性能力。
在5G架构设计中,通过支持用户面功能(UPF)下沉部署、灵活分流等功能,实现对MEC的支持,同时MEC可将移动网络的位置服务、带宽管理等开放给上层应用,从而优化业务应用,启发新的商业模式,进一步提升网络价值。
MEC将数据缓存能力、流量转发能力与应用服务能力进行下沉,网络位置更接近用户,能够大幅降低业务时延,满足车联网、工业互联网等低时延业务需求,减少对传输网的带宽压力,降低传输成本,支持高清视频、AR/VR等高带宽业务的需求,并进一步提高内容分发效率,提升用户体验。
▲5G网络中的MEC随着5G网络即将步入商用,未来各种超高带宽类、低时延类的新兴业务将逐步涌现,因此,一方面,对5G网络中部署MEC面临的安全问题的研究需要加强;另一方面,还需要研究将MEC部署在企业园区或指定的安全区域所带来的新的安全挑战。
2、安全是MEC部署的关键要素典型的MEC承载了部分核心网功能、运营商增值业务以及垂直行业业务等,并与无线接入网络、核心网、企业网络、互联网等多个外部网络互联。
从总体上看,MEC是中心计算的延伸,既继承了中心计算的优势,也面临和中心计算相似的威胁;具体来看,由于在物理位置、网络边界、客户主体、业务类型等多方面发生了变化,导致MEC在组网架构与运营模式上与传统电信网存在较大差异,因此在安全性方面也面临新的挑战。
▲MEC架构(1)网络架构由于MEC节点靠近网络的边缘,外部环境可信度降低,管理控制能力减弱,使得MEC平台和MEC应用处于相对不安全的物理环境,更容易遭受非授权访问、敏感数据泄露、(D)DoS攻击、设备物理攻击等威胁。
另外,运营商网络功能与不可信任的第三方应用共平台部署,进一步导致网络边界模糊、虚拟机逃逸、镜像篡改、数据窃取与篡改等诸多安全问题,使得内部威胁滋生蔓延的风险加大,增大了运营商资产和行业资产的风险。
边界防护解决方案
边界防护解决方案一、背景介绍在当前信息时代,网络攻击和数据泄露的风险日益增加,企业和组织面临着越来越严峻的网络安全挑战。
边界防护解决方案是一种综合性的网络安全措施,旨在保护企业的网络边界免受恶意攻击和未经授权的访问。
本文将详细介绍边界防护解决方案的定义、功能、实施步骤和效益。
二、边界防护解决方案的定义边界防护解决方案是指通过硬件设备、软件系统和网络配置等手段,保护企业网络边界免受恶意攻击、未经授权的访问和数据泄露的综合性网络安全措施。
它主要包括防火墙、入侵检测与谨防系统(IDS/IPS)、虚拟专用网络(VPN)和网络访问控制(NAC)等组成部份。
三、边界防护解决方案的功能1. 防火墙:防火墙是边界防护解决方案的核心组成部份,它通过对网络流量进行检测和过滤,阻挠未经授权的访问和恶意攻击。
防火墙可以根据预先设定的安全策略,对进出企业网络的数据包进行过滤和验证,确保惟独合法的数据包能够通过。
2. 入侵检测与谨防系统(IDS/IPS):IDS/IPS系统可以监测和识别网络中的恶意行为和攻击,及时发出警报并采取相应的谨防措施。
它可以检测到各种类型的攻击,如端口扫描、拒绝服务攻击和恶意代码等,并通过阻断攻击流量或者修复漏洞来保护企业网络的安全。
3. 虚拟专用网络(VPN):VPN技术可以通过加密和隧道技术,将远程用户和分支机构连接到企业网络,实现安全的远程访问。
VPN可以保护数据在传输过程中的安全性和完整性,防止数据被窃取或者篡改。
4. 网络访问控制(NAC):NAC技术可以对企业网络中的用户和终端设备进行身份验证和授权,确保惟独合法的用户和设备能够访问企业网络。
NAC可以识别和隔离未经授权的设备,并对不符合安全策略的设备进行限制或者阻断。
四、边界防护解决方案的实施步骤1. 需求分析:根据企业的网络规模、业务需求和安全风险评估,确定边界防护解决方案的具体需求和功能。
2. 设备选型:根据需求分析的结果,选择适合企业的防火墙、IDS/IPS、VPN和NAC等设备,并确保设备具有高性能、可靠性和易管理性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
云数据中心边界安全解决方案
-安全网关产品推广中心马腾辉
数据中心的“云化”
数据中心,作为信息时代的重要产物之一,先后经历了大集中、虚拟化以及云计算三个历史发展阶段。
在初期的大集中阶段中,数据中心实现了将以往分散的IT资源进行物理层面的集中与整合,同时,也拥有了较强的容灾机制;而随着业务的快速扩张,使我们在软、硬件方面投入的成本不断增加,但实际的资源使用率却很低下,而且灵活性不足,于是便通过虚拟化技术来解决成本、使用率以及灵活性等等问题,便又很快发展到了虚拟化阶段。
然而,虚拟化虽然解决了上述问题,但对于一个处于高速发展的企业来讲,仍然需要不断地进行软、硬件的升级与更新,另外,持续增加的业务总会使现有资源在一定时期内的扩展性受到限制。
因此,采用具有弹性扩展、按需服务的云计算模式已经成为当下的热点需求,而在这个过程中,数据中心的“云化”也自然成为发展的必然!
传统边界防护的“困局”
云计算的相关技术特点及其应用模式正在使网络边界变得模糊,这使云数据中心对于边界安全防护的需求和以往的应用场景相比也会有所不同。
在云计算环境下,如何为“云端接入”、“应用防护”、“虚拟环境”以及“全网管控”分别提供完善、可靠的解决方案,是我们需要面对的现实问题。
因此,对于解决云数据中心的边界安全问题,传统网关技术早已束手无策,而此时更需要依靠下一代网关相关技术来提供一套体系化的边界安全解决方案!
天融信云数据中心边界安全防护解决方案
面对上述问题,天融信解决方案如下:
➢通过TopConnect虚拟化接入与TopVPN智能集群相结合,实现“云端接入”安全需求;
➢通过在物理边界部署一系列物理网关来对各种非法访问、攻击、病毒等等安全威胁进行深度检测与防御,同时,利用网关虚拟化技术还可以为不同租户提供虚拟网关
租用服务,实现“应用防护”安全需求;
➢通过TopVSP虚拟化安全平台,为虚拟机之间的安全防护与虚拟化平台自身安全提供相应解决方案,实现“虚拟环境”安全需求;
➢通过TopPolicy智能化管理平台来将全网的网络及安全设备进行有效整合,提供智能化的安全管控机制,实现“全网管控”安全需求;
技术特点
●虚拟化
✧网关虚拟化:
天融信网关虚拟化技术提供了物理网关“一虚多”的虚拟化安全防护解决方案。
在数据中心多租户的需求背景下,网关虚拟化能够使部署在物理边界的网关设备为不同租户提供虚拟网关租用服务,使不同租户流量在同一物理设备上实现流量逻辑隔离。
功能方面,网关虚拟化实现了从网络层到应用层的全功能虚拟化特性,并为租户提供了基于虚拟系统的自定义安全服务解决方案,从而使策略部署变得更加灵活,而权限与责任的界定也更加清晰!
虚拟机安全防护(TopVSP):
面对数据中心虚拟计算环境,传统物理网关已无用武之地,而将虚拟机流量牵引至物理网关的解决方案又面临严重的效率问题,仅仅只是过度方案。
因此,在该需求背景下,天融信TopVSP通过与各类虚拟化平台的完美整合,利用虚拟化安全网关(vGate)、
租户系统安全代理(TD)以及虚拟化平台接入引擎(TAE)三大系统组件,为虚拟计算环境提供了一套全方位的安全防护解决方案。
其中,“虚拟化安全网关(vGate)”是将天融信自主安全操作系统TOS以虚拟机的形式运行在虚拟化平台上,用于实现外部到虚拟机以及虚拟机之间的虚拟边界安全防护。
租户系统安全代理(TD)则是安装在各租户操作系统(即虚拟机)上的安全代理服务,用于对租户系统进行信息收集以及进行相关安全检查等工作。
而虚拟化平台接入引擎(TAE)在实现了将数据流重定向到vGate的同时,还实现了对虚拟化平台自身的安全加固与权限控制。
因此,TopVSP实际上不仅实现了虚拟机之间的安全防护,还为虚拟化平台自身以及租户系统提供了相关的安全解决方案。
另外,TopVSP能够实时感知虚拟机产生的热迁移动作,并在第一时间完成与TopPolicy智能化管理平台的指令交互,将策略动态下发至迁移后的目标vGate,从而实现安全策略的动态同步迁移。
✧远程接入虚拟化(TopConnect):
TopConnect为终端到云端的接入提供了一套基于虚拟化技术的远程接入解决方案。
其通过VPN智能集群与内部桌面资源服务器相结合,为远程终端提供虚拟桌面和虚拟应用发布功能,使终端本地在无须运行任何业务系统客户端程序的基础上,完成与服务端的业务交互,实现了终端与业务分离的“无痕访问”需求,从而有效避免了数据泄露的风险隐患。
●深度防御
✧一体化智能过滤引擎:
相比一般应用场景,数据中心拥有规模庞大的业务应用系统,在将应用层防护作为基本需求的基础上,更加强调深度检测的高效性,而实现这一切往往需要检测引擎的良好支撑。
天融信全系网关产品均采用一体化智能过滤引擎,其能够在一次拆包过程中,对数据进行并行深度检测,从而保证了协议深度检测的高效性。
另外,一体化智能过滤引擎基于八元组高级访问控制设计,除传统的五元组控制以外,实现了用户身份信息、应用程序指纹及内容特征的识别与控制,从而为计算资源池内众多业务应用系统提供了更加高效与细粒度的威胁检测与防护解决方案。
✧双引擎病毒检测:
在病毒防护解决方案中,针对数据中心复杂的应用场景与大容量的数据处理这一特点,天融信网关系列产品采用了双引擎设计以实现病毒检测的高效与精准兼顾。
双引擎杀毒同时支持快速(流)扫描与深度(文件)扫描两种检测引擎,可根据被检测应用层协议与应用场景选择不同的病毒检测引擎,从而在数据中心高性能的网络环境下仍然可以确保达到较高的病毒检测率。
●高性能
✧高性能系统平台:
天融信全系网关产品基于完全自主研发的TOS(Topsec Operating System)安全操作系统平台。
因此,作为数据中心高性能边界防护解决方案的核心,TOS以多核硬件平台为基础,采用系统分层与引擎分组的设计思想,在确保高可靠性的基础上实现了高性能的设计目标。
其中,在硬件抽象层通过引入多种加速技术,实现了对CPU多核心之间合理的任务调度,同时,通过将各个安全引擎组与多核CPU的完美整合,使TOS在系统层面实现了全功能多核并行处理。
数据层高速处理技术(TopTURBO):
TopTURBO是天融信在TOS安全操作系统上为中小型数据中心设计并开发的多核高性能数据处理技术,并被应用于天融信NGFW®下一代防火墙猎豹与千兆多核系列产品。
TopTURBO以INTEL SNB多核硬件平台为基础,在TOS安全操作系统的配合下,实现了从网络层到应用层的全功能多核并行流处理,并能够获得80Gbps的网络吞吐以及大于20Gbps的攻击检测性能。
✧并行多级架构:
并行多级架构是面向大型数据中心网络环境的分布式机架高性能解决方案,被应用于天融信NGFW®下一代防火墙擎天系列产品。
擎天采用NSE(网络服务引擎)与SE(安全引擎)分离的引擎部署模式,NSE完成L2/L3转发并对整机各模块进行管理与监控,而SE负责将数据流进行网络层安全处理与应用层安全处理。
其中,SE内置TopASIC专用加速芯片,能够有效提升单板吞吐性能与降低转发延时。
NSE、SE与用户接口卡之间通过高速背板进行互连,可通过部署多安全引擎与多网络服务引擎来实现整机流量的分布式并行处理与故障热切换特性,最高可扩展至240Gbps的网络吞吐性能使其完全能够满足大型数据中心的高性能安全处理需求。
●高可靠
✧多层级冗余化设计:
数据中心网络环境对高可靠性的要求近乎于苛刻,这使部署在数据中心的网关产品自身需要提供一套完善的高可用解决方案。
针对这一需求,天融信网关系列产品均采用了多层级冗余化设计。
在设计中,通过板卡冗余、模块冗余以及链路冗余来构建最底层的物理级冗余;使用双操作系统来提供系统级冗余;而采用多机冗余及负载均衡进行设备部署实现了方案级冗余。
由物理级、系统级与方案级冗余共同构成了多层级冗余化体系,从而最大程度上确保数据中心的业务连续性。
●智能化管控
✧云管控:
云管控以TopPolicy智能化管理平台为核心,从全网管控、决策辅助与智能策略部署三个方面实现了基于云的管控机制。
其中,全网管控提供了对数据中心各类网络设备
与安全设备的统一管理与监控,同时,还实现了对物理网关与虚拟网关的“虚/实”一体化管控;决策辅助则通过对收集到的各类事件信息进行统计分析以及深入的数据挖掘,最终以丰富的图形化展示方式为我们提供决策支持;在智能策略部署中,根据决策辅助过程的输出结果能够自动生成并下发安全策略到相应的网关设备。
另外,通过TopPolicy与TopVSP的联动机制,能够实时感知虚拟机产生的热迁移动作,从而实现安全策略的同步迁移。
APT“狙击”:
APT攻击从情报搜集到完成攻击,整个过程往往比较复杂,而且可能会持续几天、几个月,甚至更长的时间。
因此,很难通过某一种安全检测机制阻止一次攻击就让问题完全消失。
针对APT这一特点,天融信网关系列产品通过专业的攻击规则库、应用识别库、病毒库以及URL过滤库,在APT攻击的每个环节去获取攻击印记,并通过TopPolicy对匹配各类规则库所产生的事件进行综合关联分析,将零散的攻击印记还原为完整行踪。
最终,针对APT完整的攻击过程生成安全策略组,动态下发到与攻击过程相关的物理网关与虚拟网关设备,从而使安全威胁得到准。