深信服云安全资源池培训课件
合集下载
深信服产品培训PPT
国家密码管理局三证
• 商用密码产品定点生产 单位
• 商用密码产品型号证书 SJJ1007
• 商用密码销售许可证
SSL VPN技术引领者
• 2005年推出全球第一款 SSL /IPSec 二合一VPN, 并逐渐成为行业标配
• 业内专利数量居首,以 客户需求为导向,追求 产品高品质
28
众多高端客户的一致选择
安全:上网行为管理AC
41.4%
44.5%
IDC:2012年
IDC:2013年
06年,深信服定义了上网行为管理的类别 09—11年连续三年上网行为管理市场第一 11年,推出第二代上网行为管理
安全:上网行为管理AC
上网行为管理
员工 上网
员工效率管理
无关活动影响工作效率
应用带宽管理
无关应用影响网络带宽
泉州产品经理 曾庆丰
公司情况介绍
公司总人数 2,000人
2014年2月
2
公司情况介绍
分支机构 49个
3
公司情况介绍
客户总数 21,000家
60家
4
公司情况介绍
高增长
50%以上增长率
2008
5
深信服产品
安全产品 优化产品
下一代防火墙
上网行为管理
应用交付
广域网优化
SSL VPN 应用性能管理
企业级无线
连续五年市场占有率第一
深信服SSL VPN市场份额超过40% 终端并发接入授权数量超过200万
39.2%
36.4%
40.3%
2010
2011
2012
Source: Frost & Sullivan
安全:SSL VPN远程接入
(完整版)深信服桌面云PPT_
深信服桌面云解决方案整体架构
云终端
STD-100
用
户
端
STD-200H
STD-500
云桌面接入控制系统平台(VDC)
硬件VDC
软件VDC
独享桌面/共享桌面/ 虚拟应用
数 据 中 心
云 平 台
端
硬 件
服务器/存储虚拟化系统平台
aSV For aDesk
aSAN For aDesk
桌面云一体机
统一管理平台 用户管理 桌面管理 策略管理 资源管理 硬件管理
云灾备:容灾备份,确保桌面业务连续性
桌面云
正常桌面服务器
桌面资源池
桌面云
故障桌面服务器
桌面云
正常桌面服务器
• 业务价值 :
1. 服务器、云平台、虚拟机多 维度HA保障及数据备份。
2. 传统PC故障恢复2小时,云 桌面只需5分钟。
3. 降低业务中断时间,提升整 体运营效率。
云办公:随身桌面,实现工作自由与高效
随意存储 办公敏感数据
接入终端无安全管控措施
运维排障效率低、成本高
• 新桌面上线周期2-3小时/台 • 系统多、版本多,运维更繁杂 • 软硬件故障多,现场维护、支持成本高
难以满足移动业务需求
办公人员的工作桌面无法在各种端点设备之间无缝切换 在办公室、出差、家里等地难以实现远程办公,效率低下
02 Part Two 概念-什么是桌面云(What)
交换机
Cluster(集群)
存储虚拟化 服务器虚拟化
端口汇聚
• 主机层
1. 服务器集群HA设计 2. 虚拟机动态迁移技术
• 存储层
1. 分布式虚拟存储技术 2. 多副本高可靠恢复能力
深信服桌面云PPT_
多重身份认证系统 端到端云防护设计 云安全杀毒方案
卓越
体验
云终端GPU加速引擎,效率更高
• 视频重定向,更流畅、更高并发 • 专用GPU芯片视频解码加速
• 图形硬件加速,提升体验(缩放、拖动等) • 平面设计类软件智能感知优化
卓越
体验
媲美PC体验的桌面协议SRAP
高效流压缩 智能数据缓存 动态图像优化
颠覆传统 重塑桌面新形态
深信服桌面云(aDesk)解决方案
目 录
Contents
01 痛点-为什么要颠覆传统(Why)
02 概念-什么是桌面云(What)
03 标准-如何选择桌面云(How)
04 方案-深信服桌面云架构及产品理念
05 场景-在哪里上桌面云(Where)
06 案例-谁上了桌面云(Who)
多年积累、深度优化、最佳体验
不同业务场景, 应用、外设、体验都和PC一致
卓越
体验 同于PC的兼容性、优于PC的管理性
虚拟摄像头技术
流量压缩比超10倍,支持摄像 头、高拍仪等大流量外设。
外设管控策略
U盘、打印机等。
USB总线映射技术
支持打印机、读卡器 等千种办公外设。
U-key底层直通技术
全面支持政府、网银等Ukey设备。
运营商营业厅
U-KEY
高拍仪
摄像头 POS机
打印机
场景四
信息防泄密
软件开发
涉密网/非涉密网
外包人员
核心数据集中存储 终端无数据
安全高效交付桌面 U盘、外设等管控
场景五
多网隔离
机关内网桌面云
政务专网桌面云
逻辑隔离
网络切换器
物理隔离
深信服培训讲义共73页文档
3、客户网络中原有防火墙或者路由器了,出于某方面的原因想用AC替 换掉原有出口的防火墙或者路由器。
典型部署模式与配置
WAN:拨号\固定IP\DHCP IP:192.168.1.1/24 IP:192.168.1.2/24
三层交换机
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
典型部署模式与配置
➢ 网桥模式配置思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口 (DMZ)进行管理。
典型部署模式与配置
➢ 网桥模式配置截图
二、用户认证技术
SANGFOR AC培训大纲
一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统
一、设备部署模式
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署 模式对客户原有网络的影响各有不同。
典型部署模式与配置
路由器(FW)
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24
IP:192.168.1.2/24
三层交换机
路由器(FW) AC 三层交换机
路由器(FW)
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
SANGFOR AC部署模式介绍
典型部署模式与配置
WAN:拨号\固定IP\DHCP IP:192.168.1.1/24 IP:192.168.1.2/24
三层交换机
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
典型部署模式与配置
➢ 网桥模式配置思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口 (DMZ)进行管理。
典型部署模式与配置
➢ 网桥模式配置截图
二、用户认证技术
SANGFOR AC培训大纲
一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统
一、设备部署模式
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署 模式对客户原有网络的影响各有不同。
典型部署模式与配置
路由器(FW)
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24
IP:192.168.1.2/24
三层交换机
路由器(FW) AC 三层交换机
路由器(FW)
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
SANGFOR AC部署模式介绍
深信服云安全资源池培训_0621
租赁服务式 (PPP式)
主管部门像运营商(3大运营商、太极等大型集成商)租赁云服务, 主管方关心技术实现,运营方在选择产品方案端有较强的话语权。
2019/12/15
预算式涉及的几种角色
主管方 租户 集成商
目标对象:信息中心、电子政务办、经信委、发改委。 初次建设,会采购大量的硬件安全设备,更关注自身平台合规。 监管机构,负责租户上云政策的发布,上云节奏的掌控,把握预算 口子。
历史版本路径
CSSP 1.0版本: 1. 基于超融合,以NFV
方式实现。 2. 市场验证、需求验证
为主
CSSP 2.0版本: 1. 手动部署,工作量巨
大 2. 缺少运营方(主管方
)、租户自管理界面 3. 属于方案、市场验证
阶段 4. 收割样板点
CSSP 3.0版本: 1. 自动化部署 2. 新增租户与平台运营
目标对象:上云的局委办单位。 政务云的直接使用对象。
目标对象:当地强势,关系型集成商。 负责本地政务云的项目集成。
2019/12/15
预算式各方关注点
主管方视角
• 安全责任怎么划分。 • 怎么促进租户安全上云。 • 其他地方经验,及怎么合规。 • 是否有案例,效果怎样。
2019/12/15
沟通要点
• 汇报政务云中安全建设经验和安全资源池方案。 • 帮助用户理清安全权责。 • 通过安全资源池方案加速租户安全上云进度。
主管方沟通思路
关键词:权责、合规、有案例、能上云
痛点:
1、痛过:如果当地曾经出过安全事故,可以适当引用(慎用) 2、抓住关注点,引起兴趣: a. 租户上云数量、上云业务类型(核心系统还是网站),背后对应的是租户对云平台安
方界面 3. 组件高可用性调整及
安全资源池PPT
安全资源池
在云数据中心部署、网络打通
策略路由
租户A 安全服务 Web安全 增强包
基础防御包
安全接入包
租户B 安全服务
云端监测包
租户C 安全服务
安全运营包
失陷主机 发现包
云端监测包
基础防御包
Web安全 增强包
计算资源 存储资源
租户A
计算资源 存储资源
租户B
云平台
计算资源 存储资源
租户C
基于超融合技术,提供安全服务。
基础防御 包
高级防御 包
云端监测 包
租户B的业务是面向公众的,系统架构为B/S架构,公众通过域名访问。为了避免系统被恶意扫描、入 侵、篡改,系统出现问题,可以及时发现,所以建议用户使用使用“基础防御包”“高级防御包”“ 云端检测包”。 另外,为了保证系统的可用性,提升服务器、业务系统的使用效率,可以建议用户选择增值服务包中 2020/3/22 的“负载均衡”
安全资源服务交付流程——发起请求
租户安全服 务需求发起
基础防御 包
高级防御 包
按组件、按需分配 安全服务
平台运营方
安全组件基 本信息配置
个性化安全 策略配置
日常安全事 件运营
租户
2020/3/22
安全运营服务
安全资源服务交付流程——定义安全服务
安全服务定义
场景定义
交付功能定义
2020/3/22
安全资源服务交付流程——分配安全服务
。
03
可运营
① 安全需求随租户迁移线性增长。 ② 运营方要求前期投入低,零库存。 ③ 支持合作运营,保障持续业务增值。
服务化交付
02
功能丰富
01
深信服企业级云产品技术交流PPT
除了主机节点故障之外,虚拟机Guest系统出现应用层不调度(蓝屏、 黑屏)也是常见的业务中断问题,若是集群没有侦测应用层可用性并 主动重启的机制,则需要管理员主动重启业务,不仅业务中断的时间 不可控,还增加了管理员的运维工作量。
✓ 主机根据虚拟机发出的心跳、磁盘IO、网络流量状态,判断虚拟机的Guest系统是否无响应了, 持续数分钟后,可认为该虚拟机发生了黑屏或者蓝屏,将该虚拟机执行HA操作,关机并重启。
aSV的特色技术-DRX动态资源扩展
APPAPP
WinSeWrvineSr erver Linux Linux
单虚拟机硬件资源 无法满足业务需求
aSV服务器虚拟化
vAD
阈值:80%
阈值:85%
905%0% 87%30%
CPU RAM
DRX 动态资源扩展
单虚拟机内部的动态资源扩展可实现单虚拟机的资源动态的自动添加 集群的动态资源扩展,可以结合深信服的vAD方案,实现基于业务负载感知的多虚拟机扩展
aSV的特色技术-虚拟机的备份及恢复
提供按周、按天、按小时的自动 备份周期,根据实际业务需求灵 活配置。
提供自动清理备份功能,最大限 度节省备份存储空间。
aSV-NUMA调度技术
NUMA调度实现
• 智能绑定虚拟机对应的物理CPU及内存 • 虚拟机迁移,自动实现绑定 • 优化的调度算法保持性能最佳
超融合一体机 – 构建企业云最小物理单元
计算 存储 网络 安全 管理
计算虚拟化aSV 云管平台aCMP 存储虚拟化aSAN 网络虚拟化aNet 安全虚拟化aSEC
✓ 架构完整
超融合一体机
✓ 架构安全
✓ 运维便捷
✓ 敏捷交付
企业级云管平台aCMP
✓ 主机根据虚拟机发出的心跳、磁盘IO、网络流量状态,判断虚拟机的Guest系统是否无响应了, 持续数分钟后,可认为该虚拟机发生了黑屏或者蓝屏,将该虚拟机执行HA操作,关机并重启。
aSV的特色技术-DRX动态资源扩展
APPAPP
WinSeWrvineSr erver Linux Linux
单虚拟机硬件资源 无法满足业务需求
aSV服务器虚拟化
vAD
阈值:80%
阈值:85%
905%0% 87%30%
CPU RAM
DRX 动态资源扩展
单虚拟机内部的动态资源扩展可实现单虚拟机的资源动态的自动添加 集群的动态资源扩展,可以结合深信服的vAD方案,实现基于业务负载感知的多虚拟机扩展
aSV的特色技术-虚拟机的备份及恢复
提供按周、按天、按小时的自动 备份周期,根据实际业务需求灵 活配置。
提供自动清理备份功能,最大限 度节省备份存储空间。
aSV-NUMA调度技术
NUMA调度实现
• 智能绑定虚拟机对应的物理CPU及内存 • 虚拟机迁移,自动实现绑定 • 优化的调度算法保持性能最佳
超融合一体机 – 构建企业云最小物理单元
计算 存储 网络 安全 管理
计算虚拟化aSV 云管平台aCMP 存储虚拟化aSAN 网络虚拟化aNet 安全虚拟化aSEC
✓ 架构完整
超融合一体机
✓ 架构安全
✓ 运维便捷
✓ 敏捷交付
企业级云管平台aCMP
深信服云安全资源池解决方案PPT课件
01
紧耦合方案: • 平台自带安全组件 • 安全镜像方案
部分解耦合: • 硬件一虚多
02
完全解耦合: • DNS引流方案 • 虚拟机引流方
案
03
2020/5/15
.
9
硬件一虚多方案
应用背景
租户A购买的套餐需要提供防火墙 、IPS和负载功能,保证处理能力 的10%
租户B购买的套餐需要提供防火墙 、LB功能,保证处理能力5%
安SS全L接VP入N包
IP基S础EC防V御PN包
安全接安入全包接入 包
租户
深信服超融合平台
2020/5/15
.
16
云安全资源池底层架构—软件定义的超融合平台
高级防 御包
基础防 御包
失陷主机发 现包
高级防 御包
安全接 入包
失陷主机发 现包
网络虚拟化
安全接 入包
基础防 御包
超融合平台
.
高级防
御包
安全实力
提供web防护、网页防篡改、敏感信息防泄密安全组 件、堡垒机、数据库审计
基础防 御包
提供应用控制、防病毒网关、IPS功能
2020/5/15
安全接 提供IPSEC VPN、SSL VPN、安卓/IOS/windows安全
入包
接入SDK等多种安. 全接入组件
18
深信服云安全服务
依托于深信服企业级公有云平台(xyclouds)提供安全增值服 务,服务交付方式为轻量级交付,具体为: 1. 修改DNS CNAME记录,使用户流量经过云平台清洗后返
省安全组
省级管理平台 ECS
XX RDS
负 载 均 衡 镜 像
政务外网
2020/5/15
紧耦合方案: • 平台自带安全组件 • 安全镜像方案
部分解耦合: • 硬件一虚多
02
完全解耦合: • DNS引流方案 • 虚拟机引流方
案
03
2020/5/15
.
9
硬件一虚多方案
应用背景
租户A购买的套餐需要提供防火墙 、IPS和负载功能,保证处理能力 的10%
租户B购买的套餐需要提供防火墙 、LB功能,保证处理能力5%
安SS全L接VP入N包
IP基S础EC防V御PN包
安全接安入全包接入 包
租户
深信服超融合平台
2020/5/15
.
16
云安全资源池底层架构—软件定义的超融合平台
高级防 御包
基础防 御包
失陷主机发 现包
高级防 御包
安全接 入包
失陷主机发 现包
网络虚拟化
安全接 入包
基础防 御包
超融合平台
.
高级防
御包
安全实力
提供web防护、网页防篡改、敏感信息防泄密安全组 件、堡垒机、数据库审计
基础防 御包
提供应用控制、防病毒网关、IPS功能
2020/5/15
安全接 提供IPSEC VPN、SSL VPN、安卓/IOS/windows安全
入包
接入SDK等多种安. 全接入组件
18
深信服云安全服务
依托于深信服企业级公有云平台(xyclouds)提供安全增值服 务,服务交付方式为轻量级交付,具体为: 1. 修改DNS CNAME记录,使用户流量经过云平台清洗后返
省安全组
省级管理平台 ECS
XX RDS
负 载 均 衡 镜 像
政务外网
2020/5/15
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
南京聚铭网络日志审计
建恒日志审计 杭州美创数据库加密产品
思福迪堡垒机
原则:整合、补强
合规要求 丰富功能
听云私有云版本 ……
2019/10/2
云内安全能力-云内安全检测平台
云内安全检测平台(EDR的同门师兄)本次培训不过多讲解,后续单独为云内安全解决方案重点培训。
目前实现的功能: • 入侵检测响应-暴力破解检测 • WEB安全检测-WebShell的持续检测 • 僵尸网络检测-实时活跃恶意行为检测 • 微隔离-东西向流量访问控制
方界面 3. 组件高可用性调整及
优化 4. 统一配置入口 5. 服务商界面 6. …
2019/10/2
安全资源池(CSSP) 3.0版本改进
Cssp 2.0版本: 1. 手动部署,工作量巨大 2. 缺少运营方(主管方)、租户自管理界面 3. 属于方案、市场验证阶段
Cssp 3.0版本: 1. 自动化部署,工作量减少 2. 补齐运营方(主管方)、租户自管理界面 3. 新增云端监测服务包,可提供针对租户Web业务的安全监测服务 4. 平台高可用机制支持租户安全服务组件自动资源平衡和跨主机资源自调整
2019/10/2
云内安全界面
首页
2019/10/2
打造可视可控的内部安全
二、应用场景及项目操作方法
主要场景
政务云
IDC、政企云
专有云、私有云
2019/10/2
政务云2种建设模式
预算式
电子政务办、经信委、发改委统一建设,租户“免费”使用,财 政统一结算。 主管单位非常强势,局委办单位会选择部分业务系统上云。
租赁服务式 (PPP式)
主管部门像运营商(3大运营商、太极等大型集成商)租赁云服务, 主管方关心技术实现,运营方在选择产品方案端有较强的话语权。
2019/10/2
预算式涉及的几种角色
主管方 租户 集成商
目标对象:信息中心、电子政务办、经信委、发改委。 初次建设,会采购大量的硬件安全设备,更关注自身平台合规。 监管机构,负责租户上云政策的发布,上云节奏的掌控,把握预算 口子。
安全 防御
网站安全高级包
提供web防护、网页防篡改、敏感信息防泄密安全组件、应用控 制、防病毒网关、IPS、僵尸网络、实时漏洞分析
失陷主机包
主机僵尸网络、实时漏洞分析
云端检测包 应用交付包
提供业务可用性检测、资产暴露面、云端漏洞监测安全组件 4-7层应用负载、入的第三方组件
抢预算 顾名思义,从其他安全设备预算中抢 过来。
2019/10/2
新增预算 要有一个新的、刚性的理由能够新增 预算。如与主管方引导租户侧安全需 求与租户侧合规需求。
如何解决:
1、合规背书:等保2.0,更强调了租户和平台方的安全责任。 2、抛方案:引出我司安全资源池方案,面向租户的产品 3、明确与硬件安全的关系:资源池和平台硬件安全不冲突并且云平台解耦
我司方案和案 例
保证效果
2019/10/2
1、详细介绍:为租户提供个性化安全服务,并满足合规, 功能、优势 、价值 2、定心丸:北京、温州案例
深信服云安全资源池培训
培训大纲
2019/10/2
1 安全资源池历史版本介绍 2 项目操作方法及商务模式 3 竞争分析 4 报价与销售工具 5 标准化测试流程 6 FAQ
一、安全资源池历史版本介绍
整体拓扑架构示意图
云安全方案:安全资源池+EDR+生态
出口设备 平台层安全设备
核心 接入
VM EDR
2019/10/2
6
安全资源池(CSSP) 3.0版本
强迫症患者的福音
2019/10/2
云安全资源池交付流程
租户侧界面
2019/10/2
界面重点
1. 业务列表 2. 服务追踪 3. 统一运维入口 4. 专属服务商
云安全资源池组件(自有)
安全 接入
安全 审计
分支接入包 移动接入包 数据库审计包
历史版本路径
CSSP 1.0版本: 1. 基于超融合,以NFV
方式实现。 2. 市场验证、需求验证
为主
CSSP 2.0版本: 1. 手动部署,工作量巨
大 2. 缺少运营方(主管方
)、租户自管理界面 3. 属于方案、市场验证
阶段 4. 收割样板点
CSSP 3.0版本: 1. 自动化部署 2. 新增租户与平台运营
主管方沟通思路
关键词:权责、合规、有案例、能上云
痛点:
1、痛过:如果当地曾经出过安全事故,可以适当引用(慎用) 2、抓住关注点,引起兴趣: a. 租户上云数量、上云业务类型(核心系统还是网站),背后对应的是租户对云平台安
全能力的担忧 b. 业内对安全责任划分的案例,引出公有云aws、阿里云责任共担模型
分支IPCEC组网 SSL VPN、安卓/IOS/windows安全接入SDK等多种安全接入组
件
针对SQL、MySQL、DB2、Oracle数据库审计
运维审计包
运维人员操作网络设备、数据库、服务器监控与审计
基础防护包
提供应用控制、防病毒网关、IPS功能
网站安全基础包
提供web防护、网页防篡改、敏感信息防泄密安全组件、应用控 制、防病毒网关、IPS功能
IDC 出口
引流口
引流口
引流交换机
VM EDR VM EDR
安全资源池
移动接入包 网站安全基础 网站安全高级包 分支接入包 失陷主机发现 Web增强包
南北向安全能力
东西向隔离 密码暴力破解 Webshell检测
东西向安全能力
安全审计
数据安全
应用安全
安全生态能力
云环境
安全资源池私网交换机(存 储私网、vxlan)
1、达成测试或主动介绍政务云的背后运维方具体沟通 2、测试后争取看今年是否有安全预算或剩余预算可以采购部分安全资源池服务器、软件, 小范围使用。或测试后引导明年的预算。 安全资源池属于一旦流量引过来,产生具体效果,主管方就不想切换回去的产品。
钱从哪里来
预算式场景,钱肯定从去年的预算里来。 “没预算咋办?” “新增预算”、“抢预算”
目标对象:上云的局委办单位。 政务云的直接使用对象。
目标对象:当地强势,关系型集成商。 负责本地政务云的项目集成。
2019/10/2
预算式各方关注点
主管方视角
• 安全责任怎么划分。 • 怎么促进租户安全上云。 • 其他地方经验,及怎么合规。 • 是否有案例,效果怎样。
2019/10/2
沟通要点
• 汇报政务云中安全建设经验和安全资源池方案。 • 帮助用户理清安全权责。 • 通过安全资源池方案加速租户安全上云进度。