华为公有云数据中心安全解决方案主打胶片 V1.0 20141104
华为3Com SecEngine 系列IDS产品主打胶片
• 与上层应用紧密结合
全面的异常流量的检测能力
• 检测主机扫描和端口扫描 • Anti-DoS/DDoS功能 • 支持QoS,对于异常的流量可以报警并进行流量整形。
管理控制台
服务器
报警
0110100101010101 1010101001110100 0010100100010001 大量数据 扫描报文 SecEngine P200 0110100101110101 正常流量
虚地址
SecEngine P200
Switch
SecEngine P200
同步连接
主备
Switch
主备
虚地址
支持基于区域的安全策略
市场部
可将各个端口划分 到不同的区域中
财务部 区域1 SecEngine P500
不同的区域实施不 同的安全策略(应 用不同的规则)
研发部
测试中心 区域2
全面的动态联动能力
简单方便的特征库升级模式
管理中心
SecEngine D/P系列
华为网站
• 支持两种升级特征库的方式
内部网络
– 自动升级 – 手动升级
• 升级地点可以配置
支持多种日志格式与多种实时报警
• 两种日志格式
– syslog文本日志 – 二进制日志
• 丰富的日志内容
– – – – 攻击事件日志 系统运行日志 操作日志 NAT日志
完备的攻击特征数据库
• 开放的攻击特征数据库
–任何人员都可以查看该攻击特征数据库 –设备产生的攻击事件都可以自动关联到华为网站漏 洞数据库获得该攻击的详细描述 –用户发现的漏洞可以及时补充到网站漏洞数据库
• 详细而完整的中英文漏洞数据数据库
华为服务器主打胶片_图文
1 客户挑战和发展趋势 2 华为服务器解决方案 3 创新增加客户价值 4 市场进展和全球案例
转型呼唤IT重构
完善开放平台
匹配云、大数据等新技术
降低TCO
传统IOE架构TCO高企
简化架构
提升管理和维护效率
应用加速
采用闪存技术、分布式架构
“云计算、大数据、移动、社 交等新技术和应用需要开放、 分布式,可灵活扩展的架构”
ES3500P/ES3600P V3
刀片 服务器
机架 服务器
FusionServer
NVMe SSD卡
E9000
4P
2 x 2P
12U 8/16/32节点
CH242 V3
CH140 V3
CH226 V3
2P
CH222 V3
CH220 V3
CH121 V3
高密度 服务器
X6800
4U 4/8节点
8U 8P
Latency
SATA HDD >100ms
SAS HDD >10ms
SATA SSD >100µs
SATA HDD SAS HDD
SATA SSD
PCIe SSD
PCIe SSD >10µs
DRAM >10ns
Memory
SRAM ns
CPU <50MB <32GB传统小机的 OPEX居高不下,去IOE是企业 IT重构的必经之路”
“计算、存储、网络融合的架 构能实现快速部署和一体化管 理,提高IT维护人员效率”
“I/O成为瓶颈, 闪存技术和分 布式架构是消除I/O瓶颈的有效 手段”
从封闭到开放架构
客户支持服务产品主打胶片
现场服务 L1支持 L2支持 L3支持
客户
Hotline
TAC一线
TAC二线
TAC实验室
研发
9
研发实验室
现场服务工程师
现场支持 —华为客户支持服务内容
华为企业业务现场支持服务包括现场硬件更换、现场问题处理两项服务内容。
现场硬件更换
如果华为确定为硬件故障,工程师将在合同约定的时间到达故障现场,进行 现场硬件更换,使其正常运行,并提取更换下来的故障件。
丏项 支持 能力
• 事件值守服务 • 介质保留
注:其中专项支持服务属亍上述Hi-Care客户支持服持服务内容
华为企业业务远程支持服务包括Help Desk、远程问题处理、在线技术支持三项服务内容。
Help Desk • 确认服务请求
远程问题处理 • 一般技术咨询
基本服务
1. 远程支持 2. 硬件迒修(5×10×30CD) 3. 软件更新授权
金牌服务
1. 远程支持 2. 硬件预更换(7×24×4) 3. 软件更新授权
白金服务
1. 远程支持 2. 硬件预更换(7×24×2) 3. 软件更新授权
Hi-Care客户支持基础服务
注:图表中为企业网络客户支持服务,其他产品客户支持服务架构与之类似。
标准+服务
1. 包含标准服务内容 2. 现场硬件更换 3. 现场问题处理
银牌+服务
1. 包含银牌服务内容 2. 现场硬件更换 3. 现场问题处理 4. 设备健康检查(2次/年)
标准服务
1. 远程支持 2. 硬件预更换(5×10×NBD) 3. 软件更新授权
银牌服务
1. 远程支持 2. 硬件预更换(7×24×ND) 3. 软件更新授权
华为云IDC解决方案
华为云IDC解决方案一、背景介绍随着云计算技术的迅猛发展,越来越多的企业开始将自己的业务迁移到云端,以提高效率、降低成本。
而IDC(Internet Data Center)作为云计算的基础设施,扮演着至关重要的角色。
华为云作为全球领先的云服务提供商,为企业提供了一套完善的IDC解决方案,以满足不同企业的需求。
二、解决方案概述华为云IDC解决方案是一套综合性的解决方案,包括硬件设备、软件平台和服务支持。
它能够帮助企业构建高可靠、高性能、高安全性的IDC环境,提供稳定可靠的云计算服务。
三、硬件设备1. 服务器:华为云提供多款高性能服务器,包括鲲鹏系列、昇腾系列等,可根据企业需求选择不同配置的服务器,满足不同业务场景的要求。
2. 存储设备:华为云提供全系列存储设备,包括分布式存储、闪存存储等,具备高可靠性和高性能,能够满足企业对存储容量和性能的需求。
3. 网络设备:华为云提供高性能的交换机和路由器,支持多种网络连接方式,确保数据传输的稳定性和安全性。
四、软件平台1. 操作系统:华为云提供多种操作系统选择,包括Windows Server、Linux等,企业可根据自身业务需求选择最适合的操作系统。
2. 虚拟化平台:华为云提供云计算虚拟化平台,支持多种虚拟化技术,如KVM、VMware等,可以灵活部署和管理虚拟化环境。
3. 容器平台:华为云提供容器服务,支持企业快速构建、部署和管理容器化应用,提高应用的可移植性和弹性。
五、服务支持1. 咨询服务:华为云提供专业的咨询服务团队,根据企业需求进行需求分析和规划,帮助企业制定最佳的IDC解决方案。
2. 部署服务:华为云提供专业的部署服务,包括硬件设备的安装和配置、软件平台的部署和调试等,确保解决方案的顺利实施。
3. 运维服务:华为云提供全天候的运维服务,包括设备监控、故障排除、性能优化等,确保IDC环境的稳定运行。
六、解决方案优势1. 高可靠性:华为云的硬件设备和软件平台都具备高可靠性,能够保证企业业务的连续性和稳定性。
华为网络能源产品线主打胶片
中国联通空港数据中心
• 关键部件冗余设计
• 效率高达96%
• 站点面积仅1m2
直流变频领导者,新一代按需制冷解决方案
NetCol5000行级精密空调
NetCol8000房间级精密空调
20~35kW(风冷型) 30~60kW(冷冻水型)
20~100kW(风冷型)
20~150kW(冷冻水型)
高效节省 可靠稳定
双向逆变器(10kW)
SUN8000(500kW)
1MW集装箱解决方案
BMP&CP
BMP(15~800W) 14
POL(14~132W)
业界最高效率电源,全球出货量第一
嵌入式电源(30~400A)
室外供电与收容(30~400A)
室内电源(100~24,000A)
接入网
Small cell 中小容量站点 大容量站点
可靠稳定
关键器件/部件冗余;Tier1到 Tier4平滑演进
高效节省 PUE≤1.5,节省30% TCO
灵活易用
模块化按需部署,灵活扩容, 统一监控
17
• 高效:PUE<1.5, TCO节省30%以上
• 节省机房面积50%, 南方基地高效模块化数据中心 建设周期仅14周
全负载高效,模块化UPS领导者
UPS2000-G
UPS5000-E
UPS5000-A
UPS8000-D
1-20kVA
40-480kVA
可靠稳定 关键器件预警,1400+严格测试
高效节省 96%@40%负载率,320kVA/柜
灵活易用
模块化设计理念,扩容维护简易 智能电池管理,有效延长电池寿命
18
30-800kVA
华为服务器产品族主打胶片介绍-V2.0
高密度计算性能,满足IT基础应用的良好 扩展能力 多种可选的本地存储方案,适应对容量、 性能和成本不同需求 关键部件冗余设计,保证设备的高可靠性
(图片待补充)
•
应用场景及价值 RH1285V2规格
• • • • • • •
2 * Intel® Xeon E5-2400 CPU 12个RDIMM/LRDIMM内存插槽 8*2.5 ’ or 4*3.5 ’ SAS/SATA硬盘,支持RAID0/1/5 支持1024M Cache,电池/电容可选 板载2 个网口, 1个管理接口,2个 PCIe 8x 插槽 支持TPM、内置U盘/USB Flash卡 2个冗余热插拔电源
RH5885(2013)
BH620V1/V2 BH641(2013) BH640V2 X6000
刀片
4 CPU(E7-4800) 4 CPU(E5-4600)
定制化 机柜
4 Nodes/2U
80 Nodes/Cabinet
IDataplex
C6100
X8000
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 11
产品市场定位
RH5485V2 RH2488V2 RH2485V2
高端4插槽产品,华为最高端X86产品,主打最高 性能、扩展性、可靠性要求的市场 中端4插槽产品,满足需求高端处理器,但是价格、 空间要求严苛的市场 低端4插槽产品,适合计算和内存都密集应用,同 时价格、空间要求严苛的市场。 高端2U机架产品,2插槽服务器市场适用性最广泛 产品。 低端2U机架产品,主打IT基础和超大本地存储应 用需求。 低端1U机架产品,主打IT基础和高密应用需求
华为FusionSphere5.0技术主打胶片
20
FusionSphere 5.0特性介绍
存储多 路径优化
大幅降低存储多路径软件在为虚拟机选择IO 访问路径时存在的时延开销
IO调度 优化
优化虚拟化IO调度算法降低虚拟化平台计算 调度损耗,提升虚拟机IO处理能力
17
华为FusionSphere 5.0主要参数
虚拟机与物理主机指标
每VM最大支持vCPU (Virtual SMP)
每VM最大支持内存 每VM最大虚拟磁盘容量 每VM虚拟磁盘数量 每VM虚拟网卡
端口镜像功能可根据用户的配置将被监控端口的网络流量复制并映射到指定的目的端口,常用于网络监控及问题定 位。RSPAN可以允许监控端和目的端在不同主机。
10
FusionSphere 5.0新特性
网络虚拟化(续)
RDMA over RoCE网卡
支持RDMA技术以及RDMA网卡直通技术,实现跨节点网络数据拷贝、提升传输性能,降低网络传输的CPU开销。
5.0版本的主机电源管理算法更加优化,主机上、下电前考虑了主机的负荷变化趋势,避免根据瞬时负荷对主机下 发不合理上、下电指令;支持多达5种主机资源负荷阈值的设置,满足不同场景的主机电源管理需求;增加了按周 和月为周期来设置DPM策略;可根据负载情况智能决定对一台还是多台主机上、下电。
7
FusionSphere 5.0新特性
9
FusionSphere 5.0新特性
网络虚拟化
虚拟机业务面支持IP v6
虚拟机业务面地址扩展为128位,为网络提供了充足的地址空间;使用更小的路由表,提高了路由器转发数据包速 度;支持自动配置,网络管理更加方便快捷;极大提升了网络安全性。
主机上行端口支持LACP链路聚合
【主打胶片】华为全安全的智慧危化品行业解决方案胶片V1.0
智慧监管,防“危”杜渐智慧危化品行业解决方案中国区数字政府行业解决方案部CONTENTS 01020304行业趋势业务场景业务方案行业故事目录01行业趋势●政策指引●政策解读●行业特点●国务院-《安全生产“十三五“规划》提升重大危险源监测、隐患排查、风险管控、应急处置等预警监管能力 推进危险化学品、民爆物品、烟花爆竹等企业建设全过程信息化追溯体系 不断完善风险分级管控和隐患排查治理双重预防机制,推动安全生产关口前移●国务院-危化安全治理方案通知([2016]88号)推动利用信息化、智能化手段在化工园区和涉及危险化学品重大风险功能区建立安全、环保、应急救援一体化管理平台推进加强化工园区和涉及危险化学品重大风险功能区及危险化学品罐区的风险管控(2018年3月底前取得阶段性成果)●国务院-《生态环境监测网络建设方案》完善重点排污单位污染排放自动监测与异常报警机制工业园区环境风险预警与处置能力●国务院-《关于推进安全生产领域改革发展的意见》地方各级政府要建立完善安全风险评估与论证机制,科学合理确定企业选址和基础设施建设、居民生活区空间布局。
负有安全生产监督管理职责的部门要建立与企业隐患排查治理系统联网的信息平台,完善线上线下配套监管制度。
政策指引:党中央、国务院高度重视危化品安全生产工作要把遏制重特大事故作为安全生产整体工作的“牛鼻子”来抓,在煤矿、危化品、道路运输等方面抓紧规划实施一批生命防护工程,积极研发应用一批先进安防技术,切实提高安全发展水平政策指引政策解读:安委会与应急管理部联合发文要求2022年前完成危化品全生命周期安全监督要求围绕危险化学品生产、存储、使用、经营、运输和废弃处置等全链条基础信息共享和监管业务协同以及危险化学品全生命周期安全监管。
2020年底前重点园区、重点企业及周边地区三维倾斜摄影与危险化学品“一张图”建设。
7月底前,完成态势感知、风险预警、安全风险研判与承诺公告、智能分析、分级管控、化学品安全知识库等主要功能部署上线试运行;11月底前完成危险化学品企业三、四级重大危险源罐区、涉及18种高危工艺的重大危险生产装置、能量集中可能导致重大事故后的装置/设施区域监测监管相关数据接入;危化品管道监测预警、智能风险评估、事故应急辅助决策和管网一张图,4月份30%覆盖,12月份80%覆盖;互联网+执法检查、执法综合分析、执法智能终端配备;2022年底前2021年底危化品管道100%全覆盖监测;2022年接入工业和信息化部组织建设的危险化学品安全信息共享服务平台,实现危险化学品生产、存储、使用、经营、运输和废弃处置等全链条基础信息共享和监管业务协同以及危险化学品全生命周期安全监管。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
打造安全可信的云数据中心
——华为公有云数据中心安全解决方案
Content
1 云计算发展面临新安全挑战 2 华为数据中心安全解决方案 3 成功案例
2
数据中心网络的变化
应用弹性扩展
边界在延伸
威胁升级
安全管理复杂
• 公有云/私有云/混合云 • 应用弹性伸缩
• 虚拟化,服务器边界延伸 • 移动互联,用户边界延伸
APP1 WEB3
DB APP3
WEB2
方案描述
• 贴近应用下一跳部署,VM级细粒度安全防护 • 降低非授权访问、恶意攻击、病毒感染等风险 • VM迁移时会保留其原有的端口组及VLAN配置,
配合网管实现无缝迁移
特性和价值
• L4~L7全功能虚拟化,随需扩展收缩 • 贴近应用的“白名单”策略,精细防护 • VM迁移感知,策略随云而动 • 对接Controller,统一调度和集中管控
统一管理
• 物理+虚拟资源统一管理 • 基于业务感知的智能策略管理 • 安全态势智能感知,准确展示安全全貌
9
IDC安全需求
SaaS (按需求将应用软件为服务提供给客户)
云
PaaS
服
(中间件优化:应用服务器、数据库服 务器、门户服务器)
务
IaaS
(虚拟化服务器、存储、网络)
面
服务
向
租
虚拟化
户
SecaaS
5
云中心成为僵尸网络发起地
More Mobile
More App-DDoS More from DC
App
in 2013
250家 LTE商用网络 46% 智能终端增长
攻击工具移动化
AnDOSid/ LOIC/ Android.DDoS.1.origin
6
in 2013
42% App攻击增长 26% HTTP Flood 40% 混合型攻击增长
基于用户组、应用组的访问控制规 则,随业务变化动态适应
•沙箱 •信誉库 •大数据
独立租户
• 分层分级,差异防护
三层安全池层层联动,区分东西、 南北流量差异化、就近防护
• 层层联动,高级协防
NGFW+沙箱+vNGFW(含终端异 常检测)+大数据+信誉体系,综合 联防,抵御各种APT攻击
16
针对租ห้องสมุดไป่ตู้的SDN弹性安全
云端特征库
IDC场景支持丰富的安全服务,全面满足客户需求
FireHunter云端沙箱
云端沙箱
邮件信誉 文件信誉 Web信誉
IP信誉
云端信誉库
18
软硬件安全全面虚拟化
软硬件安全设备虚拟化,形成弹性安全池化: NGFW 1:N:M,支持4K VSYS,8台集群 vNGFW N:1集群
2~7 层全业务虚拟化:
vSwitch A B C DE VM VM VM VM VM 12345
虚拟化二层网络下,可信区域不复存在
• 虚拟化二层流量直接通过vSwitch交互,流量不可视不可控 • VM跨POD、DC或跨公有云迁移,扩大了网络犯罪者的活
动范围
安全分区与网络解耦,更底层的攻击形态出现
• 对某一台虚拟机的控制,就可以对其他虚拟机发起攻击1: N,从而获得整个服务器群的控制权
越来越多的攻击源自IDC DC server 成为肉鸡 DC 拥有极大的攻击带宽 大型攻击多源自DC
安全管理复杂
Access
vvSSwitchh
???
管理员
租户1
租户2
租户3 7
云的安全失控趋势,缺乏整体呈现
• 可审查性、取证困难:计算资源共享、 数 据存储位置未知、网络边界崩溃、不可控 的外部供应商
虚拟化打破传统网络安全边界
在云计算服务中,用户最关注的就是安全问题 ------IDC 的高级副总裁兼首席分析师Frank Gens
60%的虚拟化数据中心的安全性都将令人堪忧…… ------- Gartner报告
过去-1:1攻击
虚拟化二层流量直接通 过vSwitch交互
现在-1:N攻击
VM相互攻击
• 设备+沙箱联动 • 大数据威胁分析 • 层层联防,抵御APT
APT防御
12
大容量NGFW匹配云计算
吞吐 业务板
分布式架构设计: • 板卡按需配置 • 性能线性增长
…
N*160 数量
USG9500
业界水平
吞吐量 并发连接
1Tbp
7倍
150Gbps
s160GE业务板卡,线速转发,线性扩展
960M
10倍
• 内部APT攻击/Outbound DDoS • OS/WEB/APP/DB 0 day漏洞
• 安全策略需跟随虚拟机变化 • IP语言,不感知业务
3
传统安全不适应应用弹性拓展
Internet
区域DC
分支
Extranet/ 租户
WAN
容灾DC
vSwitch
VM
VM
VM
VM
VM上线
VM迁移 VM下线
HOST1
HOST2
HOST3
15
HOST4
基于SDN感知应用,分层分级,层层联防
通过AC感知应用,统一调度三层安全资源池,联动沙箱、大数据实现高级防御
特性和价值
边界安全资源池
通过FW/Anti-DDoS防御外界攻击 通过IPSec/SSL VPN提供安全接入 公用策略,集中控制
内网安全资源池
通过VFW实现多租户安全 通过IPS对流量深度防御
Management zone
虚拟层安全资源池
通过vNGFW实现VM“白名单式”精细 化防护
分布式部署,就近防护
Public
Internet
DC 出口 DC 核心网络
共享租户
• Agile Controller 感知业务的访问控制规则
智能防御 按需弹性
• 1.44T级防御性能,抵御各种新型攻击(Outbound DDoS) • 虚拟化安全精细防御,抵御大二层威胁扩张 • 智能联防,基于SDN统一调度
• 安全业务分钟级开通,90%去手工 • 感知应用,按需弹性升缩: • VM迁移感知,策略和会话同步,0配置随行 • L4~L7全业务虚拟化,物理+虚拟资源池化,1:M,N:1
1.安全资源池-边界 2.安全资源池-租户 3.安全资源池-租户内
• 1.44T NGFW • 双向AntiDDoS • 入侵防御 • SSL VPN
网络安全
租户1
租户2
租户3
Router Core Switch
AntiDDoS NGFW IPS 安全插板
Agile Controller
Access Switch
Virtual System3
LPU1 LPU2 SPU1 SPU2
VLAN资源 VLAN资源 VLAN资源 接口资源 接口资源 接口资源 IP地址资源 IP地址资源 IP地址资源 策略会话 策略会话 策略会话 带宽资源 带宽资源 带宽资源
租户1 19
租户2
租户3
防火墙
IPS/IDS 安全管理
AntiDDoS
AntiDDoS8160 AntiDDoS8080 AntiDDoS8030 AntiDDoS1000
AntiDDoS
SVN5800 SVN5600 SVN5500 SVN2200
SSL VPN
vNGFW500 vNGFW300 vNGFW200 vNGFW100
vNGFW
应用特征库 URL分类库 IPS特征库 AV特征库
100M
满足多业务在线,提供稳定服务能力
新建连接
12M/s
12倍
1M/s
应对突发流量,匹配大规模用户上下线
虚拟防火 墙
4K
4倍
1K
资源灵活分配,多租户独立专享
业界首个T级防火墙,高扩展能力从容应对流量增长
13
基于大数据的分析抵御新型DDoS攻击
60+
全流量逐包检测
• 100%全流量检测 • 3-7层逐包检测 • TCP会话行为 • URI访问行为
60+流量模型分析
• 5种维度 • 8大协议族 • 38种协议状态 • 60+种流量模型
全面信誉体系
• 全球僵尸网络IP信誉 • 本地实时会话信誉 • 僵尸网络主动防御特征库
Out-bound DDoS攻击
VM Zombies
VM
VM
VM VM VM
DC
从源头防止DC out-bound DDoS生成
• L4~L7功能虚拟化
• 软件硬件资源池化
提供给租户可信的云服务
效率
管理
自动化
业务开通和编排 • 定制业务自动发放 • 灵活业务编排
管理 配置和报表 • 物理+虚拟策略 • 报表
业务支撑服务
(客户管理、订购管理、计费)
合规
运营支撑服务
面
性
云 平 台
(实例、映像、资源、资产管理)
虚拟化资源 (虚拟网络、服务器、存储)
虚
拟
Public Network
Shared Network1
Isolated Network1
Isolated Network2
化
VM VM VM VM
VM VM VM VM
VM VM VM VM
VM VM VM VM
安
vSwitch
vSwitch
vSwitch
vSwitch
全
vNGFW