泰安云中心网络安全解决方案版本：V1.0Hillstone Networks Inc.2014年9月目录1泰安云中心安全需求分析 (3)1.1大并发访问量特点 (3)1.2多业务并存的特点 (3)1.3面向网络的安全威胁 (4)1.4面向应用的攻击行为 (4)1.5需求总结 (4)2泰安云中心网络安全设计 (7)2.1互联网M8860网关部署方案 (8)2.2云中心M7360网关部署方案 (12)2.3山石网科HSM集中管理平台部署方案 (14)2.4360天眼新一代威胁感知系统（TSS）、360防病毒软件部署署方案 (15)3产品报价 (16)4部分产品简介 (18)4.1山石SG6000-M8860 (18)4.2山石SG6000-M7360 (20)4.3360天眼系统 (22)1泰安云中心安全需求分析1.1大并发访问量特点由于泰安云中心实现了业务和数据的大集中，因此对于用户而言，其所有的业务都要通过远程访问数据中的资源，这就使得数据中心往往面对众多的远程访问请求。

并且由于业务的需要，这些远程请求的并发量、吞吐量很高，比如泰安目前数据中心的访问量可能要并发1万人以上，按照经验值，一个IP用户预留1000个并发，4M吞吐量，设备出口需要承担1000万以上并发，40G以上的吞吐量。

在访问高峰期，各个分支节点及远程移动办公人员的业务互动都要通过调用数据中心的资源来完成，高并发请求一方面使得数据中心的出口流量高，另一方面也需要数据中心对的业务处理能力高，同时在业务活动过程中的关键数据都存储在数据中心，也使得数据中心往往需要较大容量的存储系统。

大并发访问量的特点，也使得在进行网络边界安全设计中，对设备的选型有较高的要求，要求设备具有良好的并发维护能力，有较高的吞吐量，能够在提供防护的同时不影响数据中心正常的业务处理效率。

1.2多业务并存的特点数据中心是基于业务大集中模式建设的，因此数据中心先天具有多业务并存的特点，由于不同业务的重要性不同，因此在资源分配上应当有级差性，即不同业务需要分配不同的资源来保障。

这种资源即包括服务器资源，也包含了出口链路带宽资源。

对此要求有很好的资源控制手段，对于网络边界，常见的手段就是带宽控制，根据业务级别进行出口链路带宽的二次分配。

1.3面向网络的安全威胁由于云中心的开放性，使得云中心往往面临着黑客的攻击，这种攻击轻者引起访问业务中断，严重的将造成重要信息的泄露，并且由于云中心集中了用户最重要的信息资产，一旦发生安全事件将对用户的正常业务造成极大的损失，因此必要采取必要的安全防护手段进行保护。

最典型就是拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS），常见的DDOS攻击方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。

攻击者通过恶意抢占网络资源，使云中心无法正常运行，导致其他访问用户无法正常访问云中心，无法开展正常的业务活动。

1.4面向应用的攻击行为该类攻击具有更大的破坏性和隐蔽性，攻击的手段也很多样化，典型的有端口扫描、字典破解、缓冲区溢出、中间人攻击等，此类攻击行为的典型过程是：先通过扫描收集系统存在的漏洞，包括网络设备的配置漏洞、或者是操作系统的软件漏洞、应用软件的设计缺陷等，然后攻击者根据收集到的漏洞，采取相应的手段进行攻击，最终非法侵入云中心网络。

由于这种攻击行为的针对性很强，所以其后果都比较严重，而云中心的开放性也为此类攻击行为提供了先决条件，对此需要在网络边界，对访问数据包进行深度检测，从而发掘闭关杜绝此类攻击行为。

1.5需求总结泰安云中心互联网出口及云中心内部防护需求：一、防火墙功能在本次解决方案中，防火墙功能是整个网络的基础安全建设，是必须要考虑的。

二、流量控制建设本次流量控制建设可以为业务流量提供足够的保证，能够保证服务的可用性，能够有效管理带宽资源和区分网络应用的优先级。

在本方案中，流量控制功能是必须考虑。

三、防病毒网关建设因对于现在网络病毒泛滥，防毒墙必须部署的，可以有效减少内网用户感染病毒的机率，它可以针对主要的网络协议进行病毒查杀，在本方案中建议使用防毒墙功能和360企业版防病毒软件形成互补的解决方案。

四、IPS功能建设准确监测网络异常流量，自动对各类攻击性的流量，尤其是对泰安云中心应用层的威胁进行实时阻断，而不是在监测到恶意流量的同时或之后才发出告警。

这类产品弥补了acl访问控制等产品的不足，提供动态的、深度的、主动的安全防御，为泰安云中心提供了一个全新的安全解决方案。

必须以全面深入的协议分析技术为基础，协议识别、协议异常检测、关联分析为核心的新一代入侵保护引擎，能够基于深度应用识别，积极防范复杂应用攻击;基于多核Plus G2构架满足深度应用分析、入侵防御功能的高CPU和高内存资源需求，基于深度应用原理、攻击原理的入侵防御解决方案。

五、负载均衡建设不同链路的成本不同，将低价值应用的流量从低成本的链路转发，高价值的应用从高成本的链路转发，才能做到链路资源使用的最优化。

内网和外网之间存在多条链路时，通过负载均衡功能安全网关的出站动态探测功能，内网访问的流量可以在多条链路上实现智能分担。

六、安全审计建设按照公安部82号令要求，系统提供不少于60天上网行为日志留存，对网络行为日志进行查询统计与审计分析，从而为工作人员的决策和管理提供重要的数据依据。

对全网络内所有人员的计算机实名登记，针对上网行为如网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛博客微薄发帖等各种网络行为进行全面控制管理，并记录其行为，以备后查。

需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录。

2泰安云中心网络安全设计根据云中心对边界安全防护的建设需求，不难看出，通过安全网关实现边界隔离与防护是一种非常有效的手段，同时针对云中心的特点，在选择并实施安全防护技术时，应进行有针对性的选择，确保实施后的系统能够真正发挥作用，对抗攻击行为，保障云中心安全可靠地运行。

在泰安云数据中心核心位置处部署两台山石网科SG6000-M7360安全网关（配置流量控制模块、IPS模块、防病毒模块、负载均衡模块、虚拟防火墙模块），在互联网出口部署两台山石网科SG6000-M8860（配置流量控制模块、IPS模块、防病毒模块、负载均衡模块、），在核心交换机镜像端口处部署安全审计系统，核心交换机处部署360天眼新一代威胁感知系统，在每个服务器上部署360网络版防病毒软件，整体部署拓扑图如下：2.1互联网M8860网关部署方案互网部署拓扑图如下：●部署两台双机SG-6000-M8860为互联网提供保障，部署方式为路由部署：两台M8860两台设备组成两个“HA组”，一台在HA组0中充当主设备，在HA组1中充当备份设备；另一台在HA组0中充当备份设备，在HA组1中充当主设备。

两台设备同时运行各自的工作，且相互监测对方的情况。

当其中一台设备发生设备或链路故障时，另外一台设备运行其自身的工作并且接管故障设备的工作，以保证工作不间断。

这种双主模式具有高性能以及负载均衡的优点。

●部署两台双机SG-6000-M8860为广域网提供保障，部署方式为路由部署，防火墙功能其功能如下：通过山石SG划分了不同的安全域:服务器放到防火墙的DMZ区，服务器使用私有IP,隐藏DMZ 区网络结构通过在防火墙上设置静态或端口NAT使DMZ服务器能够向外提供服务。

内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。

泰安云数据中心公司内网中使用Nat\Pat时，所有不同的信息流看起来好像来源于泰安云数据中心同一个IP地址。

由于内部主机使用私有IP,并通过动态NAT出外网访问，对外部来说，内部的结构是完全不透明的，黑客无法对防火墙内部发起攻击。

●可通过负载均衡探测功能将流量合理分配到各条链路，从而极大提升链路利用效率和内网用户的网络访问体验；国内ISP数量众多且互相访问时速度差异很大，本次泰安云数据中心企业为提高访问效率，租用联通、电信、移动三条ISP链路。

然而，当远程办公人员通过多条链路访问企业内网资源时，由于访问地点的差异性，尽管有多条链路提供服务，依然存在流量负载分担不均、链路资源利用率低下的问题。

将Hillstone安全网关部署在企业网络出口，可通过入站负载均衡技术将流量合理分配到各条链路，从而极大提升链路利用效率和外网用户访问企业内网Web应用服务的体验。

Hillstone还可以使用应用引流或智能动态探测（或二者同时使用）的方案来实现多链路负载均衡与优化。

应用引流是首先识别出应用流量，然后通过策略路由的方式引导到相应的链路上，使不同的应用流量走不同的链路，从而达到链路流量负载优化的目的。

智能动态探测是对用户流量到某目的地址的各路径进行探测，对响应相对快速的接口生成静态路由，后续报文直接路由而达到链路流量负载均衡的效果。

●山石网科M8860安全网关，作用在互联网出口链路上，通过访问控制策略，针对访问数据包，根据数据包的应用访问类型，进行控制。

传统防火墙的基于地址/端口的访问控制方法已变得不可信赖。

Hillstone 支持基于应用的访问控制，使访问控制粒度更精细，并且进一步加强了安全防护力度。

例如，对于防火墙部署在互联网出口的场景，可限制“仅允许用户侧到网络侧的HTTP浏览、HTTP 下载、邮件”，既满足网内用户的工作需要，又能保正极大的安全性。

准确识别应用协议以及对应用协议进行分类是精细应用访问控制的基础。

虽然网络应用很多，但是通过对网络应用报文特征的分析，Hillstone能够将网络应用进行分类，例如BT、迅雷属于P2P软件类，QQ、MSN属于即时通讯类、土豆、优酷属于Web视频类等等。

经过对网络应用合理的分类，用户可以根据网络环境的需要对不关注的分类进行粗粒度控制，对于关注的分类进行细粒度的控制。

●Hillstone 山石网科提供专有的智能应用识别（Intelligent Application Identification）功能，简称为IAI。

IAI能够对千余种网络应用进行分类，用户可以为关键的ERP和OA流量设置高优先级保证它们的带宽使用；可基于用户进行流量控制：Hillstone 山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。

例如，对于同一个角色产生的不同流量，用户可以基于应用分类结果指定流量的优先级。

●Hillstone山石网科安全网关支持的病毒过滤技术，针对数据中心，可有效防范大规模蠕虫病毒的传播。

这里，针对数据中心高并发量的特点。

采用“空中抓毒“技术，工作在网络的关键节点，对经过网关的数据包进行过滤，在判断为是病毒的时候进行阻断，防止病毒利用网络进行传播。