深信服整体网络安全解决方案
深信服虚拟防火墙安全解决方案
虚拟化引入安全风险
传统安全风险
VM1 APP1 OS1
虚拟化后安全风险
VM2 APP2 OS2 VM3 APP3 VM4 APP4
OS3
OS4

网络安全风险 主机安全风险 应用安全风险 数据安全风险
边界概念的弱化 平台与租户的安全权责划分 多租户间的安全风险 VM之间安全访问风险 Hypervisor引入的安全威胁
Hypervisor
Web Servers
种植恶意内容
vAF
伪造身份登录 黑客收集信息
Internet
Mail Servers
vAF
vRouter
合法用户登录
OA Servers vAF
云数据中心
云数据中心安全保护
NGAF保障传统安全 网络安全 主机安全风险 应用安全风险 数据安全风险
APP OS Hardware APP OS Hardware APP OS Hardware APP OS Hardware APP OS Hardware APP OS Hardware
APP OS APP OS APP OS APP OS APP OS APP OS APP OS APP OS
部署vAF前后——边界区域清晰
存在问题 • 1、没有专门虚拟区域划分设备，导致边界混乱 • 2、缺失虚拟区域之间的访问控制，风险范围扩大； 解决问题 • 1、vAF提供了清晰的虚拟机区域划分逻辑，边界清晰可控 • 2、vAF提供了严格的虚拟区域访问控制策略，防止非授权接 入；
Hypervisor
Hypervisor
接，远程管理等，必然引入外联过程中的安全 风险
安全风险二：内部办公网的员工电脑存在有意
内网
安全风险四：来自数据中心内部不同业务区域
的安全风险传播，非授权互访等安全风险
安全风险五：多链路接入的智能选路、链路负
载；应用服务负载、网络带宽分级保障，流量 统计等。
服务器
数据库
服务器
数据库
服务器
数据库
传统数据中心安全方案
•
AWS成为僵尸网络沃土 Amazon EC2被ZEUS僵尸网络 工具包利用建立C&C服务器 ；恶意人员以6美元为代价 对EC2发动DDoS
传统数据中心安全建设
传统数据中心安全需求
外网
安全风险一：数据中心需要开放面对公众的服 安全风险三：外联业务，如数据中心和分支连
务，这必然导致存在来自互联网各种攻击风险 识或者无意识攻击行为。这些攻击，可能来自 本地的办公网络，也可能来自远端经过广域网 的分支机构网络
传统硬件安全设备在云数据中心应对不足
传统出口安全过滤
• 出口设备不适合制订针对不同的租户或业务的细化安全 策略
•
• •
云数据中心出口流量巨大，不宜展开全面应用层防护
虚拟化边界模糊，物理设备无法直接分区防护 出口设备不能对虚拟网络东西向威胁直接过滤 物理设备引流防护使核心设备负载增大 物理设备无法防护平台和虚机间威胁（虚机逃逸） 安全不是100%，虚拟网络也要保护 物理设备不满足多租户和业务分级等保需求 物理设备不匹配云计算灵活弹性的特点
灵活可靠
云安全事件危害极大
• Sony PSN 事件 • 攻击者通过注册PSN服务，并 以其为跳板对PSN云平台进行 攻击，在突破隔离的基础上， 充分利用了平台内部流量不可 见的特性进行信息窃取
• •
VMWare vMA漏洞 vMA 4.0、4.1、5.0.0.1 等版本 在实现上存在加载任意文件导 致的本地权限提升漏洞，攻击 者可利用此漏洞以提升的权限 执行任意代码
Web Servers
Web Servers
vAF
Mail Servers
vRouter
Mail Servers
vAF
vRouter
OA Servers
OA Servers
vAF
云数据中心
云数据中心
部署vAF前后——防范虚机之间攻击
存在问题 • 1、某台虚机出现安全风险，容易将安全风险扩散到 同租户的其他虚机 • 2、某台虚机出现安全风险，容易将风险扩散到没有 边界防护的其他区域或同一宿主机 解决问题 • 1、vAF支持和vsafe结合，直接从虚拟平台底层引流，实现 对同区域、同网段的风险检测和清洗 • 2、不同区域之间的业务互访首先由vAF进行安全控制和清洗， 避免了安全风险的进一步扩散
Hypervisor
Hypervisor
Web Servers
扩散 扩散 风险虚机 扩散 扩散
Web Servers
扩散 风险虚机 扩散 扩散 扩散
vAF
Mail Servers
vRouter
Mail Servers
vAF
vRouter
OA Servers
OA Servers
vAFBiblioteka 云数据中心云数据中心
网 络 接 入 区
核 心 交 换 区
SSL VPN 统一接入平台
IPSec VPN
广域网 安全隔离
链路负载
出口安全
流控
链路负载
边界安全
DMZ服务器
移动接入区
分支接入区
互联网接入
业务发布区
网络以区域为边界 安全部署在区域边界
防火墙
硬件AD
服务器
数据库
服务器
数据库
服务器
数据库
云数据中心带来的变化
虚拟化云计算的变化
vAF保障虚拟化安全 平台与租户的安全权责划分 多租户间的安全风险 VM之间安全访问风险 Hypervisor引入的安全威胁
网络资源
NGAF NGAF
安全是云计算重要环节
云计算的发展趋势
传统 数据中心
硬件设备堆砌
虚拟化 数据中心
资源解耦，一虚多
私有云
按需取用
公用云
按需租用
成本高昂
汇聚交换机A
汇聚交换机A
• • • • •
虚拟平台
vswitch
WEB 10.1.1.0/24
OA 10.1.2.0/24
云数据中心
vAF虚拟网络安全防护
传统防火墙功能
网络防病毒 IPS入侵防御 应用识别和控制 Web应用安全 网站防篡改 僵尸网络监测 业务漏洞监测
部署vAF之后——防御多种攻击
解决问题 • 1、vAF提权全面的L2到L7安全功能，并根据黑客攻击过程， 提供事前、事中、事后，完整的安全保护 • 2、vAF具备和物理设备相同的安全功能，包括入侵防御、 WAF、防病毒、僵尸检测、漏洞检测、防泄密、防篡改、敏 感字过滤等功能 • 3、vAF能以虚机方式部署在云平台内部，满足随需扩展和灵 活适配