目录一、项目概述 (2)1.项目背景 (2)2.需求分析 (2)二、总体方案设计 (2)1.体系架构 (2)2.方案简述 (3)三、无代理终端安全解决方案 (4)1.方案说明 (4)2.主要优势 (4)3.产品介绍 (6)四、网络安全解决方案 (7)1.方案说明 (7)2.主要优势 (8)3.产品介绍 (8)五、主要/应用安全解决方案 (11)1.方案说明 (11)2.主要优势 (12)3.产品介绍 (12)六、数据安全解决方案 (15)1.方案说明 (15)2.主要优势 (16)3.产品介绍 (16)七、附录 (18)1.vShield产品家族各组件功能比较 (18)威睿信息技术（中国）有限公司一、项目概述1. 项目背景//// 此处插入项目情况2. 需求分析XXXX数据中心部署了大量的x86服务器，承担着为各个业务部门提供基础设施服务的角色。

随着业务的快速发展，数据中心在空间占用、能源消耗和运维管理方面的压力越来越大。

采购与维护成本也有较大的增长。

在没有采用虚拟化技术的情况下，资源调配很不灵活，硬件资源的总体利用率不高，存在较大的浪费。

为了应对上述问题，XXXX开始实施基础架构革新，引入虚拟化与云计算技术，先后将非核心应用与核心应用迁移到了VMware的虚拟化平台，有效降低了成本，提高了资源利用率和可用性，运维效率也得到了较大提升，缓解了信息化建设所面对的诸多压力。

在取得显著效益的同时，现有的基础架构在安全性方面又出现了新的挑战，传统的安全防护手段价格昂贵，对虚拟化平台不具感知能力，使用不够灵活，管理难度大，不能很好地满足新架构的需要，为了更好地满足业务发展的需要，急需采用更有针对性的虚拟化与云安全解决方案来保障虚拟化与云计算平台的安全性问题。

针对用户在安全方面的需求，VMware提供了专为虚拟化与云计算平台所设计的整体安全解决方案，全面涵盖了终端安全，网络安全与数据安全，该方案可以与现有的基础架构紧密集成，简单易用，灵活高效，是目前业界最佳的云安全解决方案。

二、总体方案设计1. 体系架构VMware云安全解决方案由vShield产品家族构成，主要包括vShield Edge，vShield App，vShield Data Security和vShield Endpoint四个组成部分，统一通过vShield Manager进行集中管理，与vCenter Server的管理界面集成。

这些产品组件均可以部署在VMware的虚拟化平台之上，安装简便，使用灵活，易于维护和管理。

2. 方案简述下面简述一下此方案的几个主要功能，详细介绍参见后面的章节。

1，网络安全解决方案vShield Edge 逻辑边界防火墙，部署于两个虚拟网段之间，主要用于实现虚拟数据中心的边界防护的功能。

在虚拟化平台之上，主机和网络之间的物理边界消失或模糊，无法部署硬件防火墙设备。

vShield Edge可以很好地满足这一场景下的边界防护要求。

2，主机/应用安全解决方案vShield App 主机/应用防火墙，部署于采用了VMware 虚拟化技术的物理服务器之上，主要用于保护虚拟机及其上的应用程序。

供助于vShield App，不需在虚拟机内部安装代理程序即可对其提供保护，vShield App可以自动感知和适应环境变化，始终确保虚拟机得到应用的保护，免受网络威胁的影响。

3，终端安全解决方案vShield Endpoint 无代理终端安全产品，部署于采用了VMware虚拟化技术的物理服务器之上，通过与Trend Micro，BitDefender等主流的安全厂商合作，为用户的虚拟机提供防病毒，防入侵等安全防护。

4，数据安全解决方案vShield Data Security 敏感数据发现与保护，可以基于业界的规范和企业的策略对虚拟机内部的数据进行扫描，发现敏感数据并对含有敏感数据的虚拟机进行隔离保护。

三、无代理终端安全解决方案1. 方案说明终端安全管理是一项费时费力的工作，终端分布广泛，种类繁多，难于管控。

传统的终端安全防护手段需要在终端上部署代理程序，保证这些代理始终有效且能得到及时更新，是一项充满挑战的工作，很多企业为此不得不应用终端管理和网络准入控制等解决方案来保证终端的可控。

虚拟化和云计算时代的到来，彻底的改变了这种局面。

虚拟基础架构为企业计算环境带来了新的管控手段，使无代理安全防护成为可能。

vShield Endpoint彻底革新了大家固有的如何保护客户虚拟机免受病毒和恶意软件攻击的观念。

该解决方案优化了防病毒及其他端点安全保护功能，可以更高效地工作于VMware vSphere® 和VMware View™环境。

vShield Endpoint 通过将病毒扫描活动从各个虚拟机卸载到安全虚拟设备来提高性能。

安全虚拟设备能够持续更新防病毒特征码，为主机上的虚拟机提供无中断保护。

2. 主要优势1，简化部署虚拟化技术能够帮助管理员快速而又简单地完成系统部署工作，通过虚拟机模板来部署新系统是一项轻松愉快的工作，采用无代理模式，管理员无需在模板机中部署和更新代理程序，可以更好地保障虚拟机的合规性，减少虚拟机的体积和管理工作量。

增加的工作是在每台物理服务器上部署一个安全虚拟设备（SVA），以5:1 的常规整合比为例，部署工作量减少了4/5，如果应用场景是VDI，一台服务器至少可以部署几十个虚拟桌面，部署工作量仅为代理模式的几十分之一。

2，简化管理维护好终端，特别是维护好终端内部的安全代理是管理员的重要工作之一，代理模式下，管理员要随时监视各终端上代理的状态，及时发现无代理、代理功能不正常和代理陈旧等问题。

防护不到位的终端会对整个网络的安全状况造成非常大的影响。

采用无代理模式，这一部分的管理工作量就不存在了。

增加的工作是对安全虚拟设备（SVA）的管理，据前述，管理工作量仅是代理模式的几分之一到几十分之一。

3，避免病毒扫描风暴安全代理在执行病毒扫描操作时会占用较多的主机资源，在虚拟基础架构中，病毒扫描对性能的影响更为显著。

虚拟机启动，周期性例行扫描或蠕虫病毒流行时，如果不能对扫描行为进行有效控制，就可能导致病毒扫描风暴，严重影响业务系统的性能，甚至导致服务中断。

在无代理模式下，运行于同一物理服务器上的多台虚拟机的扫描工作统一进行调度，资源占用得到有效控制，消除了病毒扫描风暴的发生。

4，减少资源占用运行在主机上的安全代理会占用主机的CPU，内存和磁盘资源，引擎和病毒定义的更新会占用网络资源。

近几年来，恶意程序迅猛增长，防病毒产品和病毒定义文件的体积越来越大，尽管安全厂商不断引入新技术来降低安全代理对主机的影响，仍然不能有效地解决这一问题。

无代理模式下完全不存在这种问题，当终端数量较大时，节省的资源数量将非常可观。

上图为有客户端和无客户端终端保护的资源占用对比，右图为无客户端方式，资源占用非常少。

5，随时保持最新传统模式下，如果主机经常关机或离线，则安全产品无法得到及时更新，当主机再次开机或联线时，系统非常容易受到感染和破坏。

0Day攻击越来越多，如果不能保证防病毒产品和病毒定义的实时更新，防护效果就会大打折扣。

采用无代理模式，只要保证安全虚拟设备（SVA）随时在线，及时更新就可以了。

6，更高的密度，更低的成本前面介绍过，无代理模式可以在很大程度上节省资源占用，完全消除病毒扫描风暴，因此可以提高部署密度，节省硬件采购成本。

此外，针对虚拟化平台的无代理安全防护产品，通常会提供基于物理CPU的授权模式，按这种授权方式购买产品，要比按部署节点数量来购买要经济得多。

部署密度越高，性价比越高。

7，更好的安全性很多恶意程序把安全产品作为攻击目标，安全产品必须具备良好的自我保护功能，但是这种自我保护功能并不是百分百有效，安全产品一旦感染了恶意代码，不仅起不到防护作用，还会加快恶意代码的传递。

无代理模式下消除了这种隐患。

安全虚拟设备（SVA）采用经过整固的专用系统，安全级别较高，从而显著提升了无代理模式下的整体安全性。

8，效率更高在无代理模式下，物理主机是安全防护的基本单位，运行于一台物理主机上的全部虚拟机之上所产生的活动都由部署于该物理主机上的安全虚拟设备（SVA）负责监控。

当多台虚拟机执行相同活动时，SVA可以利用缓存技术加速扫描，提高扫描效率，特别是那些重复存在于多台虚拟机中的操作系统和应用程序文件，扫描性能会有很大提升。

3. 产品介绍1，vShield Endpoint工作原理vShield Endpoint 直接嵌入到vSphere 中，由以下这三个组件组成：•经过加强的安全虚拟设备，由VMware 合作伙伴提供•虚拟机精简代理，用于卸载安全事件（包含在VMware Tools 中）•VMware Endpoint ESX® 虚拟化管理程序模块，用于支持前两个组件在虚拟化管理程序层上的通信。

例如，对于防病毒解决方案，vShield Endpoint 将监视虚拟机文件活动并通知防病毒引擎，然后再由引擎进行扫描并返回处置信息。

该解决方案支持在访问时进行文件扫描，以及由安全虚拟设备中的防病毒引擎发起的按需（计划内）文件扫描。

当需要进行修复时，管理员可以使用他们现有的防病毒和防恶意软件管理工具指定要执行的操作，同时由vShield Endpoint 管理受影响虚拟机中的修复操作。

2，vShield Endpoint主要功能特性卸载防病毒和防恶意软件负载•vShield Endpoint 使用vShield Endpoint ESX 模块将病毒扫描活动卸载到安全虚拟设备中，通过在该设备上执行防病毒扫描提高性能。

•通过瘦客户端代理和合作伙伴ESX 模块，将文件、内存和进程扫描等任务从虚拟机卸载到安全虚拟设备中。

•vShield Endpoint EPSEC 使用虚拟化管理程序层的自检功能来管理虚拟机与安全虚拟设备之间的通信。

•防病毒引擎和特征码文件只在安全虚拟设备内更新，但可对vSphere 主机上的所有虚拟机应用策略。

修复•vShield Endpoint 实施防病毒策略，以指定应删除、隔离还是以其他方式处理恶意文件。

•精简代理负责管理虚拟机内的文件修复活动。

合作伙伴集成•EPSEC API 在虚拟化管理程序中提供对文件活动的自检，使VMware 防病毒合作伙伴实现vShield Endpoint 集成。

基本的防病毒功能可通过此API 提供支持。

目前，可选择的合作伙伴产品包括Trend Micro的Deep Security和BitDefender的Security for Virtualized Environments。

vShield Manager，策略管理和自动化•vShield Manager 提供全方位的vShield Endpoint 部署和配置。