数据中心云安全设备功能
1. 云平台安全设备功能 (3)
1.1防火墙 (3)
1.2抗DDOS攻击设备 (3)
1.3防病毒安全网关 (4)
1.4 WEB应用防火墙 (4)
1.5 VPN部署 (5)
1.6 入侵防御 (5)
1.7 网络审计 (6)
1.8堡垒主机 (6)
1.9 漏洞扫描系统 (6)
1.10 网页防篡改 (6)
1.11 网闸 (7)
1.云平台安全设备功能
1.1防火墙
访问控制策略：依据数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息，进行判断，确定是否在在非法或违规的操作，并进行阻断。

地址转换策略：针对政务云内的不同的业务服务器、防火墙将采取地址转换策略，来有效的保护业务服务器；
会话限制策略：对于三级信息系统，从维护系统可用性的角度必须限制会话数，来保障服务的有效性，防火墙可对保护的应用服务器采取会话限制策略，当服务器接受的连接数接近或达到阀值时，防火墙自动阻断其他的访问连接请求，避免服务器接到过多的访问而崩溃；
地址绑定策略：对于三级的信息系统业务应用服务器区域、信息系统业务数据库服务器区域以及数据交换区域，必须采取IP＋MAC地址绑定技术，从而有效防止地址欺骗攻击，同时采取地址绑定策略后，还应当在各个三级计算环境的交换机上绑定MAC，防止攻击者私自将终端设备接入三级计算环境进行破坏；
日志审计策略：防火墙详细记录了转发的访问数据包，可提供给网络管理人员进行分析。

这里应当将防火墙记录日志统一导入到安全管理平台。

1.2抗DDOS攻击设备
（1）DOS/DDOS攻击防御
TopADS不仅能够检测和清洗，Ping of death、Land、Teardrop、Smurf等DOS 攻击，还能清洗ICMP Flood、TCP SYN Flood、TCP ACK Flood、TCP SYN-ACK Flood、TCP RST Flood、TCP FIN Flood、TCP分片、TCP Connection Flood（连接耗尽）等流量型DOS/DDOS攻击。

（2）应用层DOS/DDOS攻击防御
TopADS采用信誉源、DPI、DFI、等检测机制对HTTP GET Flood、HTTP POST Flood、CC、HTTPS Flood、DNS QUERY Flood、DNS NXDomain Flood、DNS反射投毒、慢
速连接耗尽等应用型DOS/DDOS攻击有更好的防御效果。

（3）大客户两级保护对象策略
TopADS产品内置了针对运营需求的大客户两级保护对象策略，可以在一级
保护对象中定义大客户，并在一级保护对象上设置针对大客户个体的黑白名单、过滤规则等策略，然后在二级保护对象中针对大客户的不同服务器配置不同的保护模板，形成二级保护策略。

（4）全64位的原生ipv6支持
TopADS产品的管理平面和数据平面均为全64位系统，具备原生ipv4/ipv6
双栈处理能力，不仅能够在纯ipv6网络环境中部署和检测攻击，还能够在
ipv4/ipv6混合网络环境中部署和检测攻击行为。

1.3防病毒安全网关
可实现对边界的恶意代码进行检查和清除，内网用户在访问互联网的挂马网站或是病毒网站、钓鱼网站的时候，防病毒网关可直接在边界进行病毒过滤。

从网络层面阻断病毒传播。

与部署的服务器上的防病毒软件相配合，形成覆盖全面，分层防护的多级病毒过滤系统。

1.4 WEB应用防火墙
WEB应用防火墙通过对进出Web服务器的http流量相关内容的实时分析检测、过滤，来精确判定并阻止各种Web应用攻击行为，阻断对Web服务器的恶意访问与非法操作，如SQL 注入、XSS、Cookie篡改以及应用层DoS攻击等，有效应对网页篡改、网页挂马、敏感信息泄露等安全问题。

1.5 VPN部署
Vpn用来保证认证过程安全、保障数据传输安全，同时在细粒度授权下实现严格的访问控制，对用户访问全程的各个层面提供安全保障。

1.6 入侵防御
入侵防护
TopIDP产品采用了先进的基于目标系统的流重组检测引擎，从根源上彻底阻断了TCP流分段重叠攻击行为。

并且拥有11大类超过3500条攻击规则，尤其深度挖掘本地化业务系统的漏洞，形成防御阻断规则后直接应用于TopIDP产品，更有效保护企业信息化资产。

·DoS/DDoS防护
TopIDP全面支持DOS/DDOS防御，通过构建统计型攻击模型和异常包攻击模型，可以全面防御SYN flood、ICMP flood、UDP flood、DNS Flood，DHCP flood、Winnuke、TcpScan以及CC等多达几十种DOS/DDOS攻击行为；TopIDP还可以通过自学习模式，针对用户所需保护的服务器进行智能防御。

·应用管控
TopIDP产品能够识别包括传统协议、P2P下载、股票交易、即时通讯、流媒体、网络游戏、网络视频等在内的超过150种网络应用，使用户很轻松判断网络中的各种带宽滥用行为，继而采取包括阻断、限制连接数、限制流量等各种控制手段，确保网络业务通畅。

·网络病毒检测
TopIDP产品集成了卡巴斯基SafeStreamⅡ网络病毒库，采用基于数据流的检测技术，能够检测包括木马、后门和蠕虫在内的超过100万种网络病毒。

与传统的防病毒网关不同，TopIDP产品并不需要依据透明代理还原文件，而是直接在数据流中检测病毒，能进行高速在线检测，实时阻断新近流行的危害度最大的各种网络病毒。

·URL过滤
TopIDP产品内置一个庞大的URL分类库，库中收纳包括恶意网站、违反国家法规与政策的网站、潜在不安全的网站、浪费带宽网站、大众兴趣的网站、聊天与论坛网站、行业分类网站和计算机技术相关网站等80多类，总数超过600万个URL地址。

TopIDP产品能够统计分析内网用户的上网行为，限制对恶意网站或者潜在不安全站点的访问，通过与应用管控功能相结合，可以制定有效的管理策略，实现内网用户的上网行为管理。

1.7 网络审计
可以有效记录系统的相关安全事件，使审计记录包括安全事件的主体、客体、时间、类型和结果等内容，能提供审计记录查询、分类、分析和存储保护功能，可以确保对特定安全事件进行报警，确保审计记录不被破坏或非授权访问。

1.8堡垒主机
堡垒主机提供统一的集中管理平台，集中管理用户帐号、集中登录认证、集中用户授权和集中操作审计。

1.9 漏洞扫描系统
漏扫系统应用系统所使用的网络设备、网络安全设备、虚拟服务器等设备，进行漏洞扫描，通过漏洞扫描的结果生成报告，及时对存在漏洞设备进行修补，增强其系统的安全系数。

1.10 网页防篡改
系统将篡改监测的核心程序通过内核文件底层驱动内嵌到操作系统中，通过事件触发方式自动监测，对文件夹的所有文件内容（包含html、asp、jsp、php、音频、图片、视频等文件类型）对照其多个属性，经过内置散列快速算法，实时监测，若发现变更，实时阻断篡改行为。

通过非协议方式，纯内核安全出站校验方式检查出站内容的完整性。

1.11 网闸
实现重要网络与其它网络安全隔离，并实现网络之间有效的数据交换。

系统由内端机、外端机、专有隔离系统（专有硬件）三部分组成。

内端机和外端机分别具有独立的存储和运算单元，并具有独立总线；内外端机之间采用了具有互斥效果的硬件隔离系统进行连接。

内网主机和外网主机是内部网络和外部网络通用TCP/IP协议的终点，各自的网络协议在隔离系统实现剥离和重建，内部网络和外部网络不可向对方延伸。

所有通过数据流都从TCP/IP协议包中剥离，还原为应用层数据，应用层数据通过专用硬件和专用通信协议发送给隔离系统进行安全控制和审查。