互聯網IDC圈1月7日報道，1月5-7日，第十屆中國IDC產業年度大典（IDCC2015）在北京國家會議中心隆重召開。本次大會由中國信息通信研究院、云計算發展與政策論壇、數據中心聯盟指導，中國IDC產業年度大典組委會主辦，互聯網IDC圈承辦，并受到諸多媒體的大力支持。

創新互聯是一家專業提供楚雄州企業網站建設,專注與網站設計、網站建設、H5響應式網站、小程序制作等業務。10年已為楚雄州眾多企業、政府機構等服務。創新互聯專業網站建設公司優惠進行中。

中國IDC產業年度大典作為國內云計算和數據中心領域規模大、最具影響力的標志性盛會，之前已成功舉辦過九屆，在本屆大會無論是規格還是規模都"更上一層樓"，引來現場人員爆滿，影響力全面覆蓋數據中心、互聯網、云計算、大數據等多個領域。

華三通信安全產品線總工何平出席IDCC2015大會并在大數據應用與安全技術論壇發表主題為《新IT云環境下安全防護架構設計》的精彩演講。

華三通信安全產品線總工何平

以下為何平演講實錄：

非常榮幸有這么次機會跟各位分享華三在云環境下的技術理念和方案，半個小時的時間要把整個理念和技術框架介紹清楚是比較難的，挑一些重點給大家講一下。首先我們要看在新IT情況下云是什么樣的變化，華三是如何理解和應對變化的。新IT情況下，華三把它分為三個大趨勢，一是云計算，云計算現在是非常熱的技術趨勢，我們在各行各業里都離不開云，家里買的電腦也是云電視，其中就是云的技術對各行各業的滲透。還有大數據，有了云，數據集中以后，所有的數據，包括終端的數據、各行各業跟我們的生活、工作息息相關的數據，上網到百度查詢里面有數據，等等的信息形成的大數據幫助我們的工作進一步優化。我們的移動互聯，在會場只能聽演講嘉賓給我們灌輸知識，但現在你可以拿你的手機、Pad隨時聽隨時辦公，感興趣的可以聽一下，不感興趣的可以干別的事情，有疑惑的可以查。

三個大趨勢使得安全形勢發生了翻天覆地的變化，我們認為這種情況下安全不能采用原來的方式進行考量，我們要有新的變化，華三提出了大安全的變化。大安全就是應互聯網需求變化，以應用驅動安全靈活實施安全策略，我們認為傳統的架一個防火墻，設立關公卡的方式已經不合適了。華三提出這么一個大安全的理念，我們有一個核心的技術是軟件定義安全，原來設備的這種方式不合適了，必須有一個大腦來集中的管控，這個集中的管控我們稱之為控制中心，其實就是用在網絡里的叫SDN，軟件定義網絡，它是個控制器。

先整體講一下整個架構。我們認為傳統的東西還是存在，安全里常用的防火墻、入侵防御、防病毒等等，我們把這些繼續布置在網絡中，我們做出相應的安全元素的提取，這是第二層，是安全資源層。我們把所有的防火墻做成防火墻的元素，IPS做成IPS的元素，防病毒網關做成防病毒網關的元素。某個地方需要安全的防護，只要把流量在資源池里進行清晰，安全控制中心起到的作用就是控制器也是整個安全理念的核心。再往上結合大數據分析，可以進行威脅的預判以及威脅的策略下發，再結合云就可以形成云的解決方案。再往上一層就是我們對普通用戶可見的這些應用。

整個體系要體現把安全像服務一樣進行交付，這句話如果大家關注過的話很容易理解，它其實就像云的交互方式一樣，云其實就是把各種各樣的基礎架構、基礎資源像服務一樣交付，我需要一臺服務器了，以前先評估我的業務多少，先評估我的服務器性能多少，再去采購，申請購買服務器，再去采購，采購來了安裝，有了云計算以后在門戶上選需要什么樣的服務器，這個服務器可以給你下發，甚至操作系統已經有了。安全也需要這樣，我們的理念就是軟件定義安全，把安全像服務一樣交付?？次覀兒筮呍趺醋?。

今天的主題是云，我們看云在每個行業里，企業云、政務云、衛生云、教育云，目前建設范圍最廣的是政務云，政務云目前在全國各地從國家到省到市到地區全都在建設各種層次的政務云，華三親自參與了全國各個省市的政務云。云里要實現我們的理念，安全像服務一樣交付，我們再分析一下，第一IT資源被虛擬化，剛才講過了，第二數據大二層結構，有了虛機以后，虛擬化的重要標志就是虛機可以動態的遷移，我在一個位置資源不夠了，從另外一個地方遷移過來一個虛機，我在一個位置網絡出現了故障，我把這個虛機遷移到另外一個位置，遷移就是云計算虛擬化里一個重要的標志，有了這個標志以后這個計算資源才能隨意的調度，隨意的調度會帶來安全問題，策略怎么辦，虛機遷走了需要重新測定還是策略隨之遷移過去，是這樣的。

我要想虛機動態遷移，網絡架構就要發生變化，網絡架構是目前最流行的大二層架構，所有的虛機遷移過去，地址不變，在同樣一個二層結構里?；A設施及服務，基礎設施變成了服務，安全也需要把它變成服務。我們把安全再進行一下歸類，這種情況下，遷移策略帶來了問題，虛擬化的情況下原來一臺物理機和另一臺物理機之間架一臺防火墻進行隔離，現在虛機之間怎么進行隔離，云計算的情況下所有的資源都在一個平臺里，如何來進行隔離？我們認為安全邊界已經模糊了，傳統的安全設備沒地方部署了。

大量的租戶，云計算的特點，尤其是政務云原來各個省、各個地市、各個委辦局有自己的網絡、自己的數據中心，他的業務都可以單獨進行防護，單獨地部署安全防火墻措施，現在政府要建一個大型的省級政務云，所有委辦局的業務都要遷過來，遷過來也可以，數據集中，集中完了以后。旅游局過來說這個業務是對外發布的，必須要允許公眾訪問，二級就可以了，每個不同的租戶的安全需求不一樣，我要防范的措施就不一樣，可是在同一個平臺里針對不同的租戶、不同的安全需求提供不同的安全服務，這給云安全帶來了很大的難點。你要提供服務，眾口難調，怎么做？

三個解決方案，從幾方面來做。第一，安全資源虛擬化，兩個不同的租戶，把它標進兩個區域，我們認為針對不同的租戶要有不同的安全防范策略，如果用一臺設備來實現的話，我們要求基于不同的CPU、不同的內存，安全的策略和部署不影響其他的租戶，策略可以隨時調整，每個租戶可以單獨部署。再看怎么來應對。這是一臺設備，分布式的高性能的高可靠的安全網關，選這么一臺設備，部署在你的云資源池里，放在出口位置也好，放在計算資源池旁邊也好，我有多個接口，支持各種各樣的虛擬化接入的技術。我把它變成多個防火墻，變成多個負載均衡，變成多IPS，實現高性能。

硬件的安全設備變成多個邏輯的安全設備，就這一臺硬件設備變成多個不同品類的安全設備。一臺高性能的網關變成了多個邏輯的防火墻，每個防火墻可以分給每個租戶自己自行管理，也可以統一下發策略。我們實現了真正的虛擬化，有的企業做這塊的時候做了半調子。我們有實力實現不同租戶不同安全需求的基礎。這個也不夠，在云的情況下我們要求安全資源動態隨需調度，總感覺影響不是那么自主、自由，一個網絡里最不缺的就是X86的服務器，一次采購采購500臺服務器，但上業務只上了20臺，剩下的80臺怎么辦，這些都是資源。我們安全的操作系統把它做成軟件化，基于X86平臺，這叫NMV網絡功能虛擬化。

華三是做網絡的公司，做無線設備，WiFi接入，我們可以做安全、做路由器。這些都是基于同樣的操作系統，Comware。這個操作系統集成了各種各樣的功能，有安全防火墻功能、AC控制器功能，把這個操作系統做成軟件形式的產品，就像我們在虛擬化平臺里的虛機一樣，利用X86的平臺實現安全功能。這樣部署起來就很方便了。紫色的框代表物理服務器，物理服務器兩臺虛機，這兩臺虛機需要安全隔離，把放火墻作為軟件的形式直接部署在里面，從邏輯來看跟原來兩臺服務器的隔離是一樣的，這種方式非常靈活，利用現有的計算資源就可以實現安全的部署，而且軟件的形式大家通常理解是調度管理起來很方便。

我把資源流量調度到安全資源池里進行清洗，如何調度？要利用網絡架構的改變。在云里一般是大二層的技術，大二層的技術里存在問題，多個數據中心要想實現資源的統一管理，虛機的動態遷移，必然要用大二層技術，大二層技術使整個網絡互聯互通了，我們的業務非常多了，有了VLAN。overlay，中文叫疊加網絡，傳統物理網絡上疊加出一個邏輯的網絡，這個邏輯的網絡能夠保證從一個客戶端到服務器的訪問更簡便，能夠做到直通。第二，云網絡的改變，數據中心網絡的改變非常簡單，overlay和underlay。我們用幾種技術方式可以實現，IP地址靈活分配、虛機任意遷移、多租戶，消除大二層網絡各種各樣的問題。大層網絡里有各種各樣的問題，網絡風暴，在overlay的網絡里天然地就解決了。

有了網絡的改造，我們重點改造幾個點。一是核心設備，核心設備用于網絡的overlay和underlay轉換的核心節點，核心設備要改，但是也不一定非得改，可以加一些旁掛設備來實現它的簡單改造。二是接入設備得改，我們可以直接把接入交換機改了，改成支持overlay的設備。整個改動有幾個點，技術有點復雜，我們只需要記住安全流量的調度，而且非常簡便。

流量可以牽引到我的安全資源池，通過虛擬化技術進行清洗，資源池里如果只有防火墻就好辦了，但是不可能，這里面可能有入侵防御，可能有審計，可能有各種各樣的控制需求，這時候直接扔到你的資源池里，如何實現不同的業務的不同的安全訪問需求，華三也實現一個需求，叫做安全服務鏈，確保流量調度到資源池里以后，安全設備起作用的順序，可以先過防火墻后過IPS，也可以只過防火墻只過IPS，也可以過完IPS再過負載均衡，看我們這里的路徑。綠色的線只過防火墻，黃色的線過了防火墻也過了IPS。我只需要知道源和目的，至于路徑怎么定義怎么做不用管，由我們的控制器來統一調度。新的環境下云安全是按照我們設想的方式進行調度，而且只是通過鼠標的點選和路徑的規劃，完全在一個界面里。如果在傳統的情況下，這個接入設備得配，防火墻IPS得單獨配，我們要做到安全像服務一樣簡單的交付。涉及到華三云安全技術的服務理念，安全即服務，說了半天到底是什么，很簡單，就是要達到這么個目的，不同的業務、不同的租戶有區別地進行安全的策略指定，這個服務器就代表一個業務或一個租戶，把部署了這么多安全設備，每個設備是什么樣的部署策略，我們可以單獨進行定制，我們也叫做條帶化的安全。

最后看一個案例。現在云里用的最多的就是政府的政務云，一般情況下政府在外網實現政務云，還有互聯網，外網和互聯網這兩套不同的網絡中間要有跨數據交換平臺，不同的業務放在不同的安全區域進行防護。公共業務區為不同的區域服務，互聯網區也進行同樣的設定，互聯網區和電子業務區要進行有效的隔離，整網的安全還有專門的安全控制中心進行控制，比如堡壘機、網頁防篡改、防病毒等等進行監控。整網部署的是overlay的網絡，控制器也是在我們的管理中心，存儲、操作數據的調度都需要進行有效的隔離。資源池同化在核心上，這是進行南北向的防護，東西向的防護也可以在某一個計算資源池里單獨批一個進行防護。

今天的內容就分享到這里，感謝大家！

本文題目：何平：新IT云環境下安全防護架構設計
URL分享：http://vcdvsql.cn/article4/sdiooe.html

成都網站建設公司_創新互聯，為您提供響應式網站、面包屑導航、網站內鏈、電子商務、定制網站、ChatGPT

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯