“大風(fēng)起兮云飛揚”，用這句古詩來描述近年來“云計算”的風(fēng)起云涌之勢十分貼切。云計算經(jīng)過了霧里看花的朦朧、眾說紛紜的迷茫，到現(xiàn)在各類應(yīng)用與服務(wù)呈現(xiàn)出了百花齊放的姿態(tài)，引領(lǐng)著信息科技邁入了新紀(jì)元，而服務(wù)器虛擬化的廣泛需求與普及為云計算的落地鋪就了一條低成本、高效率、高可靠之路。

“安得猛士兮守四方”，有關(guān)云計算安全的擔(dān)憂一直是云計算推進(jìn)的關(guān)鍵障礙，務(wù)虛的需求分析和解決方案/框架很多，但是從國內(nèi)云計算安全產(chǎn)業(yè)的現(xiàn)狀看，真正用來保護(hù)云計算環(huán)境安全的、可以立即獲得的產(chǎn)品并不多，而任何解決方案的實施最終必將落實到可用的安全產(chǎn)品和服務(wù)上。網(wǎng)御星云公司經(jīng)過多年的技術(shù)儲備和積累，在網(wǎng)絡(luò)安全產(chǎn)品方面擁有眾多核心技術(shù)，目前經(jīng)過攻關(guān)研發(fā)，發(fā)布了面向云計算數(shù)據(jù)中心的虛擬化安全網(wǎng)關(guān)系列產(chǎn)品，包括：Leadsec-vFW、Leadsec-vUTM、Leadsec-vIPS、Leadsec-vAVGW、Leadsec-vVPN，為云計算環(huán)境下數(shù)據(jù)中心的防護(hù)提供了堅實的支撐。

產(chǎn)品簡介

在虛擬化數(shù)據(jù)中心環(huán)境中需要部署很多應(yīng)用系統(tǒng)，各個虛擬機及應(yīng)用系統(tǒng)之間的安全防護(hù)和訪問控制帶來了很多新的安全威脅與挑戰(zhàn)： 因為傳統(tǒng)硬件安全設(shè)備只能部署于物理邊界，無法對同一物理計算機上的虛擬機之間的通信進(jìn)行細(xì)粒度訪問控制。網(wǎng)御星云虛擬化安全網(wǎng)關(guān)系列產(chǎn)品增強了虛擬環(huán)境內(nèi)部虛擬機流量的可視性和可控性，Leadsec安全虛擬機具備Leadsec相關(guān)硬件設(shè)備的所有功能，可以隨時隨地為用戶提供虛擬環(huán)境內(nèi)部的全方位網(wǎng)絡(luò)安全防護(hù)。

網(wǎng)御星云虛擬安全網(wǎng)關(guān)系列產(chǎn)品如下：

· 虛擬防火墻（Leadsec-vFW）：網(wǎng)御防火墻采用創(chuàng)新的VSP（Versatile Security Platform）通用安全平臺、USE（Uniform Security Engine）統(tǒng)一安全引擎、基于應(yīng)用的內(nèi)容識別控制及主動云防御技術(shù)，具備了高智能、高性能、高安全性、高健壯性、高擴展性等特點，實現(xiàn)了多種安全功能獨立安全策略的統(tǒng)一配置，可以方便用戶構(gòu)建可管理的等級化安全體系，從而實現(xiàn)了面向業(yè)務(wù)的安全保障。可用于針對虛擬機及應(yīng)用的安全訪問控制。

·虛擬UTM（Leadsec-vUTM）: 網(wǎng)御UTM產(chǎn)品在安全引擎中運用了專利算法和技術(shù)，針對病毒檢測，內(nèi)容分析等海量掃描活動使用了高效的啟發(fā)式掃描，針對傳統(tǒng)包過濾無法檢測的威脅，采用了完全內(nèi)容檢測技術(shù)，針對未知的攻擊行為，使用了實時動態(tài)保護(hù)技術(shù)，確保安全引擎在功能全部開啟后繼續(xù)保持高性能運行。可用于對虛擬機、應(yīng)用進(jìn)行深度訪問控制和綜合安全防護(hù)。

·虛擬IPS（Leadsec-vIPS）: 集成了流狀態(tài)跟蹤、協(xié)議分析、深度內(nèi)容解析、異常檢測、關(guān)聯(lián)分析等多種分析、檢測技術(shù)，配合實時更新的事件特征庫，可攔截蠕蟲、病毒、木馬、間諜軟件、DDoS/DoS、SQL注入、XSS跨站腳本等各種網(wǎng)絡(luò)攻擊行為，有效凈化網(wǎng)絡(luò)流量。同時提供豐富的上網(wǎng)行為管理功能，可對P2P下載、IM聊天軟件、在線視頻、網(wǎng)絡(luò)游戲、炒股軟件、加密隧道等網(wǎng)絡(luò)應(yīng)用按用戶和時間進(jìn)行阻斷或精確到1Kbps的帶寬限流，合理優(yōu)化網(wǎng)絡(luò)流量。從而很好地彌補了防火墻、入侵檢測等產(chǎn)品的不足，提供了動態(tài)、主動、深度的安全防護(hù)。可用于對虛擬機或重要應(yīng)用進(jìn)行攻擊防護(hù)。

·虛擬防病毒網(wǎng)關(guān)（Leadsec-vAVGW）：網(wǎng)御與國內(nèi)知名防病毒廠商強強聯(lián)合，在病毒庫方面，確保網(wǎng)絡(luò)病毒特征庫能夠得到實時更新，可以迅速、準(zhǔn)確的查殺網(wǎng)絡(luò)中的病毒、蠕蟲、木馬等惡意代碼。可用于防止虛擬機之間病毒及惡意代碼傳輸。

·虛擬VPN（Leadsec-vVPN）：網(wǎng)御VPN產(chǎn)品可以讓任意組織的員工、客戶和合作伙伴隨時隨地安全訪問組織內(nèi)部的郵件、文件服務(wù)器、Web應(yīng)用和其他核心的商用應(yīng)用系統(tǒng)，同時保證最強的安全性和最短的應(yīng)用響應(yīng)時間，以及對用戶端的全應(yīng)用支持，從而提高組織的生產(chǎn)效率，降低IT投入成本。可為用戶遠(yuǎn)程訪問特定的虛擬網(wǎng)絡(luò)建立安全通信通道。

圖1虛擬安全網(wǎng)關(guān)設(shè)備的產(chǎn)品形態(tài)和部署場景。

產(chǎn)品特色

網(wǎng)御星云為服務(wù)器虛擬網(wǎng)絡(luò)安全防護(hù)研發(fā)出了虛擬化安全網(wǎng)關(guān)系列產(chǎn)品，可以支持目前主流的多款服務(wù)器虛擬化平臺，包括VMware ESXi、XenServer、KVM及國內(nèi)本土公司方物軟件研發(fā)的Fronware vServer。虛擬安全網(wǎng)關(guān)設(shè)備在服務(wù)器虛擬化平臺上部署為安全虛擬機，能提供靈活的網(wǎng)絡(luò)配置和連接，具備相關(guān)物理硬件設(shè)備的一切安全功能，增強了虛擬環(huán)境下虛擬機間流量的可視性和可控性，部署方便、授權(quán)簡便、操作便捷，虛擬安全網(wǎng)關(guān)產(chǎn)品可以由Leadsec安全管理平臺集中管控，同時支持病毒庫及虛擬機的在線更新和升級功能。簡而言之，虛擬環(huán)境安全網(wǎng)關(guān)系列產(chǎn)品的優(yōu)勢和特色如下所述：

·支持多種虛擬化平臺環(huán)境

·以虛擬機方式部署

·具備硬件設(shè)備的相同安全功能

·使虛擬機間流量可視、可控

·可接受安全管理平臺統(tǒng)一管理

產(chǎn)品功能

網(wǎng)御星云虛擬化安全網(wǎng)關(guān)系列產(chǎn)品Leadsec-vUTM的主要功能描述如下表所示。

產(chǎn)品規(guī)格

網(wǎng)御星云虛擬化安全網(wǎng)關(guān)系列產(chǎn)品Leadsec-vUTM主要規(guī)格描述如下表所示。

實際性能取決于硬件水平和為虛擬安全網(wǎng)關(guān)分配的資源，上述表格中的數(shù)據(jù)來自硬件配置為DELL PowerEdge T310，CPU為Intel Xeon X3430 2.4GHz，內(nèi)存為4GB，測試平臺分別為VMware ESXi4.1/Citrix XenServer 5.6/Fronware vServer2.5。

產(chǎn)品部署

虛擬化安全網(wǎng)關(guān)系列產(chǎn)品采用了虛擬化技術(shù)，將產(chǎn)品以安全虛擬機的方式在云環(huán)境下部署，虛擬機鏡像運行后可以為服務(wù)器內(nèi)的虛擬網(wǎng)絡(luò)提供統(tǒng)一的防護(hù)策略，實現(xiàn)了2-7層的動態(tài)實時防護(hù)。圖2-圖3是運行在VMware ESXi 4.1虛擬平臺下的虛擬防火墻Leadsec-vUTM及虛擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖。

圖2

圖3

網(wǎng)御星云此次發(fā)布的虛擬環(huán)境安全網(wǎng)關(guān)系列產(chǎn)品與已上市多年的硬件安全設(shè)備具有一定的互補性：當(dāng)產(chǎn)生威脅的攻擊源與被攻擊虛擬機不在同一物理機上時，部署的硬件安全設(shè)備仍然有效，另一方面，需要針對虛擬環(huán)境部署安全網(wǎng)關(guān)系列軟件產(chǎn)品，可以防止同一物理計算機上不同虛擬機之間的訪問控制和安全。另外，這兩類產(chǎn)品都能通過Leadsec集中安全管理平臺管控，用戶可以根據(jù)需求靈活選擇，從而對數(shù)據(jù)中心的物理環(huán)境和虛擬環(huán)境提供綜合防護(hù)。