“大風起兮云飛揚”,用這句古詩來描述近年來“云計算”的風起云涌之勢十分貼切。云計算經過了霧里看花的朦朧、眾說紛紜的迷茫,到現在各類應用與服務呈現出了百花齊放的姿態,引領著信息科技邁入了新紀元,而服務器虛擬化的廣泛需求與普及為云計算的落地鋪就了一條低成本、高效率、高可靠之路。
“安得猛士兮守四方”,有關云計算安全的擔憂一直是云計算推進的關鍵障礙,務虛的需求分析和解決方案/框架很多,但是從國內云計算安全產業的現狀看,真正用來保護云計算環境安全的、可以立即獲得的產品并不多,而任何解決方案的實施最終必將落實到可用的安全產品和服務上。網御星云公司經過多年的技術儲備和積累,在網絡安全產品方面擁有眾多核心技術,目前經過攻關研發,發布了面向云計算數據中心的虛擬化安全網關系列產品,包括:Leadsec-vFW、Leadsec-vUTM、Leadsec-vIPS、Leadsec-vAVGW、Leadsec-vVPN,為云計算環境下數據中心的防護提供了堅實的支撐。
產品簡介
在虛擬化數據中心環境中需要部署很多應用系統,各個虛擬機及應用系統之間的安全防護和訪問控制帶來了很多新的安全威脅與挑戰: 因為傳統硬件安全設備只能部署于物理邊界,無法對同一物理計算機上的虛擬機之間的通信進行細粒度訪問控制。網御星云虛擬化安全網關系列產品增強了虛擬環境內部虛擬機流量的可視性和可控性,Leadsec安全虛擬機具備Leadsec相關硬件設備的所有功能,可以隨時隨地為用戶提供虛擬環境內部的全方位網絡安全防護。
網御星云虛擬安全網關系列產品如下:
· 虛擬防火墻(Leadsec-vFW):網御防火墻采用創新的VSP(Versatile Security Platform)通用安全平臺、USE(Uniform Security Engine)統一安全引擎、基于應用的內容識別控制及主動云防御技術,具備了高智能、高性能、高安全性、高健壯性、高擴展性等特點,實現了多種安全功能獨立安全策略的統一配置,可以方便用戶構建可管理的等級化安全體系,從而實現了面向業務的安全保障。可用于針對虛擬機及應用的安全訪問控制。
·虛擬UTM(Leadsec-vUTM): 網御UTM產品在安全引擎中運用了專利算法和技術,針對病毒檢測,內容分析等海量掃描活動使用了高效的啟發式掃描,針對傳統包過濾無法檢測的威脅,采用了完全內容檢測技術,針對未知的攻擊行為,使用了實時動態保護技術,確保安全引擎在功能全部開啟后繼續保持高性能運行。可用于對虛擬機、應用進行深度訪問控制和綜合安全防護。
·虛擬IPS(Leadsec-vIPS): 集成了流狀態跟蹤、協議分析、深度內容解析、異常檢測、關聯分析等多種分析、檢測技術,配合實時更新的事件特征庫,可攔截蠕蟲、病毒、木馬、間諜軟件、DDoS/DoS、SQL注入、XSS跨站腳本等各種網絡攻擊行為,有效凈化網絡流量。同時提供豐富的上網行為管理功能,可對P2P下載、IM聊天軟件、在線視頻、網絡游戲、炒股軟件、加密隧道等網絡應用按用戶和時間進行阻斷或精確到1Kbps的帶寬限流,合理優化網絡流量。從而很好地彌補了防火墻、入侵檢測等產品的不足,提供了動態、主動、深度的安全防護。可用于對虛擬機或重要應用進行攻擊防護。
·虛擬防病毒網關(Leadsec-vAVGW):網御與國內知名防病毒廠商強強聯合,在病毒庫方面,確保網絡病毒特征庫能夠得到實時更新,可以迅速、準確的查殺網絡中的病毒、蠕蟲、木馬等惡意代碼。可用于防止虛擬機之間病毒及惡意代碼傳輸。
·虛擬VPN(Leadsec-vVPN):網御VPN產品可以讓任意組織的員工、客戶和合作伙伴隨時隨地安全訪問組織內部的郵件、文件服務器、Web應用和其他核心的商用應用系統,同時保證最強的安全性和最短的應用響應時間,以及對用戶端的全應用支持,從而提高組織的生產效率,降低IT投入成本。可為用戶遠程訪問特定的虛擬網絡建立安全通信通道。
圖1虛擬安全網關設備的產品形態和部署場景。
產品特色
網御星云為服務器虛擬網絡安全防護研發出了虛擬化安全網關系列產品,可以支持目前主流的多款服務器虛擬化平臺,包括VMware ESXi、XenServer、KVM及國內本土公司方物軟件研發的Fronware vServer。虛擬安全網關設備在服務器虛擬化平臺上部署為安全虛擬機,能提供靈活的網絡配置和連接,具備相關物理硬件設備的一切安全功能,增強了虛擬環境下虛擬機間流量的可視性和可控性,部署方便、授權簡便、操作便捷,虛擬安全網關產品可以由Leadsec安全管理平臺集中管控,同時支持病毒庫及虛擬機的在線更新和升級功能。簡而言之,虛擬環境安全網關系列產品的優勢和特色如下所述:
·支持多種虛擬化平臺環境
·以虛擬機方式部署
·具備硬件設備的相同安全功能
·使虛擬機間流量可視、可控
·可接受安全管理平臺統一管理
產品功能
網御星云虛擬化安全網關系列產品Leadsec-vUTM的主要功能描述如下表所示。
|
功能類別 |
功能描述 |
|
平臺支持 |
支持VMware ESXi、XenServer、KVM及Fronware vServer等虛擬化平臺。 |
|
工作模式 |
支持虛擬機模式部署,可工作于虛擬化平臺內部,保護虛擬機之間的訪問 支持透明模式、路由模式、混合模式 |
|
授權模式 |
支持軟件License模式授權,可隨需擴展節點和功能 |
|
防火墻 |
可基于IP地址、協議、物理接口、時間、應用、用戶等下達安全策略 |
|
VPN |
支持PPTP、IPSec和 SSL 等多種VPN |
|
入侵防護 |
實時的基于網絡的入侵檢測和阻斷系統 |
|
防病毒 |
能夠檢測,消除感染現有網絡的病毒和蠕蟲,實時的掃描輸入和輸出郵件,實現對灰色軟件、間諜軟件及其變種進行阻斷 |
|
Web內容過濾 |
支持URL域名、關鍵詞模式匹配、黑白名單列表等內容過濾 |
|
反垃圾郵件 |
支持黑白名單、反向DNS等反垃圾郵件技術,支持實時黑名單RBL,在線查詢垃圾郵件服務器,阻斷垃圾郵件源 |
|
漏洞掃描 |
可以對后門、服務探測、文件共享、系統補丁、IE漏洞等主動式掃描 |
|
認證方式 |
支持LDAP、Radius 、TACACS/TACACS+、WindowsAD、PKI證書等多種認證方式 |
|
關聯安全應用 |
支持CSC安全關聯協議,可實現與內網安全管理系統之間的聯動 |
|
安全管理 |
可通過LeadSec安全管理系統,實現安全審計、日志分析、安全報警等功能 |
|
日志 |
可對流量、攻擊事件、垃圾郵件、Web過濾等各方面內容,進行日志審計 |
|
高可用性 |
支持多種模式的HA |
產品規格
網御星云虛擬化安全網關系列產品Leadsec-vUTM主要規格描述如下表所示。
|
Leadsec-vUTM 技術參數 |
|||
|
支持的虛擬化平臺及版本 |
VMware ESXi/ESX3.5/4.0/4.1 |
Citrix XenServer 5.5/5.6 |
Fronware vServer2.5 |
|
網絡接口數量 |
10 |
7 |
10 |
|
10/100/1000接口 |
支持 |
支持 |
支持 |
|
最小存儲空間 |
30GB |
30GB |
30GB |
|
最小內存 |
512MB |
512MB |
512MB |
|
系統性能 |
|||
|
防火墻吞吐量 |
N/A |
N/A |
N/A |
|
IPSec VPN吞吐量 |
N/A |
N/A |
N/A |
|
防病毒吞吐量 |
N/A |
N/A |
N/A |
|
網關到網關IPSec通道數量 |
N/A |
N/A |
N/A |
|
并發IPSec通道數 |
>5000 |
>5000 |
>5000 |
|
并發會話數 |
>120萬 |
>120萬 |
>120萬 |
|
最大SSL用戶數 |
200 |
200 |
200 |
|
防火墻策略數 |
>4096 |
>4096 |
>4096 |
|
虛擬域(最大/缺省) |
256/10 |
256/10 |
256/10 |
實際性能取決于硬件水平和為虛擬安全網關分配的資源,上述表格中的數據來自硬件配置為DELL PowerEdge T310,CPU為Intel Xeon X3430 2.4GHz,內存為4GB,測試平臺分別為VMware ESXi4.1/Citrix XenServer 5.6/Fronware vServer2.5。
產品部署
虛擬化安全網關系列產品采用了虛擬化技術,將產品以安全虛擬機的方式在云環境下部署,虛擬機鏡像運行后可以為服務器內的虛擬網絡提供統一的防護策略,實現了2-7層的動態實時防護。圖2-圖3是運行在VMware ESXi 4.1虛擬平臺下的虛擬防火墻Leadsec-vUTM及虛擬網絡拓撲結構示意圖。
圖2
圖3
網御星云此次發布的虛擬環境安全網關系列產品與已上市多年的硬件安全設備具有一定的互補性:當產生威脅的攻擊源與被攻擊虛擬機不在同一物理機上時,部署的硬件安全設備仍然有效,另一方面,需要針對虛擬環境部署安全網關系列軟件產品,可以防止同一物理計算機上不同虛擬機之間的訪問控制和安全。另外,這兩類產品都能通過Leadsec集中安全管理平臺管控,用戶可以根據需求靈活選擇,從而對數據中心的物理環境和虛擬環境提供綜合防護。
