云计算安全技术方案

1、 云数据中心安全（云计算安全详细技术方案）目 录 TOC o 1-4 h z u HYPERLINK l _Toc526956204 1云计算带来的安全挑战 PAGEREF _Toc526956204 h 4 HYPERLINK l _Toc526956205 2技术架构设计 PAGEREF _Toc526956205 h 6 HYPERLINK l _Toc526956206 2.1基础安全设计 PAGEREF _Toc526956206 h 6 HYPERLINK l _Toc526956207 2.1.1下一代防火墙 PAGEREF _Toc526956207 h 6 HYPERLINK

2、 l _Toc526956208 2.1.2入侵防护/检测 PAGEREF _Toc526956208 h 6 HYPERLINK l _Toc526956209 2.1.3流控/网络审计 PAGEREF _Toc526956209 h 7 HYPERLINK l _Toc526956210 2.1.4防病毒 PAGEREF _Toc526956210 h 7 HYPERLINK l _Toc526956211 2.1.5安全应用交付 PAGEREF _Toc526956211 h 8 HYPERLINK l _Toc526956212 2.1.6WAF PAGEREF _Toc5269562

3、12 h 8 HYPERLINK l _Toc526956213 2.1.7安全管理中心 PAGEREF _Toc526956213 h 8 HYPERLINK l _Toc526956214 2.2云环境安全设计 PAGEREF _Toc526956214 h 9 HYPERLINK l _Toc526956215 2.2.1强身份认证 PAGEREF _Toc526956215 h 9 HYPERLINK l _Toc526956216 2.2.2虚拟防火墙 PAGEREF _Toc526956216 h 9 HYPERLINK l _Toc526956217 2.2.3虚拟应用交付 PA

4、GEREF _Toc526956217 h 9 HYPERLINK l _Toc526956218 2.2.4安全接口 PAGEREF _Toc526956218 h 9 HYPERLINK l _Toc526956219 2.2.5云安全运维中心 PAGEREF _Toc526956219 h 10 HYPERLINK l _Toc526956220 3整体方案 PAGEREF _Toc526956220 h 11 HYPERLINK l _Toc526956221 3.1设计思路 PAGEREF _Toc526956221 h 11 HYPERLINK l _Toc526956222 3.

5、2数据存储安全 PAGEREF _Toc526956222 h 12 HYPERLINK l _Toc526956223 3.3虚拟机安全 PAGEREF _Toc526956223 h 13 HYPERLINK l _Toc526956224 3.4管理平台安全 PAGEREF _Toc526956224 h 17 HYPERLINK l _Toc526956225 3.5虚拟云安全交付 PAGEREF _Toc526956225 h 19 HYPERLINK l _Toc526956226 3.6方案配置 PAGEREF _Toc526956226 h 22 HYPERLINK l _To

6、c526956227 3.6.1产品列表 PAGEREF _Toc526956227 h 22 HYPERLINK l _Toc526956228 3.6.2方案合规性分析 PAGEREF _Toc526956228 h 25云计算带来的安全挑战云计算模式当前已得到业界普遍认同，成为信息技术领域新的发展方向。但是，随着云计算的大量应用，云环境的安全问题也日益突出。在众多对云计算的讨论中，IDC的调查非常具有代表性：“对于云计算面临的安全问题， 75%的用户对云计算安全担忧。”各种调研数据也表明：安全性是用户选择云计算的首要考虑因素。云计算的一个重要特征就是IT资源的大集中，而随着资源的集中，相

7、应的安全风险也呈现集中化的趋势。虽然云计算相对传统计算网络具备一定的安全优势，但数据的大集中会引来不法分子众矢之的更多攻击。因此，做好云的安全防护要从建设云的阶段就开始规划设计，这样才能做到防患于未然。云计算在技术层面上的核心特点是虚拟化技术的运用带来的资源弹性和可扩展性，虚拟机和应用程序随时可能迁移或变更，仅仅依靠传统的基于物理环境拓扑的安全设备已经不能完全解决云计算环境下的安全问题。因此，虚拟化后的云计算系统需要重新构建安全防护体系。所以，在安全云的信息化建设过程中，我们应当正视可能面临的各种安全风险，对网络威胁给予充分的重视。为了云数据中心的安全稳定运行，确保项目的顺利实施，公司具备多年

8、云计算中心构造、运维的经验，根据云数据中心现有的网络特点及安全需求，本着切合实际、保护投资、着眼未来的原则，提出本技术实施方案，以供参考。技术架构设计云计算技术能够快速落地并被人们接受，离不开虚拟化技术、高速存储技术、虚拟网络技术和安全技术的高速发展。在云计算平台所具备强大的弹性、扩展能力之下，伴随着更多更复杂的应用场景的出现，安全防范是必不可少的基础。作为提供云计算服务的公司，无论是为客户建设私有云，还是自建公有云出租，都必须具备一定的安全能力来保障客户的信息和数据安全。本文总结公司多年云计算和云安全产品研发及项目运维的经验，从基础安全（纵向/南北）、云环境安全（横向/东西）两部分进行全面分

9、析和设计，为客户设计一套合理、可靠、合规的云计算安全方案。基础安全设计下一代防火墙下一代防火墙NGFW（Next Generation Firewall）在未来的网络安全设计中更加不可或缺，作为目前智能防火墙及UTM的升级版产品。NGFW具备更高的抗攻击性能、更广泛的应用识别、一体化的深度DPI安全过滤，同时也具备对虚拟化应用平台的兼容性支持和软件定义安全的模式识别。无论如何，在云数据中心的基础安全中，FW或NGFW是必不可少的网络安全网关。入侵防护/检测在云数据中心基础网络边界和主要服务器区安全域均需要设计部署防火墙，对每个安全域进行严格的访问控制。鉴于以上对防火墙核心作用的分析，需要其他具

10、备检测新型的混合攻击和防护的能力的设备和防火墙配合，共同防御来自应用层到网络层的多种攻击类型，建立一整套的安全防护体系，进行多层次、多手段的检测和防护。入侵防御/防护系统（IDS/IPS）就是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。流控/网络审计云数据中心提供面向互联网的服务，包括门户网站、互联网数据收集服务等，这些服务集中在互联网服务区安全域中。对于服务的访问流量，是我们需要保护的流量。但是，往往有一些“异常”的流量，通过部分或完全占据网络资源，使得正常的业务访问延迟或中断。可能发生在互联网服务区安全边界的异常流量，根据产生原因的不同，大致

11、可以分为两类：攻击流量、病毒流量。通过在互联网服务区安全边界最外侧部署流量管理系统，可以实时的发现并阻断异常流量，为正常的互联网访问请求提供高可靠环境。流量控制系统部署在互联网服务区安全边界最外层，直接面向互联网，阻断来自互联网的攻击，阻断病毒的自动探测和传播。各安全区域边界需部署对应的安全设备负责进行区域边界的安全。对于流经各主要边界（重要服务器区域、外部连接边界）需要设置必要的审计机制，进行数据监视并记录各类操作，通过审计分析能够发现跨区域的安全威胁，实时地综合分析出网络中发生的安全事件。一般可采取开启边界安全设备的审计功能模块，根据审计策略进行数据的日志记录与审计。同时审计信息要通过安全

12、管理中心进行统一集中管理，为安全管理中心提供必要的边界安全审计数据，利于管理中心进行全局管控。边界安全审计和主机审计、应用审计、网络审计等一起构成完整的、多层次的审计系统。防病毒在云数据中心边界部署防病毒模块，采用透明接入方式，在安全边界处进行集中防护，对夹杂在网络交换数据中的各类网络病毒进行过滤，可以对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散，将经网络传播的病毒阻挡在外，可以有效防止病毒从其他区域传播到内部其他安全域中。安全应用交付应用交付产品（ADC）集成高性能链路负载均衡和4-7层服务器应用负载均衡，保证应用

13、数据在错综复杂的网络中获得最佳传输路径。完善的链路、应用服务健康检查机制，及时诊断出不能正常工作或负载过重的链路和服务器。能够根据应用、链路的健康状况，智能调整流量在多链路、多服务器之间的分配，并自动完成切换，提升网络和应用的可用性。云数据中心的网络流量复杂，为了保障应用安全可靠的交付到客户端，需精确应用识别与控制，避免传统队列机制所带来的广域网下行带宽的浪费，实现优先级管理、带宽保障以及带宽的公平使用，提升应用体验。云数据中心的应用具备弹性和迁移能力，一款设计良好并具备良好虚拟化技术兼容性的安全应用交付产品（SADC）也是必不可少的。WAF近几年，基于Web的攻击方式愈发的多样，而且相比传统

14、的主机渗透&提权等攻击方式，Web攻击的效果更加直接和明显。比如SQL注入攻击，可以直接让被攻击方的数据库漏洞暴露出来，有可能一条攻击指令获得重要数据。如今网络安全环境日益恶化，Web攻击方式多种多样，包括XSS跨站脚本、CGI缓冲区溢出、目录遍历、Cookie假冒等。为了应对Web攻击，WAF设备再配合网页防篡改软件，是保障Web服务能够持续可靠的提供服务的最佳选择。安全管理中心安全管理中心用于支撑云数据中心全面的安全审计和运维，功能包括：实现对数据中心网络环境中安全设备的集中管理；对整体网络进行各种监控，并对监控数据分析生成报表；对主机、网络设备和安全设备的日志进行安全审计并进行深入分析。

15、云环境安全设计以强身份认证为基础，云计算平台可提供虚拟化层面的云安全防护功能和云管理层面的云安全运维功能，可以为云平台提供全面的安全保护功能。强身份认证云环境系统必须具备强身份认证安全体系，双因子认证或更强身份识别手段保障云数据中心用户的安全接入。同时具备详细的双向认证设计，并具备用户行为审计系统，可确保事后用户行为可溯源。虚拟防火墙基于虚拟化层面的云安全防护用于保证云环境下虚拟网络和数据的安全。基于SDN/NFV技术来实现虚拟网络安全，包括访问控制、应用流量识别在宿主机层面实现Hypervisor层防火墙动态的，可基于API的配置模式可支持基于VM 名称, 用户ID的安全策略具备较好性能，云

16、平台虚拟防火墙线速转发不低于10Gbps虚拟应用交付基于虚拟化层面的云应用交付系统可在客户的应用之前建立一套安全屏障用于保证云环境下虚拟网络和数据信息的安全，并且通过应用交付强大的应用负载和全局负载功能更好的实现弹性、可伸缩、按需所取的云计算资源。安全接口云操作系统作为一个开放平台，必须为自身的健壮性负责。在整个云环境中，包括计算、存储、网络、安全、管理等各个方面，都需要对外有安全的接口设计。所以在系统建设之初，或者在系统投入使用之后，都要建立完善的API的安全访问机制。云安全运维中心云安全运维中心用于支撑云计算平台全面的安全审计和运维，功能包括：实现对虚拟网络环境中安全设备的集中管理；对虚拟

17、化网络进行全面监控，并对监控数据分析生成报表；对虚拟机主机、虚拟网络环境和虚拟安全设备的日志进行安全审计并进行深入分析。整体方案设计思路在进行云计算数据中心安全方案设计时，将遵循以下思路：保障云平台及其配套设施系统除了提供弹性灵活的计算资源服务基础平台外，还有配套的云管理平台、运维管理平台等。要保障虚拟化的安全，必须从整体出发，保障系统承载的各种业务、服务的安全。基纵深防护体系设计对于整个云计算数据中心来说根据威胁、安全需求和策略的不同，划分为不同的安全域，并基于安全域设计相应的边界防护策略、内部防护策略，部署相应的防护措施，从而构造起纵深的防护体系。当然，在云平台中，安全域的边界可能是动态变

18、化的，但通过相应的技术手段，可以做到动态边界的安全策略跟随，持续有效的保证系统的安全。以安全服务为导向，符合虚拟化的特点云计算的特点是按需分配、资源弹性、自动化、重复模式，并以服务为中心。因此，对于安全控制措施选择、部署、使用来讲必须满足上述特点，即提供资源弹性、按需分配、自动化的安全服务，满足云平台的安全保障要求。充分利用现有安全控制措施及最新技术在云环境中，还存在的传统的网络、主机等，同时，云主机中也有相应的操作系统、应用和数据，传统的安全控制措施仍旧可以部署、应用和配置，充分发挥防护作用。另外，部分安全控制措施已经具有了虚拟化版本，也可以部署在云平台上，进行云平台中的东西向流量进行检测、

19、防护。充分考虑安全运营随着系统的运行，会出现大量云安全实例的增加和消失，需要对相关的网络流量进行调度和监测，对风险进行快速的监测、发现、分析及相应管理，并不断完善安全防护措施，提升安全防护能力。数据存储安全数据完整性云数据中心的所有数据存储在后端的统一存储系统上。在存储系统中可采用RAID技术保证数据的完整性，应对部分磁盘失效的情况。分布式存储系统还可以采用多副本技术最大限度的保证数据的安全性，当出现磁盘故障甚至节点故障时，分布式存储系统可以通过本身的机制自动在其他数据节点上重建失效部分的数据，整个过程无需人工干预，实现零运维成本。卷快照机制统一存储系统支持对整个数据卷的快照功能，并在出现故障

20、时快速的回滚到故障前的快照时间点。备份与恢复云数据中心的数据包括数据库系统的业务数据、虚拟机磁盘镜像数据以及其他文件数据等。其备份系统建设可分为以下几个层面：虚拟机磁盘文件备份。在虚拟化管理平台中可以直接对虚拟机的磁盘镜像文件进行备份，而无需第三方的备份软件介入。备份任务可以按照计划定时自动的执行，无需人工干预，降低运维的复杂度。数据库数据的备份。对数据库数据的备份可通过部署专门的备份系统，指定备份计划，选择全备份或者增量备份。备份可以通过TCP/IP网络进行，也可以直接通过FC光纤网络进行数据块级的备份。备份的目标存储可以是与原数据相同的存储系统，也可以是另外一个独立的存储系统。非结构化文件

21、备份。用户产生的数据以及应用产生的一些非结构化文件数据也可以通过备份系统进行备份。备份系统可以与数据库备份同一套系统。采用软硬一体化的备份系统可以降低部署和运维的复杂度，避免软硬件兼容性等问题。访问权限控制统一存储系统中根据不同的业务应用划分了一个个不同存储区域，每个业务应用只能访问属于自己那块的存储空间，不同业务应用之间不能直接在存储系统层面相互访问数据。虚拟机安全在云数据中心的共享域和专有域，其密级、架构、功能都类似，故在设计方案时总体来考虑。跟传统网络通过安全设备做各个业务区域的隔离、流量的分析不同，云环境下同一个物理机当中的多个虚拟机中可能部署多个业务，而业务之间的流量直接通过虚拟化操

22、作系统的vSwitch进行转发，不出物理机，无法进行有效的网络隔离以及流量的分析。因此，需要一种软件定义安全的方式，在每台物理机上分配一台单独的虚拟机作为集中安全网关模块，该网关模块会与Hypervisor深度结合，对进出每一个虚拟机的所有流量进行捕获、分析及控制，从而实现虚拟平台内部东西向流量之间的防护。其具备的具体功能如下：功能强大的威胁防御提供对云平台的立体威胁防御，包括：恶意代码防护恶意代码包括：病毒、蠕虫、木马后门等，包括实时扫描、预设扫描及手动扫描功能，处理措施包含清除、删除、拒绝访问或隔离恶意软件。检测到恶意软件时，可以生成警报日志。防火墙它可用于启用正确的服务器运行所必需的端口

23、和协议上的通信，并阻止其他所有端口和协议，降低对服务器进行未授权访问的风险。其功能如下： 虚拟机隔离：需要对不同单位（租户）的虚拟机业务系统进行隔离，且无需修改虚拟交换机配置即可提供虚拟分段。细粒度过滤：通过实施有关 IP 地址、Mac 地址、端口及其他内容的防火墙规则过滤通信流。可为每个网络接口配置不同的策略。覆盖所有基于 IP 的协议：通过支持全数据包捕获简化了故障排除，并且可提供宝贵的分析见解，有助于了解增加的防火墙事件 TCP、UDP、ICMP 等。侦察检测：检测端口扫描等活动。还可限制非 IP 通信流，如 ARP 通信流。灵活的控制：状态型防火墙较为灵活，可在适当时以一种受控制的方式

24、完全绕过检查。它可解决任何网络上都会遇到的通信流特征不明确的问题，此问题可能出于正常情况，也可能是攻击的一部分。预定义的防火墙配置文件：对常见企业服务器类型（包括 Web、LDAP、DHCP、FTP 和数据库）进行分组，确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。可操作的报告：通过详细的日志记录、警报、仪表板和灵活的报告，Deep Security 防火墙软件模块可捕获和跟踪配置更改（如策略更改内容及更改者），从而提供详细的审计记录。入侵检测和阻止 (IDS/IPS) 在操作系统和企业应用程序安装补丁之前对其漏洞进行防护，以提供及时保护，使其免受已知攻击和零日攻击。基于模式

25、匹配、异常检测、统计分析等入侵检测和协议分析技术，阻挡各种入侵攻击，如蠕虫、木马、间谍软件、广告软件、缓冲区溢出、扫描、非法连接、SQL注入、XSS跨站脚本等攻击，攻击特征库可在线更新或离线更新。异常流量清洗对畸形报文及分布式拒绝服务攻击（DDOS）进行防御，将异常的流量进行清洗，放行正常流量。WEB应用防护Web 应用防护规则可防御 SQL 注入攻击、跨站点脚本攻击及其他 针对Web 应用程序漏洞攻击，在代码修复完成之前对这些漏洞提供防护，识别并阻止常见的 Web 应用程序攻击，并可实现网页防篡改功能。应用程序控制应用程序控制能够识别网络中的七层流量，可针对访问网络的应用程序提供更进一步的可

26、见性控制能力。能够阻止隐藏或封装在正常四层数据报文中的恶意程序或者恶意软件，并能够对网络中的非业务流量进行精确的限制。 日志审计对所有可疑或有害的网络事件进行记录，提供有效的行为审计、内容审计、行为报警等功能。满足分级保护对于安全的审计备案及安全保护措施的要求，提供完整的流量记录，便于信息追踪、系统安全管理和风险防范。虚拟机之间的数据流量检查及控制利用细粒度的防火墙策略和一流的立体威胁防御功能，对所有虚拟机之间的数据流量进行检查，从而确保虚拟机的安全性。与虚拟化操作系统Hypervisor深度结合，在管理程序内部无缝实施安全防护措施。安全网关模块支持分离虚拟应用，从而避免相互感染以及外部威胁。

27、集成的IPS利用基于签名和协议异常的入侵防御功能，来保护FTP、HTTP和VoIP等关键业务服务免遭已知和未知攻击。提供对特征库的更新，以便实施最新的防护措施。增强动态云环境的安全性当虚拟机从一个物理机向另一个物理机进行实时迁移或者新增虚拟机时，不能够终端对虚拟机的保护。当虚拟机在不同物理机之间的漂移时，安全策略能够在保持开放连接的情况下跟随虚拟机实时迁移，无需手动配置安全策略，对虚拟机的防护随着漂移实时生效，不产生中断。在创建新虚拟机时，根据配置好的模板自动实施安全策略。完全虚拟化的安全网关依赖传统物理安全设备对虚拟机间流量进行检测会影响性能，同时也会增加网络结构的复杂性。通过部署完全虚拟化

28、的安全网关模块，可以避免复杂的网络结构，并可降低网络延时、提升安全检测提升性能、优化部署成本。安全网关模块以虚拟机的形式部署在每一台物理机上，在逻辑上提供透明或者网关等多种部署方式。利用集成的防火墙、IPS、VPN、DDoS防护、防病毒、僵尸网络防护、防垃圾邮件、URL过滤、Web安全、数据防泄漏等功能，保护虚拟机免遭外部威胁以及互相感染，并可通过安全网关模块对不同业务进行访问控制的隔离。对虚拟机提供即插即用的安全保护对虚拟机自动启动安全策略，而无需为虚拟机、VLAN或vSwitch改变网路拓扑，减少管理运维成本。统一管理通过专门的云安全管理平台对多个物理机之上的云安全网关模块进行统一管理及统

29、一配置，无需登陆到每台物理机上进行运维。为增加部署的灵活性，该管理平台可根据计算资源的实际情况，灵活部署在虚拟机或者物理机之上。管理平台安全云计算技术实现了资源的集中部署、集约管理和统一调度，资源管理权限的集中也带来了更多的安全需求。电子政务内网云数据中心接入单位多、应用数量多，有物理设备管理员、虚拟化设备管理员、各单位业务系统用户等，用户对虚拟资源的操作更加复杂化，安全控制精细程度更高且操作审计覆盖面更广。传统的物理服务器安全管理基于4A的用户访问控制系统，即用户账号（account）管理、认证（authentication）管理、授权（authorization）管理和安全审计（audit

30、），无法满足虚拟化计算环境下的安全控制需求。因此云环境下的权限管理必须要对现有4A系统进一步加强，包括身份识别与访问操作的控制和审计，实现与已有4A系统和信息安全管理中心的对接，从而实现虚拟化资源管理的安全。云环境下的资源管理权限高度集中，一旦分配不当容易造成很大的安全隐患，因此必须要对管理员进行更细粒度的权限管理与操作审计，对各业务系统所管辖的虚拟化计算资源系统账号和应用账号进行集中管理、统一认证、集中授权和综合审计。云环境下的资源均纳入虚拟化管理平台管理，因此要实现物理资源与虚拟资源的用户访问控制，必须将基于4A的传统运维系统与虚拟化管理平台结合，形成两层用户访问控制，协同实现对物理资源与

31、虚拟资源的全面访问管理。基于4A的传统运维系统侧重纳管所有物理资源，包括云数据中心中的物理资源，对物理资源访问用户进行账号管理、认证、授权和操作审计；虚拟化管理平台侧重纳管虚拟资源，对虚拟资源访问用户进行账号管理、认证、授权和操作审计等。虚拟化管理平台的安全保障措施包括：一要保障所有用户操作虚拟资源时都必须经过虚拟化管理平台，关闭其他途径；二要对虚拟机进行的所有修改类操作（包括创建、删除、启动、停止、备份、恢复等）进行审计日志留存；另外，针对接入数据中心的各电党政机关单位提供多种灵活的访问认证方式，如口令加动态密码双因子认证、硬件密匙认证等，把安全措施显性化，增强平台的安全性。另外，虚拟化管理

32、平台需要实时监控数据中心的各种资源使用和运行情况，包括CPU负载、磁盘使用情况、服务器内存等。系统资源运行异常时，虚拟化管理平台能以邮件、短信等形式通知管理员，协助管理员对系统的异常进行及时的处理。注：基础安全功能详解功能位置作用防火墙业务网数据中心区域边界内部办公网边界对业务网进行独立防护，进行访问控制、攻击防御对外部单位接入的各种数据交换进行访问控制、入侵防御IPS入侵防护IDS入侵检测业务网核心服务器区域边界实时监控并阻断针对数据中心核心业务服务器的入侵行为防毒墙网络边界实时监控并阻断网络层传输的，针对数据中心核心业务的病毒和木马行为SSL VPN网关外网边界对外网用户的可信接入进行身份

33、认证、数据加密、角色授权和访问审计等，保护办公网内部服务器资源的可用性，保障正常业务可控的访问上网行为审计网络流量控制外网边界对内部人员网络行为的约束与审计对网络流量进行整形，保障重要业务的网络带宽符合安全要求网页防篡改WAF外网DMZ网站服务区WEB应用安全防护，防止对外网站被破坏数据库审计部署在服务器网络中主要是实现所有用户对数据库访问及操作的行为进行审计分析对数据库操作进行记录、审计、授权、命令回放等身份认证系统部署在云安全管理中心区对内部所有服务器及应用系统的登录、身份识别进行认证及安全识别全面的监控和安全的身份认证安全隔离网闸业务网与办公网边界未来可用于业务网与其他机构外联边界与办公

34、网进行适度的、可控的数据交换，同时保持业务网的高度隔离状态，保护核心业务服务器的高度安全安全应用交付多链路安全交付服务器应用交付全局应用均衡对应用服务器和网络链路进行全面的安全交付放置在网络出口或者应用服务区堡垒主机运维安全风险管控内部安全管理放置在应用服务区对服务区运维人员和管理人员的行为进行全面监管，并且具备日志溯源回放虚拟云安全交付虚拟云安全应用交付可通过硬件或者软件的方式来为客户提供服务。硬件模式通过使用硬件的应用交付系统与云计算平台对接，为虚拟服务器提供服务；软件模式下则将ADC系统设计成云计算环境内部的安全交付应用模块，以虚拟机的方式来提供服务，在云环境中与VM一样，可随时生成、取

35、消、迁移等等。传统共享模式虚拟化只是在逻辑上将物理主机划分为多个虚拟主机。虽然用户看到的是“独立”的资源，但实际虚拟主机之间依然共享CPU、内存、接口等硬件资源。当其中某台虚拟主机流量过高或发生故障时，就会导致整个系统不可用。与传统的共享模式的虚拟化技术不同，安全应用交付应该实现真正支持基于Hypervisor的硬件虚拟化：在单一物理服务主机上最高可同时运行32个虚拟主机隔离，在同一物理主机上的虚拟机之间相互隔离独立，每个虚拟主机可指定自己的CPU、内存等资源分配，并拥有独立的管理员； 业务，每个虚拟主机都可以独立运行不同的业务模式，最大程度的满足用户需求。同时，软件形式的虚拟云应用交付系统亦

36、是实现SDN中不可或缺的功能。以下将对应用交付的技术功能进行详细描述。在系统里建立一个或多个虚拟服务VS（IP：Port），来映射内部的服务器组（云计算平台的虚拟VM）来对外提供的一种或者多种应用。VM被加入到地址池中（Pool），当有外部流量访问VS时，安全应用交付通过预先配置好的负载分担算法，从地址池中选择一台可用的VM作为应用提供者。同时安全应用交付实时对每个服务器节点进行健康检查，并且与云管理平台实时联动，当某一VM出现故障无法正常提供服务或者收到管理平台关闭某VM的指令，把该VM从Pool中的可用列表移出，不再向其分发流量。VM平滑接入和退出当有新的VM接入或者VM重新启动时，云应用

37、交付系统可以把流量逐步分配给其他VM来实现服务器的平滑接入，避免VM的某些进程还没有加载完成而导致系统服务无法正常响应或者应用响应缓慢的情况。云管理中心也可以通过设置手工方式操作把某台VM退出流量分担机制，此时云应用交付系统不再分配新的流量给该VM，该服务器的现有连接将继续保持，直至连接结束。七层内容交换四层交换主要是依赖IP和TCP/UDP层的信息进行流量的分配，而随着应用自身的复杂性和不断改善用户体验的需求，有时候需要为不同的用户类型返回不同的呈现内容，例如：把移动用户的手机/pad浏览器请求分发给专门经针对性过优化的服务器。把请求图片，文档，视频等静态内容分发给缓存服务器。根据浏览器自身

38、的语言设置，为不同语言区域的用户返回相应的页面可以根据HTTP请求的方法实现读写分离，HTTP读（get）请求分配给缓存服务器，HTTP写（post）请求分配给处理动态内容的服务器。云安全应用交付的七层内容交换可以识别用户请求报文的内容，如URL信息，应用数据类型，Cookie信息，浏览器类型，HTTP方法等内容，将流量分配给相应的应用VM。安全应用交付平台通过http-class来标识一个业务分类，http-class根据主机地址，URI路径，头信息和Cookie来定义，每个http-class可以关联一个服务器地址池，然后再虚拟服务（VS）的配置中，引用一个或者多个http-class。当

39、客户端请求访问虚拟服务时，安全应用交付设备进行http-class匹配，匹配成功的请求被分配给对应的地址池。TCP连接复用TCP连接复用技术使多个客户端共享一个到服务器的TCP连接，可以提升应用服务器的整体性能，使应用服务器从维护海量的TCP连接，并不断的进行TCP建立和拆除维护中解脱出来，极大的提升单台服务器的承载能力。安全应用交付设备在接到一个客户端HTTP请求后，通过负载分担算法会选择一台服务器建立连接。如果接收到正常的服务器响应，安全应用交付设备会把这个连接放入到“连接复用池”里面，当另外一个新的客户端发起HTTP连接请求时，安全应用交付设备从现有的连接池里面选择一个可用的连接来和服务

40、器的进行数据交互，而不是重新创建一个到服务器的连接。通过这种优化，可以把服务器负载降低到原来的1/10-50。方案配置产品列表以下产品列表是在满足等保三级的基础之上提出的，有部分产品没有，这里给出的是参考价格。序号设备型号设备配置数量单价（万元）合计（万元）1下一代防火墙配置6个千兆电口，4个千兆光口，1U机架，冗余电源。吞吐量10G，并发连接数500万，每秒新建连接数8万。领先的一体化检测引擎技术，支持IPv6，包含应用识别与用户识别功能、智能流量管理、应用管控、入侵防护、病毒防护、DNS防护、应用安全防护、URL过滤、垃圾邮件过滤、数据防泄密、内容过滤、基于云租户的安全防护等安全模块，支持路由、交换、访问控