云数据中心安全解决方案

传统安全防护方式

Internet防火墙

交换机

服务器

内部业务区

交换机

服务器

DMZ区

互联网区

以边界为核心的安全防护模型：

• 

根据信任级别划分安全区域

• 

服务器部署于不同物理位置

• 

服务器、网络设备、安全设备之间完全独立

• 

部署各种安全设备进行防护

防火墙

核心交换机

第一页，共19页。云计算模糊了物理边界

当虚拟机成为主流，物理边界在哪里？

核心交换机

接入交换机

物理服务器

虚拟机

第二页，共19页。云架构中安全无标准

物理设备

物理设备

Hypervisor

物理设备

计算虚拟化

存储虚拟化

自动化云管理

网络虚拟化

APP

APP

APP

APP

APP

APP

标准云架构

计算VMware、KVM、XEN、Docker、Nova……











网络VEPA、VN-TAG、OpenFlow、VXLAN、SPB、TRILL、Fabric

Path、Neutron……

















存储HDFS、Hbase、Swift、Cinder……



























安全？第三页，共19页。

澄清一个概念：什么是NFV？

服务器

VA

VA

VA

VA

VA

VA

服务器

VA

vRouter

vIPS

vDPI

vLB

vWAF

VM

NFV典型组网一

NFV典型组网二

NFV

vFW

服务器

VM

NFV：Network

Function

Virtualization采用服务器以软件方式处理传统独立的网络服务

VA

VA

VA

VA

VA

VA

第四页，共19页。

NFV更适合公有云平台

公有云

私有云

NFV特长：• 

虚拟化能力强• 

业务功能丰富• 

业务定义灵活NFV不足：• 

计算与安全未分离• 

纯软件平台，占用计算资源• 

性能较低• 

管理难度较大第五页，共19页。

云安全

·∙

安全云

·∙

云管理

01001001

00100000

01100001

01101101

00100000

01011010

01100101

01110010

01101111

01100110

01101100

01100001

01100111

00101110

第六页，共19页。

VXLAN

Fabric

Spine节点

云安全解决方案

VXLAN

Security

Gateway

Leaf节点

服务器

VM

采用VXLAN实现Overlay，解决多租户隔离安全问题

云安全

第七页，共19页。

VXLAN

1000

VXLAN

VLAN

100

VLAN

VXLAN

L3

Gateway

VXLAN

1000

VXLAN

VXLAN

2000

VXLAN

VXLAN组网中的Gateway类型

VXLAN

L2

Gateway

VXLAN二层网关

n

实现VXLAN网络与标准以太网的互通

n

在VXLAN与VLAN之间进行一对一的转换

n

部署形态为TOR交换机



VXLAN三层网关n

实现不同VXLAN之间的互通n

报文跨VXLAN转发时，VXLAN报文头重新封

装，Overlay层报文进行三层转发n

部署形态包括路由器、融合安全网关

第八页，共19页。

L3

Gateway工作原理

VXLAN

Fabric

n

报文跨VXLAN转发时，L3

GW对

VXLAN报文头重新封装，Overlay

层报文通过进行三层转发L3

Gateway

SVI

SVI

L3转发

L3

Gateway

VTEP

VTEP

VXLAN

1000

VXLAN

2000

第九页，共19页。防火墙

IPS

流控

负载均衡

Anti-DDoS

WAF

安全业务板卡

独立安全设备，易于部署

• 

安全与计算分离

• 

专业的安全能力• 

专用硬件，易于部署• 

一体化集中式管理第十页，共19页。

云安全

·∙

安全云

·∙

云管理

01001001

00100000

01100001

01101101

00100000

01011010

01100101

01110010

01101111

01100110

01101100

01100001

01100111

00101110

第十一页，共19页。

安全云解决方案

VXLAN

Security

Gateway

Spine节点

Leaf节点

服务器

VM

通过主机与板卡虚拟化技术，可获得安全功能和性能的扩展

安全云

第十二页，共19页。虚拟化技术：多虚一

将多个物理安全设备/板卡虚拟成为一个虚拟设备，性能、功能按需扩展

逻辑设备业务板卡物理设备VSM虚拟化云板卡业务板卡虚拟化安全资源池

第十三页，共19页。虚拟化技术：一虚多

1个租户、1个VSA（虚拟安全设备）、1个配置界面、N个VNID

VSA

VNID

CPU

内存

吞吐量

并发连接数

新建连接数

路由协议

……

VSA1

1000

15%

20%

500M

100万

10万

OSPF

……

VSA2

2000

25%

30%

800M

150万

20万

RIP

……

VSA3

3000

45%

40%

1G

300万

30万

BGP

……

典型配置图安全资源池

第十四页，共19页。

FW

资源池

IPS

资源池

DDoS

资源池

WAF

资源池

业务流定义

DDoS

WAF

防火墙

入侵

防御

病毒

防范

DDoS

WAF

防火墙

入侵

防御

病毒

防范

流定义实现安全按需调度

可按需定义租户数据流通过不同的安全业务

–安全资源按需调度

第十五页，共19页。高性能安全业务平台

DPX19000/DPX8000

防火墙

SSL

VPN

NAT

入侵防御

异常流量清洗/检测

负载均衡

流控

漏洞扫描

WEB应用防火墙

分布式硬件平台，业界性能最高多虚一虚拟化技术快速提升性能多板卡提供丰富的安全增值服务第十六页，共19页。

云安全

·∙

安全云

·∙

云管理

01001001

00100000

01100001

01101101

00100000

01011010

01100101

01110010

01101111

01100110

01101100

01100001

01100111

00101110

第十七页，共19页。云管理

云业务

自动化云管理

云基础设施

安全资源

网络资