概述
歷經(jīng)了十幾年的發(fā)展,電子政務(wù)對存儲資源、計算資源、網(wǎng)絡(luò)資源的需求進一步加大,而云計算的出現(xiàn)無疑為不斷增長的電子政務(wù)創(chuàng)造了技術(shù)條件。為此各級政府均開始了云數(shù)據(jù)中心的建設(shè),將不同職能部門的資源整合起來,實現(xiàn)更廣泛的資源共享。但同時云數(shù)據(jù)中心下的安全問題變得更加突出,虛擬化技術(shù)引入對安全建設(shè)帶來了更高的挑戰(zhàn)。
Hillstone政務(wù)云數(shù)據(jù)中心網(wǎng)絡(luò)安全解決方案,利用高性能、高可靠、高可擴以及支持虛擬化技術(shù)的Hillstone數(shù)據(jù)中心防火墻,為政務(wù)云數(shù)據(jù)中心提供更全面的保護。獨創(chuàng)的旁掛部署模式,為不同虛擬機間實施有效隔離,最大化保障政務(wù)云數(shù)據(jù)中心不同業(yè)務(wù)的安全性。
但同時隨著資源大集中的趨勢,安全問題也日漸突出:更多的業(yè)務(wù)集中在云數(shù)據(jù)中心被處理,對性能和可靠性要求進一步提升;業(yè)務(wù)集中使得風(fēng)險更加集中,安全威脅造成的影響面更廣;云計算模式的運用,特別是虛擬化技術(shù)的引入,不同虛擬機因支持的業(yè)務(wù)不同,也需要實施有效隔離,防止業(yè)務(wù)間的非法訪問甚至攻擊。
綜合起來,政務(wù)云數(shù)據(jù)中心面臨的典型安全建設(shè)需求包括:
歷經(jīng)了十幾年的發(fā)展,電子政務(wù)對存儲資源、計算資源、網(wǎng)絡(luò)資源的需求進一步加大,而云計算的出現(xiàn)無疑為不斷增長的電子政務(wù)創(chuàng)造了技術(shù)條件。為此各級政府均開始了云數(shù)據(jù)中心的建設(shè),將不同職能部門的資源整合起來,實現(xiàn)更廣泛的資源共享。但同時云數(shù)據(jù)中心下的安全問題變得更加突出,虛擬化技術(shù)引入對安全建設(shè)帶來了更高的挑戰(zhàn)。
Hillstone政務(wù)云數(shù)據(jù)中心網(wǎng)絡(luò)安全解決方案,利用高性能、高可靠、高可擴以及支持虛擬化技術(shù)的Hillstone數(shù)據(jù)中心防火墻,為政務(wù)云數(shù)據(jù)中心提供更全面的保護。獨創(chuàng)的旁掛部署模式,為不同虛擬機間實施有效隔離,最大化保障政務(wù)云數(shù)據(jù)中心不同業(yè)務(wù)的安全性。
1、安全需求
從早期的各政府職能部門各自為政搞信息化的“孤島式”政務(wù)建設(shè)模式,到強調(diào)政府間信息交互為重點的“群島式”政務(wù)建設(shè)模式,到如今以資源大集中為模式的“大陸式“政務(wù)建設(shè)模式,云計算為政務(wù)大集中建設(shè)提供了有力條件,隨之出現(xiàn)的政務(wù)云數(shù)據(jù)中心在近幾年得到了快速發(fā)展。但同時隨著資源大集中的趨勢,安全問題也日漸突出:更多的業(yè)務(wù)集中在云數(shù)據(jù)中心被處理,對性能和可靠性要求進一步提升;業(yè)務(wù)集中使得風(fēng)險更加集中,安全威脅造成的影響面更廣;云計算模式的運用,特別是虛擬化技術(shù)的引入,不同虛擬機因支持的業(yè)務(wù)不同,也需要實施有效隔離,防止業(yè)務(wù)間的非法訪問甚至攻擊。
綜合起來,政務(wù)云數(shù)據(jù)中心面臨的典型安全建設(shè)需求包括:
| ● | 高性能支持海量業(yè)務(wù)訪問 | |
| 作為業(yè)務(wù)處理的核心,政務(wù)云數(shù)據(jù)中心往往面臨著海量的接入訪問,這對邊界安全隔離設(shè)備提出了更高的性能挑戰(zhàn); | ||
| ● | 高可擴適應(yīng)云數(shù)據(jù)中心規(guī)模的快速增長 | |
| 隨著政務(wù)業(yè)務(wù)大集中建設(shè)的深化,越來越多的政務(wù)業(yè)務(wù)被配置在云數(shù)據(jù)中心,這就要求邊界安全隔離設(shè)備具有良好的擴展性,在不斷適應(yīng)云數(shù)據(jù)中心規(guī)模增長的同時,有效保護前期投資。 | ||
| ● | 為不同虛擬機提供有效隔離 | |
| 部署的邊界安全隔離設(shè)備應(yīng)全面支持虛擬化技術(shù),對于政務(wù)云數(shù)據(jù)中心,能夠為不同虛擬機提供有效隔離,防止不同業(yè)務(wù)間的非法訪問甚至攻擊。 |
2、解決方案
在典型政務(wù)云數(shù)據(jù)中心,Hillstone數(shù)據(jù)中心防火墻以旁掛的方式,連接到匯聚層(規(guī)模較小的云數(shù)據(jù)中心也可直接連接到核心層)交換機上,數(shù)據(jù)中心防火墻與交換機之間的外部鏈路工作在3層模式,內(nèi)部鏈路工作在2層模式,在數(shù)據(jù)中心防火墻的內(nèi)部接口配置為為TRUNK模式。同時將將物理服務(wù)器內(nèi)的虛擬交換機配置為VST或VGT模式,虛擬機根據(jù)業(yè)務(wù)劃分為不同的VLAN,網(wǎng)關(guān)指向數(shù)據(jù)中心防火墻,典型的部署方案可參考下圖:
Hillstone政務(wù)云數(shù)據(jù)中心網(wǎng)絡(luò)安全解決方案
| ● | 實名制訪問控制策略:Hillstone數(shù)據(jù)中心防火墻針對云數(shù)據(jù)中心的業(yè)務(wù)訪問請求,通過策略在對訪問者身份進行鑒別的基礎(chǔ)上,依據(jù)策略決定訪問者可訪問的資源,實現(xiàn)實名制訪問控制; | |
| ● | 高性能抗攻擊策略:Hillstone數(shù)據(jù)中心防火墻支持多種攻擊防護技術(shù),深度檢測并防御外部對云數(shù)據(jù)中心的攻擊行為,提升政務(wù)業(yè)務(wù)的連續(xù)性。 | |
| ● | 高性能抗攻擊策略:Hillstone數(shù)據(jù)中心防火墻支持多種攻擊防護技術(shù),深度檢測并防御外部對云數(shù)據(jù)中心的攻擊行為,提升政務(wù)業(yè)務(wù)的連續(xù)性。 | |
| ● | 虛擬防火墻策略:Hillstone數(shù)據(jù)中心防火墻最大提供了500個虛擬防火墻,可為在不同虛擬機上運行的業(yè)務(wù)提供單獨的控制平面。 |
3、方案效果
通過在政務(wù)云數(shù)據(jù)中心的網(wǎng)絡(luò)邊界,以旁掛模式部署的Hillstone數(shù)據(jù)中心防火墻,將提供有效的邊界隔離與保護,保障關(guān)鍵政務(wù)業(yè)務(wù)的安全性和連續(xù)性,Hillstone數(shù)據(jù)中心防火墻具有的高性能、高可擴、高可靠以及支持虛擬化技術(shù),將發(fā)揮如下的建設(shè)效果:| ● | 高性能應(yīng)對海量業(yè)務(wù)訪問 | |
| Hillstone數(shù)據(jù)中心防火墻最高可支持100Gbps 吞吐量、180 萬新建連接速率(HTTP)、6000 萬并發(fā)連接數(shù)的處理能力,能夠從容應(yīng)對海量業(yè)務(wù)訪問對性能的挑戰(zhàn)。 | ||
| ● | 高可擴不斷適應(yīng)云數(shù)據(jù)中心的規(guī)模增長 | |
| 通過增加安全服務(wù)模塊(SSM),Hillstone數(shù)據(jù)中心防火墻的性能可以從20Gbps逐步提升到100Gbps,最大并發(fā)連接數(shù)也從1200萬逐步擴展到6000萬,在不需要新增設(shè)備的前提下,不斷適應(yīng)云數(shù)據(jù)中心的規(guī)模增長,并有效保護前期投資。 | ||
| ● | 為云數(shù)據(jù)中心提供高可靠保障 | |
| Hillstone數(shù)據(jù)中心防火墻采取的全冗余全并行架構(gòu),可提供從CPU、安全服務(wù)模塊(SSM)、系統(tǒng)控制模塊(SCM)到風(fēng)扇、電源的全面冗余能力,實現(xiàn)系統(tǒng)級會話同步,最大限度地滿足政務(wù)云數(shù)據(jù)中心的業(yè)務(wù)連續(xù)性要求。 | ||
| ● | 虛擬防火墻支持虛擬化環(huán)境 | |
| Hillstone數(shù)據(jù)中心防火墻最大可提供500個虛擬防火墻,以旁掛式部署后,可與虛擬機技術(shù)有效整合,為不同虛擬機提供獨立的安全平面。同時也能夠有效隔離不同虛擬機,保障不同業(yè)務(wù)間在受控的前提下方可互訪,杜絕因內(nèi)部攻擊造成的安全事件。 |
