【51CTO.com綜合報道】一年多前還讓人霧里看花的云計算，如今已如潮水般涌入中國。去年底，我國確定了5個城市先行開展云計算服務(wù)創(chuàng)新發(fā)展試點(diǎn)工作，被視為從“云端”降落人間的一個信號。2011年，則是業(yè)界所期待的“落地”關(guān)鍵年，甚至在國家“十二五”經(jīng)濟(jì)發(fā)展中，云計算將成為全新的推動引擎。在濟(jì)南，云計算已從“云端”悄然落地，生根發(fā)芽，目前云平臺已經(jīng)聚合了150余臺服務(wù)器以及近500T的存儲，可提供基礎(chǔ)設(shè)施服務(wù)、平臺服務(wù)、軟件服務(wù)，面向企業(yè)或個人的云存儲服務(wù)以及面向軟件開發(fā)企業(yè)的在線開發(fā)、測試等服務(wù)。同時，云計算平臺面臨的來自互聯(lián)網(wǎng)的安全威脅，以及如何保障承租方重要的數(shù)據(jù)資產(chǎn)資源的安全問題也迫在眉睫。下面就給大家詳細(xì)講述一下，山東省計算中心使用網(wǎng)御星云公司安全解決方案為“云計算中心”保駕護(hù)航的典型應(yīng)用情況。

一、背景與需求

2010年8月6日，作為國內(nèi)首家實(shí)現(xiàn)跨區(qū)域資源整合的省級云計算中心，山東省云計算中心在濟(jì)南揭開面紗，云計算平臺也正式開通試運(yùn)行。如今，該中心已聚合了省內(nèi)14家軟件園區(qū)、科研院所、大專院校等多方IT資源，并與一批企業(yè)建立合作關(guān)系，共同拓展云計算產(chǎn)業(yè)鏈。

目前，山東云計算中心可提供基礎(chǔ)設(shè)施服務(wù)、平臺服務(wù)、軟件服務(wù)，面向企業(yè)或個人的云存儲服務(wù)以及面向軟件開發(fā)企業(yè)的在線開發(fā)、測試等服務(wù)，都是以公益性為主推出的。楊美紅告訴記者，云計算平臺給軟件企業(yè)帶來的好處顯而易見：企業(yè)不必再在重金購買各種設(shè)計、測試專業(yè)軟件和冒險使用盜版之間掙扎，不必費(fèi)心費(fèi)力維護(hù)、調(diào)試、建設(shè)，只需根據(jù)需求、支付低廉的租金，就可以獲取最先進(jìn)的軟件開發(fā)環(huán)境的支持，即時享有所需的信息服務(wù)。這樣一來，企業(yè)大大降低了開發(fā)成本，可以把有限的資金更多地投入到招攬激勵人才、關(guān)鍵創(chuàng)新研發(fā)、市場營銷推廣等關(guān)鍵業(yè)務(wù)領(lǐng)域。

不難看出，云計算采用的技術(shù)和服務(wù)同樣可以被黑客利用發(fā)起針對下載、數(shù)據(jù)上傳統(tǒng)計、洪水攻擊、惡意代碼監(jiān)測等更為高級的惡意程序攻擊。云計算改變了服務(wù)方式，但并沒有顛覆傳統(tǒng)的安全模式，所不同的是，在云計算時代，安全設(shè)備和安全措施的部署位置有所不同；安全責(zé)任的主體發(fā)生了變化。原來，用戶自己要保證服務(wù)的安全性，現(xiàn)在由云計算服務(wù)提供商來保證服務(wù)提供的安全性。和云計算安全問題同樣重要，云計算的可靠性和可用性值得高度關(guān)注。云計算提供給傳統(tǒng)安全廠商以極大的優(yōu)勢來提高服務(wù)質(zhì)量和水平。下面，重點(diǎn)講一下網(wǎng)御星云公司為山東省云計算中心提供安全解決方案，保障云計算平臺價值鏈提升的應(yīng)用。

二、解決方案

網(wǎng)御星云公司根據(jù)山東省云計算中心的安全需求，結(jié)合山東省云計算中心的平臺架構(gòu)，分別在架構(gòu)服務(wù)層(IaaS)、平臺服務(wù)層（PaaS）、應(yīng)用服務(wù)層（SaaS）、以及平臺管理系統(tǒng)層提出了分層的安全解決方案。本次，重點(diǎn)在架構(gòu)服務(wù)層（IaaS）部署網(wǎng)御星云邊界安全設(shè)備對整個山東省云計算中心系統(tǒng)進(jìn)行防護(hù)。特別強(qiáng)調(diào)的是，為了應(yīng)對云平臺在處理速度、性能方面對于大并發(fā)、高吞吐數(shù)據(jù)處理的需求，作為網(wǎng)關(guān)型在線部署的產(chǎn)品，我們都提供基于多核架構(gòu)的安全設(shè)備。

山東省云計算中心網(wǎng)絡(luò)安全拓?fù)鋱D

第一，在云平臺網(wǎng)絡(luò)最邊界部署網(wǎng)御星云異常流量管理系統(tǒng)Guard，主要用來實(shí)時發(fā)現(xiàn)并阻止異常流量，為正常的互聯(lián)網(wǎng)訪問請求提供高可靠的環(huán)境。

第二，在網(wǎng)絡(luò)邊界Guard之后部署網(wǎng)御星云多核防火墻Super V，主要用來實(shí)現(xiàn)基于IP地址、協(xié)議、端口的訪問控制。保障只要合法的應(yīng)用才能通過防火墻。同時，對于重要應(yīng)用提供帶寬保障功能，防火墻采用雙機(jī)熱備方式，實(shí)現(xiàn)高可靠性支持。

第三，在防火墻之后，部署網(wǎng)御星云多核Power V-IPS，主要實(shí)現(xiàn)在防火墻的訪問控制基礎(chǔ)之上，對于應(yīng)用層存在的惡意攻擊、入侵和滲透，做深層檢測過濾。將一切的惡意行為扼殺在互聯(lián)網(wǎng)邊界。IPS采用單鏈路在線運(yùn)行，保證鏈路的高可靠性。

第四，在核心交換機(jī)旁路部署SSL VPN 應(yīng)用安全網(wǎng)關(guān)SAG，主要提供遠(yuǎn)程訪問準(zhǔn)入，實(shí)現(xiàn)用戶隔離、身份驗(yàn)證和數(shù)據(jù)加密。部署SSL VPN主要兩個作用：1、為云平臺開發(fā)人員和管理人員提供遠(yuǎn)程準(zhǔn)接入，方便遠(yuǎn)程開發(fā)和系統(tǒng)維護(hù)；2、為承租方管理人員提供遠(yuǎn)程可信準(zhǔn)入，方便遠(yuǎn)程維護(hù)自己的系統(tǒng)。

第五，在核心交換機(jī)旁路部署網(wǎng)御星云數(shù)據(jù)庫審計系統(tǒng)，實(shí)現(xiàn)對云平臺中的數(shù)據(jù)庫的訪問、維護(hù)和管理提供日志記錄，便于事后審計。

第六，部署網(wǎng)御星云應(yīng)用安全監(jiān)控APM，由于應(yīng)用系統(tǒng)的復(fù)雜性，一個網(wǎng)上應(yīng)用往往涉及到多臺服務(wù)器的多個線程，因此出現(xiàn)問題的概率也越來越大，問題反饋的時間也越來越長，甚至發(fā)生故障后很長時間都無人知道。APM可實(shí)時監(jiān)視整個系統(tǒng)中的每一個線程，一旦出現(xiàn)問題可迅速報警，從而保證在第一時間發(fā)現(xiàn)故障或超出性能的臨界狀態(tài)。

第七，對整個安全設(shè)備進(jìn)行統(tǒng)一集中管理和日志歸檔、審計，部署網(wǎng)御星云安全管理平臺Leadsec Manager。

第八，為了避免云計算中心虛擬主機(jī)在不同安全域之間的相互訪問，網(wǎng)御星云向用戶提供基于虛擬主機(jī)的防火墻、UTM產(chǎn)品，保障云計算中心虛擬之間訪問的安全防護(hù)和過濾。

網(wǎng)御星云提供的電信級多核安全設(shè)備，以其出色的性能和完備的功能以及完整的解決方案從各競爭廠商中脫穎而出，為用戶節(jié)省投資，避免分布式部署，統(tǒng)一集中管理，保障用戶投資，系統(tǒng)更加穩(wěn)定，使云計算系統(tǒng)價值鏈得到提升。

安全產(chǎn)品部署說明：

三、實(shí)施效果

目前山東省云計算中心云平臺運(yùn)行正常，特別在部署網(wǎng)御星云安全設(shè)備后，在安全性得到大幅提升的同時，具體體現(xiàn)在如下：

1、限制來自互聯(lián)網(wǎng)對云平臺中服務(wù)資源的IP地址、協(xié)議和端口號的訪問控制，同時對云平臺中的重要關(guān)鍵應(yīng)用服務(wù)提供帶寬保障。

2、抵御來自互聯(lián)網(wǎng)的DDOS攻擊，保證只有干凈流量才能進(jìn)入云平臺系統(tǒng)。

3、可檢測掃描、緩沖區(qū)溢出、木馬、蠕蟲、間諜軟件、網(wǎng)絡(luò)釣魚、IP poofing等攻擊，并實(shí)時主動阻斷，使云平臺網(wǎng)絡(luò)系統(tǒng)免受惡意滲透和攻擊。

4、提供遠(yuǎn)程準(zhǔn)接入服務(wù)，隔離用戶，為云平臺系統(tǒng)維護(hù)人員和承租方系統(tǒng)維護(hù)人員提供可信接入。

5、實(shí)現(xiàn)對數(shù)據(jù)庫訪問和管理的審計，全方位的提升對數(shù)據(jù)庫安全的審計。

四、特色描述

當(dāng)前，云計算正在如火如荼的進(jìn)行，針對云計算的安全問題，也是仁者見仁，智者見智。但真正落地的針對云計算的安全少之又少。對于云時代的安全解決方案提供商能夠拿下此項(xiàng)目，對我司在云計算時代、云安全時代安全項(xiàng)目的操作提供了參考價值和樣板案例。

多核高性能提供SAAS（Security as a Service）安全及服務(wù)

網(wǎng)御星云產(chǎn)品高性能的吞吐處理能力是保障山東云計算中心的基礎(chǔ)。在此基礎(chǔ)上，網(wǎng)御星云的產(chǎn)品還具備高性能虛擬化，每臺高性能硬件防火墻可以虛擬4096個虛擬防火墻，在用戶網(wǎng)絡(luò)出口形成一個龐大的海量處理的防火墻云，為租戶提供SAAS的防火墻服務(wù)。除了防火墻以外，網(wǎng)御星云的Guard、IPS、UTM、AVG等全線網(wǎng)絡(luò)產(chǎn)品都實(shí)現(xiàn)了虛擬化，可以隨時隨地為租戶提供各種SAAS安全及服務(wù)的防護(hù)。

全線產(chǎn)品支持IPv6，滿足用戶未來發(fā)展需要

憑借全線產(chǎn)品支持IPv6功能實(shí)現(xiàn)用戶網(wǎng)絡(luò)未來升級的保障，網(wǎng)御星云憑借多年對網(wǎng)絡(luò)安全的深刻理解和技術(shù)沉淀，率先在業(yè)內(nèi)將所有安全產(chǎn)品支持IPv6協(xié)議，可以實(shí)現(xiàn)對IPv6網(wǎng)絡(luò)的狀態(tài)檢測，包過濾，病毒過濾，抗IPv6的synflood、udpflood等多種DDOS攻擊，還可以實(shí)現(xiàn)基于IPv6網(wǎng)絡(luò)的入侵防護(hù)功能。最后，網(wǎng)御星云以其產(chǎn)品的前瞻性和更貼近用戶需求的特色功能，得到云計算用戶和云計算行業(yè)的認(rèn)可。

基于云計算的虛擬防火墻和虛擬UTM產(chǎn)品

網(wǎng)御星云率先在業(yè)內(nèi)開發(fā)出來了基于云計算的虛擬防火墻和虛擬UTM產(chǎn)品，用于云計算內(nèi)部虛擬服務(wù)器之間的網(wǎng)絡(luò)控制和安全過濾，網(wǎng)御星云將繼續(xù)引領(lǐng)技術(shù)新思想，開拓網(wǎng)絡(luò)安全行業(yè)新領(lǐng)域。