泛云安全解决的方案.pptVIP

H3C 新解决方案领导者 泛云安全整体解决方案-技术培训  整体组网色为全务设备,量色别面市点色为情通节点 管理控制分区 广域网接入分区 互联网接入分区 管理 Setve 安全管理 Server 管理中心 隔润扫描 网风历基改 streller 信)中6 DaS清清 管理Io 硬件堡垒机 管用]F 粗户安全护 基础网络分区 存Ia且 存储降列 s1020冒 存储列 州 存储阵列 或硬/ 服务器分区一(含虚拟化D) 服务器分区二(物理D8  耦合度说明 (Cld0s/34 penStock云平台) 一紧偶:推荐同一厂裔 ●解林:可以厂裔异构 SDN Can troller Vlan IP GateWay 3d Security Node I VTEP VTE NFy Securi ty Node Hypervisor( CAS/KYN/V)Ware  云安全体系架构 云平台基础设安全 租户安全 敌据安全 应用安全 应用安全 安安 安 文 全 全全 审应拟化安全 虚拟化安全 保运 主机安全 主机安全 容灾备 网络安全 物理安全 物理主机设备安全物理网络设备安全物理存储设备安全物理通信线路安全 基础设 电力安全 消防安全  云服务商流量模型及安全控制点 管避控制分区 周接入分区 网接入分区 隔润扫描 月端)▲云中心 硬件堡全机 出口于 云基让架构安全防护) ①云服务商运维流量②云服务商广域网出口流量③云服务商互联网出口流量 存储分区 服务器分区一(含虚拟化) 务器分区二(物理)  云租户流量模型及安全控制点 管控制分区 网接入分 洞扫描 月端)▲云中心 ①云租户监管流量 出口于 云租户安全防护 ②云租户业务流量(广域网出口+互联网出口)、运维流量 ③云主机/租户东西向流量(WE访问APP) 网页暴监 0@0 或硬件顶 存储分区 ④云主机租户东西向流量(AP访问DB)  南北向安全防护-边界安全接入 广域网专线接入 广域网接入分区 互联网接入分区 安全需求:针对云租户广域网接入分区连接外部单位(比如电子政务网接入 ■实现方式:通过出口路由器的kE功能将不同租户的广域网流量分开,下行连 接各自的虚拟防火墙实现租户接入 部署位置:广域网接入分区 口路由器由云务商统运推,虚机防火培由相户单独运锥 am星:■运维方式:出口路由器为纯手工运维,虚拟防火墙可由控制器管理 ■产品选型:出口路由器(具备 MPLS VPN MCE功能)、00500 形正 Suter 互联网VFN接入 ■安全需求:针对云服务商、云租户用于互联网接入分区的业务接入 IPSec Vi、s) ■实现方式;:为租户和云服务商分配各自的虚拟防火墙,通过二合一VP实现 接入,做到安全隔离 部署位置:互联网接入分区 为云主机/租户分配的虚拟防火堵 ■运维主体:云服务商和租户单独运维 为云基陆架构分配的虚拟防火墙 运维方式:云服务的虚拟防火墙手工运维,云租户的 PSec VPL策略由S统 管理,云租户的S策略手工部署 产品选型:800095000 Confidential保密  南北向安全防护-出口多业务防护 广域网接入分区 互联网接入分区 统一出口安全防护: ■安全需求:针对为云服务商、云租户提供访问控制、NAT、、防攻击 防病毒等出口安全需求 ■实现方式:为云服务商和租户分配单独的虚拟防火培,加载不同的多业务 License实现安全防护 ■部署位置:旁挂/串接于互联网出口区和广域网出口区,部署一套或两套 ■运锥主体:云服务商、云租户单独运维 ■运维方式:云服务商虚拟防火墙手工部署,云租户的虚拟防火墙由S控制 工中 器统一管理+策略路由引流 ■产品选型:9000500 为云主机/租户分配的虚拟防火墙 为云基础果构分配的虚拟防火墙  南北向安全防护-互联网DoS攻击防护 ■安全需求:针对云服务商、云租户在互联网出口的Ds攻击防 互联网接入分区 护,避免带宽占用或业务瘫痪 实现方式:部署异常流量防护设备(检测+清洗+管理)实現 DoS攻击流量的检测、清洗和回注。通过不同的公网P来为云 ■部署位置:检测设备和清洗设备旁挂于互联网出口路由器或交 Router 换机,管理设备部署于管理控制区 DS清洗设备 ■运维主体:由云服务商统一运维 ■运维方式:纯手工策略部署 产品选型:合作中,预计下半年推出 DS管理中心厘防护步骤 (管理拉制分区)0流量镜像/分先+1检测设没备探测是否存在D5击流量 ②一旦发现s攻