‍　　云计算防护系统‍

一、背景与需求

2013年云计算中心揭开面纱，云计算平台也正式开通试运行。如今，该中心已聚合了省内14家软件园区、科研院所、大专院校等多方IT资源，并与一批企业建立合作关系，共同拓展云计算产业链。

目前，云计算中心可提供基础设施服务、平台服务、软件服务，面向企业或个人的云存储服务以及面向软件开发企业的在线开发、测试等服务，都是以公益性为主推出的。杨美红告诉记者，云计算平台给软件企业带来的好处显而易见：企业不必再在重金购买各种设计、测试专业软件和冒险使用盗版之间挣扎，不必费心费力维护、调试、建设，只需根据需求、支付低廉的租金，就可以获取最先进的软件开发环境的支持，即时享有所需的信息服务。这样一来，企业大大降低了开发成本，可以把有限的资金更多地投入到招揽激励人才、关键创新研发、市场营销推广等关键业务领域。

不难看出，云计算采用的技术和服务同样可以被黑客利用发起针对下载、数据上传统计、洪水攻击、恶意代码监测等更为高级的恶意程序攻击。云计算改变了服务方式，但并没有颠覆传统的安全模式，所不同的是，在云计算时代，安全设备和安全措施的部署位置有所不同；安全责任的主体发生了变化。原来，用户自己要保证服务的安全性，现在由云计算服务提供商来保证服务提供的安全性。和云计算安全问题同样重要，云计算的可靠性和可用性值得高度关注。云计算提供给传统安全厂商以极大的优势来提高服务质量和水平。下面，重点讲一下金方达公司为XX省云计算中心提供安全解决方案，保障云计算平台价值链提升的应用。

二、解决方案

金方达公司根据云计算中心的安全需求，结合XX省云计算中心的平台架构，分别在架构服务层(IaaS)、平台服务层（PaaS）、应用服务层（SaaS）、以及平台管理系统层提出了分层的安全解决方案。本次，重点在架构服务层（IaaS）部署金方达边界安全设备对整个云计算中心系统进行防护。特别强调的是，为了应对云平台在处理速度、性能方面对于大并发、高吞吐数据处理的需求，作为网关型在线部署的产品，我们都提供基于多核架构的安全设备。

第一，在云平台网络最边界部署金方达异常流量管理系统Guard，主要用来实时发现并阻止异常流量，为正常的互联网访问请求提供高可靠的环境。

第二、在网络边界Guard之后部署金方达多核防火墙SuperV，主要用来实现基于IP地址、协议、端口的访问控制。保障只要合法的应用才能通过防火墙。同时，对于重要应用提供带宽保障功能，防火墙采用双机热备方式，实现高可靠性支持。

第三、在防火墙之后，部署金方达多核PowerV-IPS，主要实现在防火墙的访问控制基础之上，对于应用层存在的恶意攻击、入侵和渗透，做深层检测过滤。将一切的恶意行为扼杀在互联网边界。IPS采用单链路在线运行，保证链路的高可靠性。

第四、在核心交换机旁路部署SSLVPN应用安全网关SAG，主要提供远程访问准入，实现用户隔离、身份验证和数据加密。部署SSLVPN主要两个作用：1、为云平台开发人员和管理人员提供远程准接入，方便远程开发和系统维护；2、为承租方管理人员提供远程可信准入，方便远程维护自己的系统。

第五、在核心交换机旁路部署金方达数据库审计系统，实现对云平台中的数据库的访问、维护和管理提供日志记录，便于事后审计。

第六、部署金方达应用安全监控APM，由于应用系统的复杂性，一个网上应用往往涉及到多台服务器的多个线程，因此出现问题的概率也越来越大，问题反馈的时间也越来越长，甚至发生故障后很长时间都无人知道。APM可实时监视整个系统中的每一个线程，一旦出现问题可迅速报警，从而保证在第一时间发现故障或超出性能的临界状态。

第七、对整个安全设备进行统一集中管理和日志归档、审计，部署金方达安全管理平台LeadsecManager。

第八、为了避免云计算中心虚拟主机在不同安全域之间的相互访问，金方达向用户提供基于虚拟主机的防火墙、UTM产品，保障云计算中心虚拟之间访问的安全防护和过滤。

金方达提供的电信级多核安全设备，以其出色的性能和完备的功能以及完整的解决方案从各竞争厂商中脱颖而出，为用户节省投资，避免分布式部署，统一集中管理，保障用户投资，系统更加稳定，使云计算系统价值链得到提升。

三、实施效果

目前云计算中心云平台运行正常，特别在部署金方达安全设备后，在安全性得到大幅提升的同时，具体体现在如下：

1、限制来自互联网对云平台中服务资源的IP地址、协议和端口号的访问控制，同时对云平台中的重要关键应用服务提供带宽保障。

2、抵御来自互联网的DDOS攻击，保证只有干净流量才能进入云平台系统。

3、可检测扫描、缓冲区溢出、木马、蠕虫、间谍软件、网络钓鱼、IPpoofing等攻击，并实时主动阻断，使云平台网络系统免受恶意渗透和攻击。

4、提供远程准接入服务，隔离用户，为云平台系统维护人员和承租方系统维护人员提供可信接入。

5、实现对数据库访问和管理的审计，全方位的提升对数据库安全的审计。

四、特色描述

当前，云计算正在如火如荼的进行，针对云计算的安全问题，也是仁者见仁，智者见智。但真正落地的针对云计算的安全少之又少。对于云时代的安全解决方案提供商能够拿下此项目，对我司在云计算时代、云安全时代安全项目的操作提供了参考价值和样板案例。

多核高性能提供SAAS（SecurityasaService）安全及服务

金方达产品高性能的吞吐处理能力是保障XX省云计算中心的基础。在此基础上，金方达的产品还具备高性能虚拟化，每台高性能硬件防火墙可以虚拟4096个虚拟防火墙，在用户网络出口形成一个庞大的海量处理的防火墙云，为租户提供SAAS的防火墙服务。除了防火墙以外，金方达的Guard、IPS、UTM、AVG等全线网络产品都实现了虚拟化，可以随时随地为租户提供各种SAAS安全及服务的防护。

全线产品支持IPv6，满足用户未来发展需要

凭借全线产品支持IPv6功能实现用户网络未来升级的保障，金方达凭借多年对网络安全的深刻理解和技术沉淀，率先在业内将所有安全产品支持IPv6协议，可以实现对IPv6网络的状态检测，包过滤，病毒过滤，抗IPv6的synflood、udpflood等多种DDOS攻击，还可以实现基于IPv6网络的入侵防护功能。最后，金方达以其产品的前瞻性和更贴近用户需求的特色功能，得到云计算用户和云计算行业的认可。

基于云计算的虚拟防火墙和虚拟UTM产品

金方达率先在业内开发出来了基于云计算的虚拟防火墙和虚拟UTM产品，用于云计算内部虚拟服务器之间的网络控制和安全过滤，金方达将继续引领技术新思想，开拓网络安全行业新领域。