打造私有云安全 太一星晨新一代融合安全網(wǎng)關(guān)獨辟蹊徑

　　隨著虛擬化、云計算等新興IT技術(shù)的廣泛應(yīng)用，越來越多基于虛擬化、云計算技術(shù)的云數(shù)據(jù)中心為提高企業(yè)資源利用率、降低運(yùn)營成本提供了切實有效的幫助。但是，伴隨著云數(shù)據(jù)中心大二層的部署、虛擬機(jī)遷移等問題，傳統(tǒng)安全產(chǎn)品在云計算環(huán)境中的部署成為需要解決的問題。

　　新技術(shù)的應(yīng)用，總是伴隨著新的安全挑戰(zhàn)

　　? 安全設(shè)備與OpenStack等云管理平臺的配置問題

　　1. Openstack所包含的防火墻即服務(wù)定義，是基于IP Tables的軟件防火墻，其性能、功能、可靠性、可維護(hù)性等均存在不足;

　　2. OpenStack對數(shù)據(jù)安全的定義并不完整，這就意味著傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備無法通過OpenStack來進(jìn)行配置和管理。

　　? 傳統(tǒng)網(wǎng)絡(luò)設(shè)備與Vxlan、SDN等網(wǎng)絡(luò)通訊問題

　　云數(shù)據(jù)中心虛擬化、多租戶的要求，使的Vxlan等二層網(wǎng)絡(luò)技術(shù)大行其道，而SDN技術(shù)更是對傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品在云環(huán)境下的部署，提出了嚴(yán)峻挑戰(zhàn)。

　　一方面是Openstack云環(huán)境中對各種安全的迫切需求，另一方面是傳統(tǒng)安全設(shè)備“望云卻步”。

　　傳統(tǒng)網(wǎng)絡(luò)將逐漸退隱江湖，虛擬云何以為繼?

　　為了在迅猛發(fā)展的新業(yè)務(wù)環(huán)境中破解各種安全挑戰(zhàn)，太一星晨于近期推出了MSG多業(yè)務(wù)融合安全網(wǎng)關(guān)。它創(chuàng)新性的采用更適合處理七層業(yè)務(wù)的X86板卡，使其更適用于傳統(tǒng)大中型網(wǎng)絡(luò)邊界、云數(shù)據(jù)中心、SDN及其他新業(yè)務(wù)環(huán)境。

　　T-Force MSG多業(yè)務(wù)融合安全網(wǎng)關(guān)現(xiàn)了多種安全網(wǎng)元的資源提供、聚合管理、統(tǒng)一調(diào)度及統(tǒng)一監(jiān)控。tAPI則通過與云計算中心其他核心組件的有機(jī)互動，實現(xiàn)了整個云平臺的自動化管理、統(tǒng)一配置和統(tǒng)一監(jiān)控。

　　云數(shù)據(jù)中心防火墻解決方案

　　當(dāng)只需要防火墻需求時：

　　太一星晨的防火墻方案可直接在OpenStack的標(biāo)準(zhǔn)環(huán)境中使用，替換云數(shù)據(jù)中心原有的防火墻功能。太一星晨的T-Force MSG多業(yè)務(wù)融合安全網(wǎng)關(guān)統(tǒng)一實現(xiàn)了OpenStack定義的vRouter和FWaas功能。

　　通過T-Force MSG多業(yè)務(wù)融合安全網(wǎng)關(guān)的防火墻功能實現(xiàn)對用戶網(wǎng)絡(luò)互通，同時實現(xiàn)豐富的防火墻特性。租戶可以對自己的虛擬防火墻進(jìn)行業(yè)務(wù)管理，在T-Force MSG上創(chuàng)建的虛擬防火墻并支持對NAT、訪問控制、拒絕服務(wù)攻擊防護(hù)、會話限制等網(wǎng)絡(luò)安全特性。

　　云數(shù)據(jù)中心安全資源池解決方案

　　太一星晨MSG多業(yè)務(wù)融合安全網(wǎng)關(guān)融合虛擬化技術(shù)、自定義服務(wù)鏈以及通過對OpenStack平臺的驅(qū)動增強(qiáng)擴(kuò)展，可以滿足云數(shù)據(jù)中心更豐富的安全需求。

　　? 基于Hypervisor虛擬化的部署模式

　　基于hypervisor虛擬化的部署模式，任意安全產(chǎn)品只要支持KVM虛擬化，都可以以虛擬網(wǎng)元的形式運(yùn)行在太一星晨的MSG中，實現(xiàn)各種網(wǎng)元模塊資源靈活擴(kuò)展。

　　? 基于自定義服務(wù)鏈的部署模式

　　在T-Force MSG多業(yè)務(wù)融合安全網(wǎng)關(guān)中，管理員可以通過指定服務(wù)鏈的策略和編排，使流量通過MSG背板的高性能交換矩陣來實現(xiàn)流量的精細(xì)化分流，極大的提升了整個業(yè)務(wù)鏈的處理效率，精確度和可靠性。

　　MSG智能業(yè)務(wù)鏈編排

　　? 增強(qiáng)的OpenStack安全驅(qū)動擴(kuò)展

　　OpenStack只定義了FWaaS Driver，其他網(wǎng)絡(luò)安全產(chǎn)品無法通過云管理平臺管理。太一星晨MSG平臺上，通過增強(qiáng)對FWaaS Driver的擴(kuò)展，完成對其他安全產(chǎn)品的定制化需求，而IPS和WAF等安全資源也將作為FWaaS的增強(qiáng)特性實現(xiàn)

　　? 與云平臺網(wǎng)絡(luò)側(cè)的部署

　　在SDN模式下，太一星晨MSG以TRUNK模式與VXLAN網(wǎng)關(guān)相連，并通過VXLAN網(wǎng)關(guān)連接到核心交換上。

　　方案優(yōu)勢

　　太一星晨MSG多業(yè)務(wù)融合網(wǎng)關(guān)產(chǎn)品融合NGFW、WAF、IPS等專業(yè)網(wǎng)元，實現(xiàn)了云數(shù)據(jù)中心業(yè)務(wù)安全、快速的交付。

　　與其他方案相比，該方案優(yōu)勢在于：

　　? 解決了云數(shù)據(jù)中心四~七層安全產(chǎn)品的部署問題，實現(xiàn)與OpenStack、SDN的配置與通訊;

　　? 基于hypervisor虛擬化的部署模式，實現(xiàn)各種安全業(yè)務(wù)模塊資源靈活擴(kuò)展，開放性的將友商的安全產(chǎn)品融入云數(shù)據(jù)中心解決方案，給用戶更靈活的選擇;

　　? 采用分布式架構(gòu)，通過板卡擴(kuò)展模式，實現(xiàn)整機(jī)性能靈活擴(kuò)展;

　　? Intel x86處理器，實現(xiàn)四~七層業(yè)務(wù)的高性能處理;

　　? 通過對虛擬網(wǎng)元的監(jiān)控、自定義服務(wù)鏈的編排，確保當(dāng)網(wǎng)元異常時，可自動繞過或切換到備份網(wǎng)元，確保業(yè)務(wù)的連續(xù)性。