2024發(fā)電企業(yè)云平臺安全方案

發(fā)電企業(yè)云平臺安全方案2024目錄TOC\o"1-2"\h\u32661.云平臺安全方案簡介 4319842.云平臺安全方案設(shè)計原則 5117152.1.安全域劃分原則 511902.2.安全域細粒度劃分 6152622.3.安全域內(nèi)業(yè)務平面劃分 7155533.硬件安全設(shè)計方案（平臺安全） 7318453.1.安全物理環(huán)境 853143.2.安全通信網(wǎng)絡(luò) 993463.3.安全區(qū)域邊界 1137544.防火墻安全方案 11225724.1.防火墻安全功能 11100244.2.內(nèi)容安全防護功能 19116144.3.虛擬防火墻功能 2682365.安全計算環(huán)境 28232046.軟件安全設(shè)計方案（租戶安全） 29186916.1.安全通信網(wǎng)絡(luò)與邊界安全 29248956.2.安全計算環(huán)境 30308306.3.云安全服務設(shè)計 31136747.平臺基礎(chǔ)安全 32205581、宿主機和虛擬化安全 32158152、防IP/MAC/DHCPserver仿冒 34245433、防DoS/DDoS攻擊 3528794、系統(tǒng)加固 3583435、數(shù)據(jù)保護 35299156、鏡像安全 36274217、熱補丁 37244118、日志管理和安全審計 37115229、云服務安全 383036310、訪問通道控制 391154211、安全管理 4038438.主機安全防護方案設(shè)計 41234408.1.主機安全應用場景 41224238.2.主機安全防護功能設(shè)計 42216138.3.態(tài)勢感知方案設(shè)計 4223989.云防火墻方案設(shè)計 43116819.1.云防火墻應用場景 43264319.2.云防火墻功能設(shè)計 431436710.Web應用防火墻方案設(shè)計 441472510.1.Web應用防火墻應用場景 442092010.2.Web應用防火墻功能設(shè)計 45271611.密鑰管理服務方案設(shè)計 45599011.1.密鑰管理服務應用場景 452223311.2.密鑰管理服務功能設(shè)計 4663912.數(shù)據(jù)庫審計方案設(shè)計 461209412.1.數(shù)據(jù)庫審計應用場景 47431712.2.數(shù)據(jù)庫審計功能設(shè)計 47399313.數(shù)據(jù)脫敏方案設(shè)計 482228313.1.數(shù)據(jù)脫敏應用場景 482725413.2.數(shù)據(jù)脫敏功能設(shè)計 49534914.堡壘機方案設(shè)計 501682014.1.堡壘機應用場景 502672014.2.堡壘機功能設(shè)計 51634115.云安全管理中心方案設(shè)計 512234415.1.云安全管理中心應用場景 511378715.2.云安全管理中心功能設(shè)計 522872816.身份服務方案設(shè)計 53449916.1.身份服務應用場景 53105316.2.身份服務功能設(shè)計 53431517.安全管理體系認證 551766417.1.安全管理制度 551718817.2.安全組織架構(gòu) 551534017.3.人員安全管理 552845817.4.系統(tǒng)建設(shè)管理 552230817.5.系統(tǒng)運維管理 56云平臺安全方案簡介本次XX集團公司云平臺安全技術(shù)解決方案，從安全技術(shù)、安全管理以及安全服務三個維度進行設(shè)計。根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）第三級信息系統(tǒng)要求，等級保護三級安全技術(shù)從安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等方面進行構(gòu)建。圖：安全整體體系XX集團公司云平臺安全技術(shù)解決方案的建設(shè)分為“一個中心，三重保護”?！耙粋€中心”指的是安全管理中心，是對信息系統(tǒng)的安全策略及安全機制實施統(tǒng)一管理的平臺。按照等保的《基本要求》，第三級（含）以上的信息系統(tǒng)安全保護環(huán)境需要設(shè)置安全管理中心，本方案提供的智能安全分析平臺包括數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)檢索子系統(tǒng)、威脅分析子系統(tǒng)，提供專業(yè)級的安全分析能力，實現(xiàn)對云負載、各類應用及數(shù)據(jù)的安全保護?！叭乇Ｗo”指的是按照分域保護的思想，將平臺從結(jié)構(gòu)上劃分為不同的安全區(qū)域，各個安全區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備、服務器、應用系統(tǒng)形成單獨的計算環(huán)境，各個安全區(qū)域之間的訪問關(guān)系形成區(qū)域邊界，各個安全區(qū)域之間的連接鏈路和網(wǎng)絡(luò)設(shè)備構(gòu)成了通信網(wǎng)絡(luò)，因此整體安全保障技術(shù)體系將從保護計算環(huán)境、保護區(qū)域邊界、保護通信網(wǎng)絡(luò)三個層面分別進行構(gòu)建，最終形成三重縱深防御的安全體系，并且它們始終都在安全管理中心的統(tǒng)一管控下有序地運行。保護計算環(huán)境：計算環(huán)境是對信息系統(tǒng)的信息進行存儲、處理的相關(guān)部件，包括網(wǎng)絡(luò)平臺、系統(tǒng)平臺和業(yè)務應用。通過主機安全、密鑰管理、數(shù)據(jù)庫審計等能力對計算環(huán)境進行保護。保護區(qū)域邊界：區(qū)域邊界是信息系統(tǒng)計算環(huán)境與通信網(wǎng)絡(luò)之間實現(xiàn)連接的相關(guān)部件。平臺側(cè)區(qū)域邊界安全通過網(wǎng)絡(luò)設(shè)備進行防護，租戶側(cè)區(qū)域邊界安全通過Web應用防火墻進行防護?？紤]到相鄰的信息系統(tǒng)存在區(qū)域邊界設(shè)備共享的情況，如果不同安全級別的信息系統(tǒng)通過同一套安全措施進行邊界保護，這個邊界保護措施及其所采用的保護策略應滿足最高級別信息系統(tǒng)的安全保護要求。保護通信網(wǎng)絡(luò)：通信網(wǎng)絡(luò)是對信息系統(tǒng)計算環(huán)境之間進行信息傳輸?shù)南嚓P(guān)部件，平臺側(cè)通信網(wǎng)絡(luò)安全通過防火墻等網(wǎng)絡(luò)設(shè)備進行防護，租戶側(cè)通信網(wǎng)絡(luò)安全通過邊界防火墻服務、云防火墻、虛擬VPC等能力進行防護。考慮到不同安全級別的信息系統(tǒng)共享同一網(wǎng)絡(luò)線路和網(wǎng)絡(luò)設(shè)備傳輸數(shù)據(jù)的情況，該通信網(wǎng)絡(luò)的安全保護措施及其所采用的保護策略應滿足最高級別信息系統(tǒng)的安全保護要求。云平臺安全方案設(shè)計原則安全域劃分原則根據(jù)整體XX集團公司的網(wǎng)絡(luò)設(shè)計，為了提高網(wǎng)絡(luò)的安全性和可靠性，在規(guī)劃網(wǎng)絡(luò)安全建設(shè)的時候采用安全域的規(guī)劃概念。安全域（SecurityDomain）是指網(wǎng)絡(luò)中具有相同的安全保護需求、并相互信任的區(qū)域或網(wǎng)絡(luò)實體的集合。一個安全域可劃分為若干安全子域，安全子域也可繼續(xù)依次細化為次級安全域、三級安全域等。安全域的劃分，就是從安全角度將系統(tǒng)劃分成不同的區(qū)域，以便實行分門別類的防護。首先參考“運行環(huán)境相似”原則，也就是把云平臺上運行的業(yè)務系統(tǒng)放在一起保護，其次參考“安全策略一致”原則，將面向不同網(wǎng)絡(luò)的業(yè)務系統(tǒng)分開。從整體網(wǎng)絡(luò)規(guī)劃上，依據(jù)等級保護的要求，利用一個中心三重防護的思想結(jié)合業(yè)務功能和網(wǎng)絡(luò)安全風險將數(shù)據(jù)中心劃分為多個安全區(qū)域，實現(xiàn)物理和邏輯控制并用的隔離手段，提升網(wǎng)絡(luò)面對入侵和內(nèi)部的分區(qū)自我保護和容錯恢復能力。1、安全計算環(huán)境計算域網(wǎng)絡(luò)、服務器與數(shù)據(jù)中心對定級系統(tǒng)的信息進行存儲、處理及實施安全策略的相關(guān)部件。2、安全區(qū)域邊界計算域邊界安全措施對安全計算環(huán)境邊界以及安全計算環(huán)境與安全通信網(wǎng)絡(luò)之間實現(xiàn)連接并實施安全策略的相關(guān)部件。3、安全通信網(wǎng)絡(luò)即計算域網(wǎng)絡(luò)的出口，系統(tǒng)安全計算環(huán)境之間進行信息傳輸及實施安全策略的相關(guān)部件。4、安全管理中心支撐對定級系統(tǒng)的安全策略及安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機制實施統(tǒng)一管理的平臺。安全域細粒度劃分根據(jù)業(yè)務功能以及不同的安全級別，不同的安全域內(nèi)部又可以進一步劃分不同的安全子域：網(wǎng)絡(luò)中內(nèi)部安全域可劃分為數(shù)據(jù)中心核心交換區(qū)、網(wǎng)絡(luò)服務區(qū)、數(shù)據(jù)中心計算區(qū)、數(shù)據(jù)中心存儲區(qū)；云管理安全域可劃分為運維運營管理區(qū)、公共服務區(qū)、管理服務DMZ區(qū)。DMZ區(qū)部署面向外網(wǎng)和租戶的前置部件，如負載均衡器、代理服務器等，以及服務部件，如服務控制臺、API網(wǎng)關(guān)等。用戶對DMZ區(qū)的訪問行為不可信，所以需要對DMZ單獨劃分平面。公共服務區(qū)：該區(qū)域主要部署IaaS/PaaS/SaaS服務化組件如IaaS/PaaS/SaaS服務控制部件，以及一些基礎(chǔ)設(shè)施服務部件如DNS、NTP、補丁服務等。此區(qū)域內(nèi)的部件根據(jù)業(yè)務需要受限開放給租戶。政務云管理員可以從內(nèi)網(wǎng)區(qū)訪問該區(qū)域進行操作和管理。運維運營管理區(qū)：該區(qū)域主要部署運維運營組件，管理員可以通過此區(qū)域?qū)ζ渌麉^(qū)域進行統(tǒng)一的業(yè)務系統(tǒng)運維運營管理。安全域內(nèi)業(yè)務平面劃分圖：安全域內(nèi)業(yè)務平面劃分與隔離為保證租戶業(yè)務不影響管理操作，確保設(shè)備、資源和流量不會脫離有效監(jiān)管，本云平臺將其網(wǎng)絡(luò)的通信平面基于不同業(yè)務職能、不同安全風險等級和不同權(quán)限需要劃分為租戶數(shù)據(jù)平面、管理面、數(shù)據(jù)存儲平面等，以保證關(guān)乎不同業(yè)務的網(wǎng)絡(luò)通信流量得到合理且安全的分流，便于實現(xiàn)職責分離租戶數(shù)據(jù)平面：作為租戶提供業(yè)務通道和虛擬機之間通信平面，租戶對其用戶提供業(yè)務應用。業(yè)務控制平面：支撐云服務API的安全交互。平臺運維平面：實現(xiàn)基礎(chǔ)設(shè)施和平臺（網(wǎng)絡(luò)設(shè)備、服務器、存儲）的后臺運維管理。BMC管理平面：作為云平臺基礎(chǔ)設(shè)施服務器的硬件后端管理平面，用于應急維護。數(shù)據(jù)存儲平面：僅供計算區(qū)內(nèi)計算節(jié)點與存儲節(jié)點間的數(shù)據(jù)安全傳輸與存儲。每個安全區(qū)域內(nèi)，根據(jù)所承載業(yè)務的隔離要求劃分不同網(wǎng)絡(luò)平面，如計算業(yè)務區(qū)內(nèi)有租戶平面、管理面（業(yè)務控制平面、BMC管理平面、平臺運維平面）、數(shù)據(jù)存儲平面等。硬件安全設(shè)計方案（平臺安全）XX集團公司云平臺的平臺層安全體系可以依據(jù)等保2.0安全要求劃分為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境等。平臺安全涉及的硬件設(shè)備不在本次項目內(nèi)，方案層面進行完整設(shè)計。安全硬件設(shè)備根據(jù)項目實際情況選擇配置，現(xiàn)網(wǎng)已有硬件設(shè)備可以選擇利舊，但云平臺必須配置云平臺管理防火墻，保障云平臺管理區(qū)安全。安全物理環(huán)境數(shù)據(jù)中心已制定并實施完善的物理和環(huán)境安全防護策略、規(guī)程和措施。數(shù)據(jù)中心不但有妥善的選址，在設(shè)計施工和運營時，合理劃分了機房物理區(qū)域，合理布置了信息系統(tǒng)的組件，以防范物理和環(huán)境潛在危險（如火災、電磁泄露等）和非授權(quán)訪問，而且提供了足夠的物理空間、電源容量、網(wǎng)絡(luò)容量、制冷容量，以滿足基礎(chǔ)設(shè)施快速擴容的需求。同時，運維運營團隊嚴格執(zhí)行訪問控制、安保措施、例行監(jiān)控審計、應急響應等措施，以確保數(shù)據(jù)中心的物理和環(huán)境安全。訪問控制：數(shù)據(jù)中心嚴格管理人員及設(shè)備進出，在數(shù)據(jù)中心園區(qū)及建筑的門口設(shè)置了7*24小時保安人員進行登記盤查，限制并監(jiān)控來訪人員授權(quán)活動范圍。門禁控制系統(tǒng)在不同的區(qū)域采取不同安全策略的門禁控制系統(tǒng)，嚴格審核人員出入權(quán)限。數(shù)據(jù)中心的重要配件，由倉儲系統(tǒng)中的專門電子加密保險箱存放，且由專人進行保險箱的開關(guān)；數(shù)據(jù)中心的任何配件，都必須提供授權(quán)工單方能領(lǐng)取，且領(lǐng)取時須在倉儲管理系統(tǒng)中登記。由專人定期對所有物理訪問設(shè)備和倉儲系統(tǒng)物資進行綜合盤點追蹤。機房管理員不但開展例行安檢，而且不定期審計數(shù)據(jù)中心訪問記錄，確保非授權(quán)人員不可訪問數(shù)據(jù)中心。安保措施：數(shù)據(jù)中心采用當前通用的機房安保技術(shù)監(jiān)測，并消除物理隱患。對機房外圍、出入口、走廊、電梯、機房等進行7*24小時閉路電視監(jiān)控，并與紅外感應、門禁等聯(lián)動。保安人員對數(shù)據(jù)中心定時巡查，并設(shè)置在線巡更系統(tǒng)。對非法闖入和其他安保事件及時進行聲光報警。電力保障：數(shù)據(jù)中心采用多級保護方案保障業(yè)務7*24小時持續(xù)運行，日常電力供應采用來自不同變電站的雙路市電供電。配備柴油發(fā)電機，在市電斷電時可啟動柴油機供電，以備不時之需。并配備了不間斷電源（UPS–UninterruptedPowerSupply），提供短期備用電力供應。在機房供電線路上配置了穩(wěn)壓器和過壓防護設(shè)備。在供電設(shè)備及線路上還設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電。溫濕度控制：通過精密空調(diào)、集中加濕器自動調(diào)節(jié)，數(shù)據(jù)中心機房溫濕度保持在設(shè)備運行所允許的范圍內(nèi)，使設(shè)備元器件處于良好運行狀態(tài)。機柜冷熱通道有合理的布置，利用架空地板下空間作為靜壓箱來給機柜送風，并設(shè)置了冷通道密閉，以防止局部熱點。消防能力：數(shù)據(jù)中心建筑防火等級均按一級設(shè)計施工，使用了A級防火材料，滿足國家消防規(guī)范。采用了阻燃、耐火電纜，在管內(nèi)或線槽鋪設(shè)，并設(shè)置了漏電檢測裝置。部署了自動報警和自動滅火系統(tǒng)，能夠迅速準確發(fā)現(xiàn)并通報火情。自動報警系統(tǒng)與供電、監(jiān)控、通風設(shè)備聯(lián)動，即使意外情況造成無人值守，也能開啟自動滅火系統(tǒng)，得以控制火情。例行監(jiān)控：數(shù)據(jù)中心的電力、溫濕度、消防等環(huán)境運行狀態(tài)通過日常巡檢制度得到例行監(jiān)控，安全隱患能被及時發(fā)現(xiàn)并修復，確保設(shè)備穩(wěn)定運行。供水排水：數(shù)據(jù)中心的供水和排水系統(tǒng)均有合理規(guī)劃，保證了總閥門正?？捎?，確保關(guān)鍵人員知曉閥門位置，以免信息系統(tǒng)受到漏水事故破壞。機房建筑和樓層均有抬高場地，在外圍設(shè)置了綠化地排水溝，加速排水，以降低場地積水倒灌風險。建筑滿足防水一級標準，保證了雨水不能通過屋頂、墻壁向機房滲透。數(shù)據(jù)中心也配備了及時排水的設(shè)施，供水災時使用。防靜電：數(shù)據(jù)中心機房鋪設(shè)了防靜電地板，導線連接地板支架與接地網(wǎng)，機器接地以導走靜電。在機房大樓頂部設(shè)置了避雷帶，供電線路安裝了多級避雷器，導走電流。安全通信網(wǎng)絡(luò)云數(shù)據(jù)中心節(jié)點眾多、功能區(qū)域復雜。為了簡化網(wǎng)絡(luò)安全設(shè)計，阻止網(wǎng)絡(luò)攻擊在數(shù)據(jù)中心環(huán)境中的擴散，最小化攻擊影響，數(shù)據(jù)中心環(huán)境參考ITUE.408安全區(qū)域的劃分原則并結(jié)合業(yè)界網(wǎng)絡(luò)安全的優(yōu)秀實踐，對數(shù)據(jù)中心環(huán)境網(wǎng)絡(luò)進行安全區(qū)域，網(wǎng)絡(luò)層面的劃分和隔離。安全區(qū)域內(nèi)部的節(jié)點具有相同的安全等級。數(shù)據(jù)中心環(huán)境從網(wǎng)絡(luò)架構(gòu)設(shè)計、設(shè)備選型配置到運行維護諸方面綜合考慮，對承載網(wǎng)絡(luò)采用各種針對物理和虛擬網(wǎng)絡(luò)的多層安全隔離，接入控制和邊界防護技術(shù)，同時嚴格執(zhí)行相應的管控措施，確保環(huán)境安全。邊界劃分如下圖所示，虛線框為本次建設(shè)范圍，出口區(qū)不在本次建設(shè)范圍內(nèi)：圖：安全域劃分及網(wǎng)絡(luò)邊界保護數(shù)據(jù)中心環(huán)境根據(jù)業(yè)務功能和網(wǎng)絡(luò)安全風險將數(shù)據(jù)中心劃分為多個安全區(qū)域，實現(xiàn)物理和邏輯控制并用的隔離手段，提升網(wǎng)絡(luò)面對入侵和內(nèi)鬼的分區(qū)自我保護和容錯恢復能力。在這里介紹以下四個重要安全區(qū)域：網(wǎng)絡(luò)服務區(qū)：數(shù)據(jù)中心環(huán)境網(wǎng)絡(luò)服務區(qū)主要部署了面向外網(wǎng)和租戶的前置部件，如負載均衡器、代理服務器等，以及服務部件，如服務控制臺、API網(wǎng)關(guān)等。租戶對DMZ區(qū)的訪問行為不可信，所以需要對網(wǎng)絡(luò)服務區(qū)單獨隔離，防止外部請求接觸服務后端部件。此區(qū)域部件面臨極高安全風險，除部署了防火墻、防DDoS措施外，還部署了應用防火墻（WAF）、入侵檢測設(shè)備（IPS&AV）以及網(wǎng)絡(luò)流量審計系統(tǒng)，以保護基礎(chǔ)網(wǎng)絡(luò)、平臺。云管理區(qū)：該區(qū)域主要部署部IaaS/PaaS/SaaS服務化組件等。此區(qū)域內(nèi)的部件根據(jù)業(yè)務需要受限開放給租戶，且租戶訪問此區(qū)域部件和服務必須經(jīng)過DMZ區(qū)。環(huán)境管理員可以從內(nèi)網(wǎng)區(qū)訪問該區(qū)域進行操作和管理。計算資源交付區(qū)：此區(qū)域提供租戶所需的基礎(chǔ)設(shè)施資源，包括計算、存儲、網(wǎng)絡(luò)資源，如租戶虛擬機、磁盤、虛擬網(wǎng)絡(luò)。租戶之間通過多層安全控制手段實現(xiàn)資源隔離，租戶不能訪問其它租戶的資源；平臺側(cè)管理平面、數(shù)據(jù)存儲平面隔離，且與租戶數(shù)據(jù)平面隔離。該區(qū)域還可以支撐對進出互聯(lián)網(wǎng)的租戶流量做DDoS防護及入侵檢測與防御，保障租戶業(yè)務。運維管理區(qū)（OM–OperationsManagement）：該區(qū)域主要部署運維墻，數(shù)據(jù)中心環(huán)境運維人員必須先通過虛擬專用網(wǎng)絡(luò)（VPN–VirtualPrivateNetwork）接入該區(qū)域，再通過堡壘機（PBH）訪問被管理節(jié)點。管理員可從此區(qū)域訪問所有區(qū)域的運維接口。此區(qū)域不向其他區(qū)域開放接口。除了上述網(wǎng)絡(luò)分區(qū)，同時也對不同區(qū)域的安全級別進行了劃分，根據(jù)不同的業(yè)務功能，確定不同的攻擊面以及不同的安全風險，比如說直接暴露在互聯(lián)網(wǎng)的區(qū)域，安全風險最高，而與互聯(lián)網(wǎng)幾乎沒有交互并且不向其他區(qū)域開放接口的OM區(qū)，攻擊面最小，安全風險相對容易控制。安全區(qū)域邊界本次方案設(shè)計通過防火墻實現(xiàn)安全區(qū)域邊界能力。防火墻安全方案本次項目建設(shè)采用華為USG6600E系列AI防火墻來完成實現(xiàn)云平臺安全建設(shè)，華為USG系列防火墻在提供NGFW能力的基礎(chǔ)上，聯(lián)動其他安全設(shè)備，主動防御網(wǎng)絡(luò)威脅，增強邊界檢測能力，有效防御高級威脅，同時解決性能下降問題。NP提供快速轉(zhuǎn)發(fā)能力，防火墻性能顯著提升。防火墻安全功能（1）安全區(qū)域管理基于安全區(qū)域的隔離華為USG系列防火墻統(tǒng)一安全網(wǎng)關(guān)的安全隔離是基于安全區(qū)域，這樣的設(shè)計模型為用戶在實際使用統(tǒng)一安全網(wǎng)關(guān)的時候提供了十分良好的管理模型。華為統(tǒng)一安全網(wǎng)關(guān)提供了基于安全區(qū)域的隔離模型，每個安全區(qū)域可以按照網(wǎng)絡(luò)的實際組網(wǎng)加入任意的接口，因此統(tǒng)一安全網(wǎng)關(guān)的安全管理模型是不會受到網(wǎng)絡(luò)拓撲的影響?？晒芾淼陌踩珔^(qū)域業(yè)界很多防火墻一般都提供受信安全區(qū)域（trust）、非受信安全區(qū)域（untrust）、非軍事化區(qū)域（DMZ）三個獨立的安全區(qū)域，這樣的保護模型可以適應大部分的組網(wǎng)要求，但是在一些安全策略要求較高的場合，這樣的保護模型還是不能滿足要求。華為統(tǒng)一安全網(wǎng)關(guān)默認提供四個安全區(qū)域：trust、untrust、DMZ、local，在提供三個最常用的安全邏輯區(qū)域的基礎(chǔ)上還新增加了本地邏輯安全區(qū)域，本地安全區(qū)域可以定義到統(tǒng)一安全網(wǎng)關(guān)本身的報文，保證了統(tǒng)一安全網(wǎng)關(guān)本身的安全防護。例如，通過對本地安全區(qū)域的報文控制，可以很容易的防止不安全區(qū)域?qū)y(tǒng)一安全網(wǎng)關(guān)本身的Telnet、ftp等訪問。華為統(tǒng)一安全網(wǎng)關(guān)還提供自定義安全區(qū)域，可以最大定義16個安全區(qū)域，每個安全區(qū)域都可以加入獨立的接口?；诎踩珔^(qū)域的策略控制華為統(tǒng)一安全網(wǎng)關(guān)支持根據(jù)不同的安全區(qū)域之間的訪問設(shè)計不同的安全策略組（ACL訪問控制列表），每條安全策略組支持若干個獨立的規(guī)則。這樣的規(guī)則體系使得統(tǒng)一安全網(wǎng)關(guān)的策略十分容易管理，方便用戶對各種邏輯安全區(qū)域的獨立管理?；诎踩珔^(qū)域的策略控制模型，可以清晰的分別定義從trust到untrust、從DMZ到untrust之間的各種訪問，這樣的策略控制模型使得華為統(tǒng)一安全網(wǎng)關(guān)的網(wǎng)絡(luò)隔離功能具有很好的管理能力。（2）NAT功能優(yōu)異的地址轉(zhuǎn)換性能華為統(tǒng)一安全網(wǎng)關(guān)采用基于連接的方式提供地址轉(zhuǎn)換特性，針對每條連接維護一個Session表項，并且在處理的過程中采用優(yōu)化的算法，保證了地址轉(zhuǎn)換特性的優(yōu)異性能。在啟用NAT的時候，性能下降的非常少，這樣就保證了在通過華為統(tǒng)一安全網(wǎng)關(guān)提供NAT業(yè)務的時候不會成為網(wǎng)絡(luò)的瓶頸。靈活的地址轉(zhuǎn)換管理華為統(tǒng)一安全網(wǎng)關(guān)提供了基于安全區(qū)域的管理功能，利用“安全區(qū)域”的概念把統(tǒng)一安全網(wǎng)關(guān)管理的網(wǎng)絡(luò)按照功能區(qū)域、安全要求等因素從邏輯上劃分為幾個邏輯子網(wǎng)，每個邏輯子網(wǎng)稱為一個“安全區(qū)域”。默認情況，統(tǒng)一安全網(wǎng)關(guān)提供了4個默認的安全區(qū)域：trust、untrust、DMZ、local，一般情況下，untrust區(qū)域是連接Internet的，trust區(qū)域是連接內(nèi)部局域網(wǎng)的，DMZ區(qū)域是連接一些內(nèi)部服務器的，例如放置郵件服務器、FTP服務器等。統(tǒng)一安全網(wǎng)關(guān)的地址轉(zhuǎn)換功能是按照安全區(qū)域之間的訪問進行配置的，這樣就可以非常方便的進行網(wǎng)絡(luò)管理。例如，對于內(nèi)部服務器的網(wǎng)絡(luò)如果有足夠的IP地址，可以直接使用公網(wǎng)IP地址，在DMZ->untrust區(qū)域間不使用地址轉(zhuǎn)換，而內(nèi)部局域網(wǎng)使用私網(wǎng)地址，在trust->untrust區(qū)域間使用地址轉(zhuǎn)換。同時地址轉(zhuǎn)換可以和ACL配合使用，利用ACL來控制地址轉(zhuǎn)換的范圍，因此即使在同一個網(wǎng)絡(luò)區(qū)域，有公網(wǎng)、私網(wǎng)混合組網(wǎng)的情況，統(tǒng)一安全網(wǎng)關(guān)依然可以方便的設(shè)定地址轉(zhuǎn)換的規(guī)則。強大的內(nèi)部服務器支持內(nèi)部服務器就是可以使得外部網(wǎng)絡(luò)的用戶可以訪問到內(nèi)部網(wǎng)絡(luò)，比如可以對外提供Web服務器。很多統(tǒng)一安全網(wǎng)關(guān)實現(xiàn)內(nèi)部服務器的時候是提供一個“靜態(tài)映射”，將一個私有地址和一個公有地址綁定，這個方式的最大弱點就是浪費合法的IP地址。華為統(tǒng)一安全網(wǎng)關(guān)的地址轉(zhuǎn)換功能可以對內(nèi)部服務器的支持到達端口級。允許用戶按照自己的需要配置內(nèi)部服務器的端口、協(xié)議、提供給外部的端口、協(xié)議。對于上面的例子使用的地址轉(zhuǎn)換，不僅可以保證做為WEB服務器的地址，同時可以做為FTP服務器的地址，同時可以使用:8080提供第二臺WEB服務器，還可以滿足內(nèi)部用戶同時使用的地址進行訪問Internet。華為統(tǒng)一安全網(wǎng)關(guān)提供了基于端口的內(nèi)部服務器映射，可以使用端口來提供服務，同時也可以提供地址的一對一映射。同時，每臺統(tǒng)一安全網(wǎng)關(guān)可以提供多達256個內(nèi)部服務器映射，而且不會影響訪問的效率。強大的業(yè)務支撐地址轉(zhuǎn)換比較難處理的情況是報文載荷中含有地址信息的情況，這種情況的代表協(xié)議是FTP。華為統(tǒng)一安全網(wǎng)關(guān)的地址轉(zhuǎn)換現(xiàn)在已經(jīng)非常完善的支持了ICMP重定向、不可達、FTP（支持被動主動兩種模式）、H323、NetMeeting、PPTP、L2tp、DNS、NetBIOS、SIP、QQ、MSN等特殊協(xié)議。依靠現(xiàn)在支持的各種業(yè)務，統(tǒng)一安全網(wǎng)關(guān)已經(jīng)可以提供非常好的業(yè)務支撐，可以滿足絕大部分的Internet業(yè)務，使得地址轉(zhuǎn)換不會成為網(wǎng)絡(luò)業(yè)務的瓶頸。為了更好的適應網(wǎng)絡(luò)業(yè)務的發(fā)展，華為統(tǒng)一安全網(wǎng)關(guān)還提供了一種“用戶自定義”的ALG功能，對于某些特殊業(yè)務應用，通過命令行進行配置就可以支持這種業(yè)務的ALG，通過這樣的方式更可以保證華為統(tǒng)一安全網(wǎng)關(guān)對業(yè)務的支撐，達到快速響應的效果。另外華為統(tǒng)一安全網(wǎng)關(guān)在結(jié)構(gòu)上面，充分考慮了地址轉(zhuǎn)換需要支持特殊協(xié)議的問題。從結(jié)構(gòu)上保證可以非?？焖俚闹С指鞣N特殊協(xié)議，并且對報文加密的情況也做了考慮。因此在應用程序網(wǎng)關(guān)方面，統(tǒng)一安全網(wǎng)關(guān)在程序設(shè)計、結(jié)構(gòu)方面做了很大的努力和考慮，在針對新出現(xiàn)的各種特殊協(xié)議的開發(fā)方面上，華為統(tǒng)一安全網(wǎng)關(guān)可以保證會比其他設(shè)備提供更快、更好的反應，可以快速的響應支持用戶的需求，支持多變的網(wǎng)絡(luò)業(yè)務。無數(shù)目限制的PAT方式轉(zhuǎn)換華為統(tǒng)一安全網(wǎng)關(guān)可以提供PAT（PortAddressTranslation）方式的地址轉(zhuǎn)換，PAT方式的地址轉(zhuǎn)換使用了TCP/UDP的端口信息，這樣在進行地址轉(zhuǎn)換的時候使用的是“地址＋端口”來區(qū)分內(nèi)部局域網(wǎng)的主機對外發(fā)起的不同連接。這樣使用PAT方式的地址轉(zhuǎn)換技術(shù)，內(nèi)部局域網(wǎng)的很多用戶可以共享一個IP地址上網(wǎng)了。因為TCP/UDP的端口范圍是1~65535，一般1～1024端口范圍是系統(tǒng)保留端口，因此從理論上計算，通過PAT方式的地址轉(zhuǎn)換一個合法的IP地址可以提供大約60000個并發(fā)連接。但是華為統(tǒng)一安全網(wǎng)關(guān)采用專利技術(shù)提供了一種“無限制端口”連接的算法，可以保證使用一個公網(wǎng)IP地址可以提供無限個并發(fā)連接，通過這種技術(shù)就突破了PAT方式上網(wǎng)的65535個端口的限制，更大的滿足了地址轉(zhuǎn)換方式的實際使用，更加節(jié)省了公網(wǎng)的IP地址。（3）安全策略控制靈活的規(guī)則設(shè)定華為統(tǒng)一安全網(wǎng)關(guān)可以支持靈活的規(guī)則設(shè)定，可以根據(jù)報文的特點方便的設(shè)定各種規(guī)則?？梢砸罁?jù)報文的協(xié)議號設(shè)定規(guī)則可以依據(jù)報文的源地址、目的地址設(shè)定規(guī)則可以使用通配符設(shè)定地址的范圍，用來指定某個地址段的主機針對UDP和TCP還可以指定源端口、目的端口針對目的端口、源端口可以采用大于、等于、介入、不等于等方式設(shè)定端口的范圍針對ICMP協(xié)議，可以自由的指定ICMP報文的類型和Code號，可以通過規(guī)則針對任何一種ICMP報文可以針對IP報文中的TOS域設(shè)定靈活的規(guī)則可以將多個報文的地址形成一個組，作為地址本，在定義規(guī)則時可以按組來設(shè)定規(guī)則，這樣規(guī)則的配置靈活方便高速策略匹配通常，防火墻的安全策略都是由很多規(guī)則構(gòu)成的，因此在進行策略匹配的時候會影響防火墻的轉(zhuǎn)發(fā)效率。華為統(tǒng)一安全網(wǎng)關(guān)采用了ACL匹配的專門算法，這樣就保證了在很多規(guī)則的情況下，統(tǒng)一安全網(wǎng)關(guān)依然可以保持高效的轉(zhuǎn)發(fā)效率，系統(tǒng)在進行上萬條ACL規(guī)則的查找時，性能基本不受影響，處理速度保持不變，從而確保了ACL查找的高速度，提高了系統(tǒng)整體性能。MAC地址和IP地址綁定華為統(tǒng)一安全網(wǎng)關(guān)根據(jù)用戶配置，將MAC和IP地址進行綁定從而形成關(guān)聯(lián)關(guān)系。對于從該IP地址發(fā)來的報文，如果MAC地址不匹配則被丟棄；對于發(fā)往該IP地址的報文都被強制發(fā)送到指定的MAC地址處，從而有效避免IP地址假冒的攻擊行為。動態(tài)策略管理－黑名單技術(shù)華為統(tǒng)一安全網(wǎng)關(guān)可以將某些可疑報文的源IP地址記錄在黑名單列表中，系統(tǒng)通過丟棄黑名單用戶的所有報文，從而有效避免某些惡意主機的攻擊行為。統(tǒng)一安全網(wǎng)關(guān)提供如下幾種黑名單列表維護方式：手工添加黑名單記錄，實現(xiàn)主動防御與攻擊防范結(jié)合自動添加黑名單記錄，起到智能保護可以根據(jù)具體情況設(shè)定"白名單"，使得即使存在黑名單中的主機，依然可以使用部分的網(wǎng)絡(luò)資源。例如，即使某臺主機被加入到了黑名單，但是依然可以允許這個用戶上網(wǎng)。黑名單技術(shù)是一種動態(tài)策略技術(shù)，屬于響應體系。統(tǒng)一安全網(wǎng)關(guān)在動態(tài)運行的過程中，會發(fā)現(xiàn)一些攻擊行為，通過黑名單動態(tài)響應系統(tǒng)，可以抑制這些非法用戶的部分流量，起到保護整個系統(tǒng)的作用。（4）攻擊防范功能優(yōu)秀的Dos防御能力的必要條件Internet上的DOS攻擊已經(jīng)成為很常見的攻擊行為，Dos（Denyofservice）是一類攻擊方式的統(tǒng)稱，其攻擊的基本原理就是通過發(fā)送各種垃圾報文導致網(wǎng)絡(luò)的阻塞、服務的癱瘓。Dos攻擊方式其利用IP無連接的特點，可以制造各種不同的攻擊手段，而且攻擊方式非常簡單，普通到一臺PC、一個發(fā)包工具就可以制造Dos攻擊，因此Dos攻擊方式在Internet上非常流行，對企業(yè)網(wǎng)、甚至骨干網(wǎng)都造成了非常嚴重的影響，引發(fā)很大的網(wǎng)絡(luò)事故，因此優(yōu)秀的Dos攻擊防范功能是統(tǒng)一安全網(wǎng)關(guān)的必備功能。一個優(yōu)秀的Dos攻擊防御體系，應該具有如下最基本的特征：防御手段的健全和豐富，因為Dos攻擊手段種類比較多，因此必須具有豐富的防御手段，才可以保證真正的抵御Dos攻擊。優(yōu)秀的處理性能，因為Dos攻擊伴隨這一個重要特征就是網(wǎng)絡(luò)流量突然增大，如果防火墻本身不具有優(yōu)秀的處理能力，則防火墻在處理Dos攻擊的同時本身就成為了網(wǎng)絡(luò)的瓶頸，根本就不可能抵御Dos攻擊。因為Dos攻擊的一個重要目的就是使得網(wǎng)絡(luò)癱瘓，網(wǎng)絡(luò)上的關(guān)鍵設(shè)備點發(fā)生了阻塞，則Dos攻擊的目的就達到了。這里同時需要提醒大家注意的是，防火墻設(shè)備不但要考察轉(zhuǎn)發(fā)性能，同時一定要考察對業(yè)務的處理能力。在進行Dos攻擊防御的過程中，防火墻的每秒新建能力就成為保證網(wǎng)絡(luò)通暢的一個重要指標，Dos攻擊的過程中，攻擊者都是在隨機變化源地址因此所有的連接都是新建連接。準確的識別攻擊能力。很多防火墻在處理Dos攻擊的時候，僅僅能保證防火墻后端的流量趨于網(wǎng)絡(luò)可以接受的范圍，但是不能保證準確的識別攻擊報文。這樣處理雖然可以保證網(wǎng)絡(luò)流量的正常，可以保證服務器不會癱瘓，但是這樣處理還是會阻擋正常用戶上網(wǎng)、訪問等的報文，因此雖然網(wǎng)絡(luò)層面是正常的，但是真正的服務還是被拒絕了，因此還是不能達到真正的Dos攻擊防御的目的。華為統(tǒng)一安全網(wǎng)關(guān)產(chǎn)品，對上述各個方面都做了詳盡的考慮，因此Dos防御的綜合性能、功能等方面在同類防火墻產(chǎn)品中都具有很強的優(yōu)勢。豐富的Dos防御手段華為統(tǒng)一安全網(wǎng)關(guān)產(chǎn)品根據(jù)數(shù)據(jù)報文的特征，以及Dos攻擊的不同手段，可以針對ICMPFlood、SYNFlood、UDPFlood等各種Dos攻擊手段進行Dos攻擊的防御。同時，華為統(tǒng)一安全網(wǎng)關(guān)可以主動識別出數(shù)十種常見的攻擊種類，很多種攻擊種類造成的后果就是Dos形式的攻擊，華為統(tǒng)一安全網(wǎng)關(guān)可以主動發(fā)現(xiàn)并隔斷這些非法攻擊，消除了內(nèi)部網(wǎng)絡(luò)遭受攻擊的可能。通過對各種攻擊的防御手段，利用華為統(tǒng)一安全網(wǎng)關(guān)可以組建一個安全的防御體系，保證網(wǎng)絡(luò)不遭受Dos攻擊的侵害。針對不同的攻擊特點，華為統(tǒng)一安全網(wǎng)關(guān)采用了一些不同的防御技術(shù)，這樣保證在抵御Dos攻擊的時候更有針對性，使得設(shè)備的抵御特性更加完整。華為統(tǒng)一安全網(wǎng)關(guān)不但在攻擊手段上面進行了詳細考慮，同時也在使用方式和網(wǎng)絡(luò)適應性方面做了周全的考慮，攻擊防范既可以針對一臺特定的主機也可以針對一個安全區(qū)域的所有主機進行保護。高級的TCP代理防御體系華為統(tǒng)一安全網(wǎng)關(guān)支持使用TCP代理方式來防止SYNFlood類的Dos攻擊，這種攻擊可以很快的消耗服務器資源，導致服務器崩潰。在一般的Dos防范技術(shù)中，在攻擊發(fā)生的時候不能準確的識別哪些是合法用戶，哪些是攻擊報文。華為統(tǒng)一安全網(wǎng)關(guān)采用了TCP透明代理的方式實現(xiàn)了對這種攻擊的防范，統(tǒng)一安全網(wǎng)關(guān)通過精確的驗證可以準確的發(fā)現(xiàn)攻擊報文，對正常報文依然可以通過，允許這些報文訪問統(tǒng)一安全網(wǎng)關(guān)資源，而攻擊報文則被丟棄。有些攻擊是建立一個完整的TCP連接用來消耗服務器的資源。華為統(tǒng)一安全網(wǎng)關(guān)可以實現(xiàn)增強代理的功能，在客戶端與統(tǒng)一安全網(wǎng)關(guān)建立連接以后察看客戶是否有數(shù)據(jù)報文發(fā)送，如果有數(shù)據(jù)報文發(fā)送，再與服務器端建立連接否則丟棄客戶端的報文。這樣可以保證即使采用完成TCP三次握手的方式消耗服務器資源，也可以被統(tǒng)一安全網(wǎng)關(guān)發(fā)現(xiàn)。掃描攻擊防范掃描窺探攻擊是利用ping掃描（包括ICMP和TCP）來標識網(wǎng)絡(luò)上存活著的系統(tǒng)，從而準確的定位潛在的目標；利用TCP和UDP端口掃描，就能檢測出操作系統(tǒng)的潛在服務。攻擊者通過掃描窺探能大致了解目標系統(tǒng)提供的服務種類和潛在的安全漏洞，為進一步侵入系統(tǒng)做好準備。華為統(tǒng)一安全網(wǎng)關(guān)通過比較分析，可以靈活高效地檢測出這類掃描窺探報文，從而預先避免后續(xù)的攻擊行為。這些掃描窺探包括：地址掃描、端口掃描、IP源站選路選項、IP路由記錄選項、利用tracert工具窺探網(wǎng)絡(luò)結(jié)構(gòu)等。畸形報文防范華為統(tǒng)一安全網(wǎng)關(guān)可以提供針對各種畸形報文的防范，主要包括Land攻擊、Smurf攻擊、Fraggle攻擊、WinNuke攻擊、ICMP重定向或不可達報文、TCP報文標志位（如ACK、SYN、FIN等）不合法、PingofDeath攻擊、TearDrop攻擊等，可以自動的檢測出這些攻擊報文。（5）ASPF深度檢測功能華為統(tǒng)一安全網(wǎng)關(guān)提供了ASPF技術(shù)，ASPF是一種高級通信過濾技術(shù)，它檢查應用層協(xié)議信息并且監(jiān)控基于連接的應用層協(xié)議狀態(tài)。華為統(tǒng)一安全網(wǎng)關(guān)依靠這種基于報文內(nèi)容的訪問控制，能夠?qū)脤拥囊徊糠止艏右詸z測和防范，包括對于FTP命令字、SMTP命令的檢測、HTTP的Java、ActiveX控件等的檢測。ASPF技術(shù)是在基于會話管理的技術(shù)基礎(chǔ)上提供深層檢測技術(shù)的，ASPF技術(shù)利用會話管理維護的信息來維護會話的訪問規(guī)則，通過ASPF技術(shù)在會話管理中保存著不能由靜態(tài)訪問列表規(guī)則保存的會話狀態(tài)信息。會話狀態(tài)信息可以用于智能的允許/禁止報文。當一個會話終止時，會話管理會將該會話的相關(guān)信息刪除，統(tǒng)一安全網(wǎng)關(guān)中的會話也將被關(guān)閉。針對TCP連接，ASPF可以智能的檢測“TCP的三次握手的信息”和“拆除連接的握手信息”，通過檢測握手、拆連接的狀態(tài)檢測，保證一個正常的TCP訪問可以正常進行，而對于非完整的TCP握手連接的報文會直接拒絕。在普通的場合，一般使用的是基于ACL的IP包過濾技術(shù)，這種技術(shù)比較簡單，但缺乏一定的靈活性，在很多復雜應用的場合普通包過濾是無法完成對網(wǎng)絡(luò)的安全保護的。例如對于類似于應用FTP協(xié)議進行通信的多通道協(xié)議來說，配置統(tǒng)一安全網(wǎng)關(guān)則是非常困難的。FTP包含一個預知端口的TCP控制通道和一個動態(tài)協(xié)商的TCP數(shù)據(jù)通道，對于一般的包過濾防火墻來說，配置安全策略時無法預知數(shù)據(jù)通道的端口號，因此無法確定數(shù)據(jù)通道的入口。這樣就無法配置準確的安全策略。ASPF技術(shù)則解決了這一問題，它檢測IP層之上的應用層報文信息，并動態(tài)地根據(jù)報文的內(nèi)容創(chuàng)建和刪除臨時的規(guī)則，以允許相關(guān)的報文通過。ASPF使得統(tǒng)一安全網(wǎng)關(guān)能夠支持一個控制通道上存在多個數(shù)據(jù)連接的協(xié)議，同時還可以在應用非常復雜的情況下方便的制訂各種安全的策略。許多應用協(xié)議，如Telnet、SMTP使用標準的或已約定的端口地址來進行通信，但大部分多媒體應用協(xié)議（如H.323、SIP）及FTP、netmeeting等協(xié)議使用約定的端口來初始化一個控制連接，再動態(tài)的選擇端口用于數(shù)據(jù)傳輸。端口的選擇是不可預測的，其中的某些應用甚至可能要同時用到多個端口。ASPF每一個應用的每一個連接所使用的端口，打開合適的通道讓會話中的數(shù)據(jù)能夠出入統(tǒng)一安全網(wǎng)關(guān)，在會話結(jié)束時關(guān)閉該通道，從而能夠?qū)κ褂脛討B(tài)端口的應用實施有效的訪問控制。當報文通過統(tǒng)一安全網(wǎng)關(guān)時，ASPF將對報文與指定的訪問規(guī)則進行比較，如果規(guī)則允許，報文將接受檢查，否則報文直接被丟棄。如果該報文是用于打開一個新的控制或數(shù)據(jù)連接，ASPF將動態(tài)的修改規(guī)則，對于回來的報文只有屬于一個已經(jīng)存在對應的有效規(guī)則，才會被允許通過。在處理回來的報文時，狀態(tài)表也會隨時更新。當一個連接被關(guān)閉或超時后，該連接對應的狀態(tài)表將被刪除，確保未經(jīng)授權(quán)的報文不能隨便通過。內(nèi)容安全防護功能（1）一體化檢測機制USG一體化檢測機制不僅提供了強大的內(nèi)容安全功能，還使得即使在內(nèi)容安全功能全開的情況下，也可以保持較高性能功能。一體化檢測機制是指設(shè)備僅對報文進行一次檢測，就可以獲取到后續(xù)所有內(nèi)容安全功能所需的數(shù)據(jù)，從而大幅提升設(shè)備處理。（2）反病毒功能反病毒功能可以對網(wǎng)絡(luò)中傳輸?shù)奈募M行掃描，識別出其中攜帶的病毒，并且予以記錄或清除。病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒通常被攜帶在文件中，通過網(wǎng)頁、郵件、文件傳輸協(xié)議進行傳播。內(nèi)網(wǎng)主機一旦感染病毒，就可能導致系統(tǒng)癱瘓、服務中止、數(shù)據(jù)泄露，令企業(yè)蒙受巨大損失。下一代USG防火墻提供的反病毒功能對最容易傳播病毒的文件傳輸與共享協(xié)議以及郵件協(xié)議進行檢測和掃描，可以防范多種躲避病毒檢測的機制，實現(xiàn)針對病毒的強大防護能力。支持豐富的應用層協(xié)議和應用程序支持對HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB傳輸?shù)奈募M行病毒檢測。支持對部分常見的基于HTTP協(xié)議的應用程序設(shè)置例外動作。支持對壓縮文件進行病毒掃描支持對zip、gzip壓縮文件進行解壓，然后再進行病毒掃描。支持海量的病毒特征庫下一代USG系列防火墻自帶的病毒特征庫支持檢測3000多個主流的病毒家族，可以覆蓋100萬種常見的流行病毒，海量的病毒特征庫使得下一代USG系列防火墻擁有強大的病毒檢測能力。同時華為通過專業(yè)的病毒分析團隊，實時跟蹤最新出現(xiàn)的病毒類型，并對其進行分析，在第一時間更新病毒特征庫供網(wǎng)絡(luò)管理員下載使用，使得下一代USG系列防火墻始終擁有最新最強大的病毒識別能力。支持針對不同流量配置不同的防護措施，支持添加應用例外和病毒例外定制病毒防護策略通過安全策略，網(wǎng)絡(luò)管理員可以針對不同流量制定細粒度的防護策略，對不同的網(wǎng)絡(luò)環(huán)境采取不同級別的保護。同時，通過對部分常見的基于HTTP協(xié)議的應用程序設(shè)置額外的防護動作，或者根據(jù)日志將部分誤報的病毒類型添加到病毒例外中，可以對反病毒策略進行靈活的調(diào)整，以保證業(yè)務的正常傳輸。（3）入侵防御功能入侵防御功能主要可以防護應用層的攻擊或入侵，例如緩沖區(qū)溢出攻擊、木馬、后門攻擊、蠕蟲等。華為下一代USG系列防火墻的入侵防御功能可以通過監(jiān)控或者分析系統(tǒng)事件，檢測應用層攻擊和入侵，并通過一定的響應方式，實時地中止入侵行為。支持多種部署方式，支持針對不同流量配置不同的防護措施華為下一代USG系列防火墻支持直路部署和旁路部署兩種部署模式。在直路部署時可以作為IPS設(shè)備工作，實時檢測威脅事件的發(fā)生并及時中止其流量傳輸，保護內(nèi)部網(wǎng)絡(luò)；在旁路部署時可以作為IDS設(shè)備工作，檢測并記錄網(wǎng)絡(luò)中發(fā)生的可疑事件，及時通知網(wǎng)絡(luò)管理員采取行動，或者幫助管理員進行事后檢查，同時又不影響流量的正常傳輸。通過安全策略，網(wǎng)絡(luò)管理員可以針對不同流量制定細粒度的防護策略，對不同的網(wǎng)絡(luò)環(huán)境采取不同級別的保護。支持對應用層報文進行深度解析通過強大的報文深度識別功能，以及不斷更新的應用特征庫，華為下一代USG系列防火墻可以對數(shù)千種常見的應用程序進行報文深度解析，并檢測出其中攜帶的攻擊和入侵流量。根據(jù)基于應用的安全策略，可以對不同的應用程序作出不同的響應工作，方便管理員靈活部署入侵防御功能。支持進行報文分片重組和TCP流重組之后再進行威脅檢測支持網(wǎng)絡(luò)攻擊利用IP報文分片和TCP流亂序重組等技術(shù)躲避威脅檢測的行為，華為下一代USG系列防火墻支持將IP分片報文重組還原為原始報文后再進行檢測，還支持對TCP流進行重組，按照流序號還原為正序流后再進行檢測。支持海量的簽名庫，支持自定義簽名IPS設(shè)備通常使用簽名來識別攻擊流量的特征，簽名庫的容量就代表了設(shè)備識別應用層威脅的能力。然而新型的攻擊層出不窮，威脅日新月異，所以華為通過專業(yè)的簽名開發(fā)團隊密切跟蹤全球知名安全組織和軟件廠商發(fā)布的安全公告，對這些威脅進行分析和驗證，生成保護各種軟件系統(tǒng)（操作系統(tǒng)、應用程序、數(shù)據(jù)庫）漏洞的簽名庫。此外，通過遍布全球的蜜網(wǎng)（通過誘使黑客進行攻擊捕捉攻擊行為特征的站點），實時捕獲最新的攻擊、蠕蟲病毒、木馬，提取威脅的特征，發(fā)現(xiàn)威脅的趨勢。在此基礎(chǔ)上，當新的漏洞被發(fā)現(xiàn)時，華為能夠在最短時間內(nèi)發(fā)布最新的簽名，及時升級檢測引擎和簽名庫，來防御針對該漏洞的已知的和未知的攻擊，真正實現(xiàn)零日防御。華為下一代USG系列防火墻自帶的簽名庫可以識別出數(shù)千種應用層攻擊行為。通過簽名庫的不斷升級，還可以持續(xù)獲取最新的識別和防護能力。網(wǎng)絡(luò)管理員還可以根據(jù)自己掌握的流量信息自行定義簽名，使得華為下一代USG系列防火墻的入侵防御功能更加完善。超低的簽名誤報率誤報率是衡量簽名庫質(zhì)量的重要標準，代表著簽名的準確率。出現(xiàn)誤報有可能會影響網(wǎng)絡(luò)正常業(yè)務，同時會產(chǎn)生大量的攻擊事件，管理員需要在海量日志數(shù)據(jù)中尋找真正有價值的攻擊內(nèi)容。誤報的原因一般是簽名不夠精確，或者檢測機制不夠完善。華為擁有眾多安全研究人員，具有豐富數(shù)據(jù)來源，從而可以分析更多的樣本，簽名編寫完成后經(jīng)過了完備的誤報測試，所以發(fā)布的簽名幾乎是零誤報率。得益于簽名的超低誤報，華為下一代USG系列防火墻默認開啟阻截的簽名的比率非常高，在不影響用戶正常業(yè)務的情況下，可以最大程度地化解威脅。這樣，管理員就無需對照冗長的日志來查看是否有誤報，以及是否需要關(guān)閉一些簽名。（4）數(shù)據(jù)泄露防護數(shù)據(jù)泄密防護（DateLeakagePrevention，DLP）是通過一定的技術(shù)手段，防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。數(shù)據(jù)泄露防護的主要目的是保護企業(yè)或個人的重要數(shù)據(jù)。由于竊取數(shù)據(jù)的手段眾多，所以實現(xiàn)數(shù)據(jù)泄露防護需要一組技術(shù)來實現(xiàn)。華為下一代USG系列防火墻提供的數(shù)據(jù)泄露防護技術(shù)主要防止的是數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中發(fā)生泄露，例如：通過網(wǎng)絡(luò)通信工具將機密數(shù)據(jù)從企業(yè)內(nèi)部網(wǎng)絡(luò)傳輸?shù)酵獠烤W(wǎng)絡(luò)。大部分的數(shù)據(jù)泄露都是由企業(yè)內(nèi)部員工有意或無意造成的。外部網(wǎng)絡(luò)的黑客通過入侵技術(shù)進入企業(yè)內(nèi)網(wǎng)主機，獲取控制權(quán)限并獲取機密數(shù)據(jù)，甚至長期監(jiān)控內(nèi)網(wǎng)主機運行的情況。由于內(nèi)網(wǎng)主機無意中感染木馬或其他間諜病毒，機密數(shù)據(jù)被病毒自動搜尋并發(fā)送至外部網(wǎng)絡(luò)。在內(nèi)網(wǎng)主機與外網(wǎng)主機進行必要通信的過程中，由于黑客進行了截取導致機密數(shù)據(jù)泄露。為了解決以上問題，根據(jù)數(shù)據(jù)泄露的途徑，華為下一代USG系列防火墻分別提供了不同的技術(shù)應對：表1數(shù)據(jù)泄露防護技術(shù)泄露途徑技術(shù)說明通過HTTP、FTP等文件傳輸協(xié)議，或者即時通信軟件等應用程序以文本或文件的方式泄露應用識別、文件過濾、數(shù)據(jù)過濾基于強大的應用識別能力，華為下一代USG系列防火墻可以對具有網(wǎng)絡(luò)通信功能的應用程序以及傳輸協(xié)議進行報文的深度解析，識別其中包含的文件和信息。數(shù)據(jù)過濾根據(jù)文本或文件中出現(xiàn)的關(guān)鍵詞，文件過濾根據(jù)文件的類型等信息分別對流量進行過濾。通過電子郵件程序以文本或附件的方式泄露郵件過濾、文件過濾、數(shù)據(jù)過濾郵件過濾根據(jù)郵件的收發(fā)件人地址、附件大小、附件個數(shù)等信息對郵件進行過濾。文件過濾根據(jù)郵件附件的文件類型信息對郵件進行過濾。數(shù)據(jù)過濾根據(jù)郵件的收發(fā)件人地址、主題、正文、附件文件名中出現(xiàn)的關(guān)鍵字對郵件進行過濾。外網(wǎng)中的黑客通過入侵內(nèi)網(wǎng)方式竊取數(shù)據(jù)入侵防御對網(wǎng)絡(luò)攻擊、應用層攻擊以及入侵行為的監(jiān)控，及時阻斷外網(wǎng)隊內(nèi)網(wǎng)的滲透和數(shù)據(jù)竊取。內(nèi)網(wǎng)主機因為感染病毒無意中泄露反病毒對木馬及其他間諜病毒的掃描與識別，避免內(nèi)網(wǎng)感染具有類似功能的病毒，防止危害在內(nèi)網(wǎng)泛濫。在內(nèi)網(wǎng)與外網(wǎng)的正常通信過程中，數(shù)據(jù)被黑客竊取VPN針對內(nèi)網(wǎng)主機與外網(wǎng)主機的通信，或者兩個被Internet隔離的內(nèi)網(wǎng)之間的通信，采用VPN加密技術(shù)對通信過程進行保護，防止數(shù)據(jù)被竊聽、篡改、偽造和重放。除了以上主動防御措施外，華為下一代USG系列防火墻還可以通過對網(wǎng)絡(luò)中出現(xiàn)的應用行為進行審計，記錄相應的源、目的、時間、傳輸?shù)奈募⑦M行的操作等等信息，從而實現(xiàn)對數(shù)據(jù)泄露行為的監(jiān)管、追溯與事后取證。通過華為下一代USG系列防火墻提供的這一系列技術(shù)，結(jié)合企業(yè)內(nèi)部已有的對存儲介質(zhì)的存放管理、文檔數(shù)據(jù)的加密管理、用戶認證與網(wǎng)絡(luò)資源的授權(quán)等等技術(shù)，可以對企業(yè)數(shù)據(jù)進行端到端的安全保護，實現(xiàn)完整的數(shù)據(jù)泄露防護方案。（5）WEB安全防護隨著云技術(shù)的發(fā)展，越來越多的應用開始往Web上進行遷移。Web已經(jīng)從單純的提供網(wǎng)頁瀏覽演變成為集金融、社交、音樂、視頻、游戲等領(lǐng)域為一身的綜合平臺。Web業(yè)務的豐富和發(fā)展同時也帶來了多種多樣的安全風險，通過綜合多種技術(shù)可以實現(xiàn)對Web站點和訪問行為的安全防護。Web安全問題中最為顯著的就是非法網(wǎng)站和惡意網(wǎng)站。非法網(wǎng)站是指暴力、色情等不被當?shù)胤煞ㄒ?guī)或者企業(yè)管理制度所允許訪問的網(wǎng)絡(luò)資源。非法網(wǎng)站帶來的危害包括影響社會穩(wěn)定、降低員工工作效率、占用企業(yè)帶寬、浪費企業(yè)網(wǎng)絡(luò)資源等；惡意網(wǎng)站是指掛馬網(wǎng)站、釣魚網(wǎng)站等試圖在用戶瀏覽過程中向用戶主機植入木馬、進行SQL注入和跨站腳本攻擊、利用瀏覽器/系統(tǒng)漏洞獲取主機權(quán)限或數(shù)據(jù)、騙取用戶錢財?shù)却嬖趷阂庑袨榈木W(wǎng)站。惡意網(wǎng)站有可能帶來用戶或企業(yè)的大量經(jīng)濟損失。惡意網(wǎng)站的顯著特征就是在沒有安全機制保護的情況下，用戶對其惡意行為完全不知情，往往在無意中就造成了損失；URL過濾根據(jù)用戶訪問的URL地址對URL訪問行為進行控制。管理員可以根據(jù)華為下一代USG系列防火墻提供的海量URL分類數(shù)據(jù)庫，以及自己定義的URL地址及分類，對不同的URL地址設(shè)置不同的處理措施。同時，華為下一代USG系列防火墻提供的URL分類數(shù)據(jù)包含了大量已知的掛馬網(wǎng)站、釣魚網(wǎng)站等惡意網(wǎng)站的網(wǎng)址。用戶在訪問URL時，設(shè)備可以自動查詢這個URL是否屬于惡意網(wǎng)站，并作出相應的處理措施。由于URL地址的數(shù)量極其龐大，而且每天都增加，作用也可能發(fā)生改變。華為提供的海量URL分類數(shù)據(jù)庫可以及時跟蹤Internet上的URL地址變化，實時更新URL分類信息，保證了URL過濾功能的不斷增強。同時，管理員也可以在本地網(wǎng)絡(luò)搭建URL分類查詢服務器。由本地URL分類查詢服務器從華為的查詢服務器上學習完整的URL分類信息，本地網(wǎng)絡(luò)中的多臺USG系列防火墻再向該服務器進行查詢。這種部署方式節(jié)約了網(wǎng)絡(luò)帶寬，提高了查詢速度，還可以在內(nèi)網(wǎng)中的USG系列防火墻無法直接連接Internet時，仍能實現(xiàn)實時查詢。（6）應用行為控制應用行為控制可以對企業(yè)網(wǎng)絡(luò)中的特定網(wǎng)絡(luò)行為進行控制，以避免安全風險，提高管理效率，在現(xiàn)代企業(yè)中，網(wǎng)絡(luò)是不可或缺的工作平臺和工具，但是同時因為員工濫用網(wǎng)絡(luò)的行為，會帶來一系列的問題：由于員工在工作時間內(nèi)瀏覽與工作無關(guān)的網(wǎng)站網(wǎng)頁、下載音樂視頻等行為導致工作效率的下降和企業(yè)網(wǎng)絡(luò)資源的浪費。由于員工通過網(wǎng)絡(luò)向外傳輸文本或文件，泄露企業(yè)的機密信息。由于員工在網(wǎng)絡(luò)上發(fā)表不符合當?shù)胤煞ㄒ?guī)或者企業(yè)管理制度的言論，對企業(yè)形象或利益造成損失。華為下一代USG系列防火墻提供的應用行為控制功能，可以有效地監(jiān)控和控制以上網(wǎng)絡(luò)行為，避免企業(yè)利益的損失，提升企業(yè)效率：HTTP行為控制：支持對論壇發(fā)帖、表單提交、用戶登錄等HTTPPOST行為進行阻斷。支持對網(wǎng)頁瀏覽行為進行阻斷。支持對HTTP代理上網(wǎng)行為進行阻斷。支持根據(jù)HTTP上傳/下載的文件大小進行告警或阻斷。FTP行為控制：支持根據(jù)FTP上傳/下載的文件大小進行告警或阻斷。支持對FTP刪除文件行為進行阻斷。（7）垃圾郵件過濾垃圾郵件過濾功能可以根據(jù)郵件發(fā)送服務器的IP地址以及郵件內(nèi)容對垃圾郵件進行攔截。通常來說，凡是未經(jīng)用戶許可就強行發(fā)送到用戶的郵箱中的任何電子郵件都可以稱之為垃圾郵件。垃圾郵件最初只是宣傳廣告的傳播途徑，但是演變至今已經(jīng)對網(wǎng)絡(luò)的正常運轉(zhuǎn)產(chǎn)生了非常惡劣的影響：占用網(wǎng)絡(luò)帶寬，造成郵件服務器擁塞，進而降低整個網(wǎng)絡(luò)的運行效率。侵犯收件人的隱私權(quán)，占用收件人信箱空間，耗費收件人的時間、精力和金錢。有的垃圾郵件還盜用他人的電子郵件地址做發(fā)信地址，嚴重損害了他人的信譽。包含木馬和病毒，被黑客利用，成為網(wǎng)絡(luò)攻擊的工具。嚴重影響ISP的形象。在國際上，頻繁轉(zhuǎn)發(fā)垃圾郵件的主機會被上級國際因特網(wǎng)服務提供商列入國際垃圾郵件數(shù)據(jù)庫，從而導致該主機不能訪問國外許多網(wǎng)絡(luò)。而且收到垃圾郵件的用戶會因為ISP沒有建立完善的垃圾郵件過濾機制，而轉(zhuǎn)向其它ISP。傳播虛假、反動、色情等內(nèi)容，對現(xiàn)實社會造成危害。華為下一代USG系列防火墻提供的垃圾郵件過濾技術(shù)包括：本地定義黑白名單，對允許通過的郵件服務器進行控制。向Internet上的RBL服務器實時查詢郵件服務器是否屬于垃圾郵件服務器。RBL服務器可以提供完整、豐富、不斷更新的已知垃圾郵件服務器清單。根據(jù)郵件的發(fā)件人、主題與正文內(nèi)容中出現(xiàn)的關(guān)鍵字對郵件進行過濾，實現(xiàn)對未知垃圾郵件的基于內(nèi)容的防護。虛擬防火墻功能虛擬防火墻是將一臺物理設(shè)備從邏輯上劃分為多臺獨立的虛擬防火墻設(shè)備的功能。每臺虛擬防火墻都可以擁有自己的管理員、路由表和安全策略。虛擬系統(tǒng)目前主要用于以下三個場景：1）設(shè)備租賃：目前有部分小型企業(yè)，其資金不足以支持購買一臺網(wǎng)絡(luò)安全設(shè)備以及相應的License和售后服務，但是其業(yè)務開展又急需網(wǎng)絡(luò)安全設(shè)備的保護。這時，網(wǎng)絡(luò)服務提供商或者專門的設(shè)備租賃商可以購買一臺網(wǎng)絡(luò)安全設(shè)備，再通過虛擬系統(tǒng)技術(shù)將這臺物理設(shè)備劃分為多臺獨立的虛擬設(shè)備，分別向不同的企業(yè)網(wǎng)絡(luò)提供安全功能。多個企業(yè)共享硬件資源，但是實際流量又被完全隔離。這樣即節(jié)約了設(shè)備購置和維護的費用，又保證了各個企業(yè)的網(wǎng)絡(luò)安全性。對于網(wǎng)絡(luò)服務提供商和設(shè)備租賃商來說，此項服務也可以作為利潤的來源。2）大中型企業(yè)的網(wǎng)絡(luò)隔離：大中型企業(yè)的網(wǎng)絡(luò)都具有大量的網(wǎng)絡(luò)設(shè)備，和嚴密的網(wǎng)段、權(quán)限劃分，以對公司的核心資產(chǎn)進行保護。雖然傳統(tǒng)防火墻可以通過安全區(qū)域?qū)W(wǎng)絡(luò)進行隔離，但是在組網(wǎng)和需求復雜的情況下，通過接口劃分的安全區(qū)域可能并不能滿足需求，或者導致策略配置異常復雜，容易出錯。同時由于網(wǎng)絡(luò)管理員權(quán)限相同，不同網(wǎng)絡(luò)的多個管理員操作同一臺設(shè)備，更加容易造成配置的沖突。通過虛擬系統(tǒng)技術(shù)，可以在實現(xiàn)網(wǎng)絡(luò)隔離的基礎(chǔ)上，使得業(yè)務管理更加清晰和簡便。3）云計算：新興的云計算技術(shù)，其核心理念是將網(wǎng)絡(luò)資源和計算能力存放于網(wǎng)絡(luò)云端。網(wǎng)絡(luò)用戶只需通過網(wǎng)絡(luò)終端接入公有網(wǎng)絡(luò)，就可以訪問相應的網(wǎng)絡(luò)資源，使用相應的服務。在這個過程中，不同用戶之間的流量隔離、安全防護和資源分配是非常重要的一環(huán)。通過虛擬系統(tǒng)技術(shù)，就可以讓部署在云計算中心和數(shù)據(jù)中心出口的USG具備云計算網(wǎng)關(guān)的能力，對用戶流量進行隔離的同時提供強大的安全防護能力。為了實現(xiàn)每個虛擬系統(tǒng)的業(yè)務都能夠做到正確轉(zhuǎn)發(fā)、獨立管理、相互隔離，華為下一代USG系列防火墻主要實現(xiàn)了三個方面的虛擬化：（1）路由虛擬化：每個虛擬防火墻都擁有各自的路由表及會話表，相互獨立隔離。（2）安全功能虛擬化：每個虛擬防火墻都可以配置獨立的安全策略及其他安全功能，只有屬于該虛擬系統(tǒng)的報文才會受到這些配置的影響。（3）配置虛擬化：每個虛擬防火墻都擁有獨立的虛擬系統(tǒng)管理員和配置界面，每個虛擬系統(tǒng)管理員只能管理自己所屬的虛擬系統(tǒng)。通過以上三個方面的虛擬化，使得華為下一代USG系列防火墻的虛擬防火墻功能非常易于使用。當創(chuàng)建虛擬防火墻之后，每個虛擬防火墻的管理員和用戶都像在使用一臺獨享的防火墻設(shè)備安全計算環(huán)境數(shù)據(jù)中心環(huán)境通過對服務器物理資源的抽象，將CPU、內(nèi)存、I/O等物理資源轉(zhuǎn)化為一組統(tǒng)一管理、可靈活調(diào)度、可動態(tài)分配的邏輯資源，并基于這些邏輯資源，在單個物理服務器上構(gòu)建多個同時運行、相互隔離的虛擬機執(zhí)行環(huán)境，檢測到虛擬資源隔離失效時進行告警。通過平臺任務日志對非授權(quán)的操作如新建虛擬機、重啟虛擬機、刪除虛擬機等操作進行記錄并支持審計。審計服務提供對各種資源（包含網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)節(jié)點）操作記錄的收集、存儲和查詢功能。應當支持在宿主機部署了入侵檢測能力，可檢測惡意代碼感染和傳播情況，并進行告警。用戶使用企業(yè)主機安全服務實現(xiàn)惡意代碼檢測，并提出告警。應當支持通過鏡像工廠，由專業(yè)安全團隊對虛擬機操作系統(tǒng)公共鏡像進行安全加固，并及時修復系統(tǒng)安全漏洞，最終生成安全更新了的公共鏡像，并通過鏡像服務持續(xù)提供給租戶。同時提供相關(guān)加固和補丁信息以供用戶對鏡像進行測試、排除故障及其他運維活動時參考。由客戶根據(jù)相關(guān)應用運行及安全運維策略，選擇直接使用最新的公共鏡像重新創(chuàng)建虛擬機或自行創(chuàng)建已安裝安全補丁的私有鏡像。部署主機安全防護，對主機服務器、中間件進行漏洞掃描、基線配置，包括入侵防范，惡意代碼查殺，虛機逃逸檢測等功能。提供對操作系統(tǒng)面臨的安全威脅分析，以及析操作系統(tǒng)補丁和應用系統(tǒng)組件版本分析提供相應的整改建議，并在用戶的許可下完成相關(guān)漏洞的修復和補丁組件的加固工作。部署平臺側(cè)數(shù)據(jù)庫審計系統(tǒng)，對平臺管理面關(guān)鍵數(shù)據(jù)庫提供審計能力，提供用戶行為審計、多維度分析、實時告警和報表等功能，保障管理面數(shù)據(jù)庫的安全，滿足用戶合規(guī)要求。部署平臺堡壘機納管系統(tǒng)賬號，包括：網(wǎng)絡(luò)設(shè)備，管理面主機資產(chǎn)，并提供提供安全接入通道、雙因素認證、賬號托管、錄屏審計、權(quán)限管理、報表等能力，滿足運維審計的合規(guī)需求。軟件安全設(shè)計方案（租戶安全）安全通信網(wǎng)絡(luò)與邊界安全（一）性能冗余XX集團公司云平臺提供各類規(guī)格的計算、存儲、網(wǎng)絡(luò)等資源，如各規(guī)格的cpu、內(nèi)存、磁盤、帶寬等等，可根據(jù)業(yè)務系統(tǒng)需求，按需選用，且可彈性擴容，滿足業(yè)務處理能力高峰期需要；（二）安全區(qū)域劃分XX集團公司云平臺上，使用VPC、子網(wǎng)等服務，將網(wǎng)絡(luò)從邏輯上劃分為網(wǎng)絡(luò)層、應用層、主機層和數(shù)據(jù)層。（三）安全區(qū)域隔離與訪問控制XX集團公司云平臺上區(qū)域隔離除了使用子網(wǎng)外，還提供安全組服務，虛擬防火墻，通過對IP和端口設(shè)置白名單訪問策略，達到訪問控制和隔離效果，保證云上資源如云主機、RDS等，通過受控端口提供服務，策略設(shè)置遵循端口最小化原則。（四）安全通信協(xié)議網(wǎng)絡(luò)中使用安全的通信協(xié)議，特別是對外提供服務的協(xié)議，建議租戶使用安全協(xié)議，如使用https替代http，VPN等加密傳輸隧道。（五）入侵防范XX集團公司云平臺提供多維度的縱深防御體系，針對四到七層的各類攻擊行為進行監(jiān)測并抵御：提供邊界防火墻針對流量進行檢測及防御，以抵御南北向攻擊行為；通過Web應用防火墻，為租戶提供Web攻擊防護能力。提供態(tài)勢感知能力，針對各關(guān)鍵網(wǎng)絡(luò)節(jié)點的攻擊行為進行監(jiān)測和分析，將租戶網(wǎng)絡(luò)中所有安全事件進行集中管理并展示。（六）惡意代碼防范XX集團公司云平臺上，一方面通過邊界防火墻進行網(wǎng)絡(luò)防病毒檢測，另一方面提供云主機的惡意代碼防范能力，以滿足等保要求“應在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進行檢測和清除”。安全計算環(huán)境（一）主機安全為用戶提供覆蓋主流操作系統(tǒng)的主機加固&防護解決方案，提升云主機賬戶安全性，預防暴力破解風險，也滿足了等保相關(guān)主機加固的要求。（二）應用安全應用安全，是XX集團公司業(yè)務安全建設(shè)重點，應參考等保標準對身份認證、訪問控制、入侵防范（安全編碼、測試等）等進行嚴格的控制。Web應用防火墻等對租戶應用層安全提供保護。（三）數(shù)據(jù)安全本方案的RDS服務，采用高可用跨AZ部署，將RDS的主備實例分布部署在不同可用區(qū)，達到主備的能力。配置RDS的備份策略。提供數(shù)據(jù)庫審計服務，旁路模式，通過實時記錄用戶訪問數(shù)據(jù)庫行為，形成細粒度的審計報告，對風險行為和攻擊行為進行實時告警。云安全服務設(shè)計安全方案總體功能架構(gòu)華為云Stack有很多安全服務，其他功能架構(gòu)圖如上圖，包括平臺基礎(chǔ)安全、主機安全、云防火墻、Web應用防火墻、邊界防火墻、密鑰管理、數(shù)據(jù)庫審計、數(shù)據(jù)安全管理中心、堡壘機、身份服務、云安全管理中心、態(tài)勢感知（安全云腦）。本次采購了云堡壘機、主機安全、態(tài)勢感知（安全云腦）、數(shù)據(jù)庫審計，其他安全服務后續(xù)根據(jù)項目需要可以靈活選擇配置。安全方案部署架構(gòu)安全方案邏輯架構(gòu)圖如上圖所示，云安全管理中心提供專業(yè)級的安全分析、態(tài)勢感知能力，實現(xiàn)對云負載、各類應用的安全保護管理。身份服務提供云平臺用戶賬戶統(tǒng)一管理能力，實現(xiàn)認證和權(quán)限管理。密鑰管理提供平臺密鑰的生命周期管理能力，堡壘機提供統(tǒng)一身份管理，防止越權(quán)操作。在業(yè)務服務器中，通過主機安全、網(wǎng)絡(luò)ACL和安全組等能力保護計算環(huán)境安全，數(shù)據(jù)庫審計對云上數(shù)據(jù)庫進行審計、分析和實時告警，數(shù)據(jù)脫敏提供數(shù)據(jù)分級分類、數(shù)據(jù)安全風險識別、數(shù)據(jù)水印溯源和數(shù)據(jù)靜態(tài)脫敏等基礎(chǔ)數(shù)據(jù)安全能力。通過流量監(jiān)控、云防火墻、Web應用防火墻等來保護通信網(wǎng)絡(luò)和區(qū)域邊界的安全。平臺基礎(chǔ)安全平臺基礎(chǔ)安全通過華為云StackFusionGuard實現(xiàn)，具備基礎(chǔ)的安全保護能力，包括宿主機和虛擬化安全、云服務安全、安全管理等。1、宿主機和虛擬化安全1）網(wǎng)絡(luò)平面隔離將云平臺的網(wǎng)絡(luò)通信平面劃分管理網(wǎng)絡(luò)、租戶網(wǎng)絡(luò)、存儲網(wǎng)絡(luò)，網(wǎng)絡(luò)之間采用VLAN隔離。各個租戶的網(wǎng)絡(luò)采用VXLAN隔離。通過網(wǎng)絡(luò)平面隔離保證管理平臺操作不影響業(yè)務運行，最終用戶不能破壞基礎(chǔ)平臺管理。網(wǎng)絡(luò)平面劃分租戶平面：為用戶提供業(yè)務通道，為虛擬機之間通信平面，對外提供業(yè)務應用。每個租戶下可創(chuàng)建多個租戶網(wǎng)絡(luò)，租戶下的虛擬機可接入租戶網(wǎng)絡(luò)，實現(xiàn)虛擬機之間的互通。存儲平面：為塊存儲設(shè)備提供通信平面，并為虛擬機提供存儲資源，但不直接與虛擬機通信，而通過虛擬化平臺轉(zhuǎn)化。管理平面：負責整個云計算系統(tǒng)的管理、業(yè)務部署、系統(tǒng)加載等流量的通信。2）資源隔離華為統(tǒng)一虛擬化平臺（UnifiedVirtualizationPlatform，UVP）通過對服務器物理資源的抽象，將CPU、內(nèi)存、I/O等物理資源轉(zhuǎn)化為一組統(tǒng)一管理、可靈活調(diào)度、可動態(tài)分配的邏輯資源，并基于這些邏輯資源，在單個物理服務器上構(gòu)建多個同時運行、相互隔離的虛擬機執(zhí)行環(huán)境。3）CPU隔離UVP直接運行于物理服務器之上，提供虛擬化能力，為虛擬機提供運行環(huán)境?；谟布摂M化的CPU隔離主要是指虛擬化平臺與虛擬機之間的隔離，虛擬機內(nèi)部的權(quán)限分配和虛擬機與虛擬機之間的隔離。CPU隔離是通過Root和Non-Root兩種運行模式的切換、各運行模式下的運行權(quán)限分配以及以VCPU（VirtualCPU）的形式呈現(xiàn)的虛擬計算資源的分配與切換等方式來實現(xiàn)的。通過CPU隔離機制，UVP可以控制虛擬機對物理設(shè)備以及虛擬化運行環(huán)境的訪問權(quán)限，從而實現(xiàn)虛擬化平臺與虛擬機之間以及不同虛擬機之間在信息和資源上的隔離，也就是說，一個虛擬機無法獲取到其他虛擬機或虛擬化平臺的信息和資源，保證了虛擬機運行在合法的空間內(nèi)，避免某個虛擬機對UVP或其他虛擬機發(fā)起攻擊。4）內(nèi)存隔離虛擬化平臺還負責為虛擬機提供內(nèi)存資源，保證每個虛擬機只能訪問到其自身的內(nèi)存。為實現(xiàn)這個目標，虛擬化平臺管理虛擬機內(nèi)存與真實物理內(nèi)存之間的映射關(guān)系。保證虛擬機內(nèi)存與物理內(nèi)存之間形成一一映射關(guān)系。虛擬機對內(nèi)存的訪問都會經(jīng)過虛擬化層的地址轉(zhuǎn)換，保證每個虛擬機只能訪問到分配給它的物理內(nèi)存，無法訪問屬于其他虛擬機或虛擬化平臺自身使用的內(nèi)存。5）I/O隔離虛擬化平臺還給虛擬機提供了虛擬I/O設(shè)備，包括磁盤、網(wǎng)卡、鼠標、鍵盤等。虛擬化平臺為每個虛擬機提供獨立的設(shè)備，避免多個虛擬機共享設(shè)備造成的信息泄露。2、防IP/MAC/DHCPserver仿冒二層網(wǎng)絡(luò)安全防止用戶虛擬機IP和MAC地址仿冒、防止用戶虛擬機DHCPServer仿冒都是通過二層網(wǎng)絡(luò)安全策略實現(xiàn)的：防止IP地址和MAC仿冒（IP和MAC綁定）：防止虛擬機用戶通過修改虛擬網(wǎng)卡的IP、MAC地址發(fā)起IP、MAC仿冒攻擊，增強用戶虛擬機的網(wǎng)絡(luò)安全。具體技術(shù)能力包括通過DHCPsnooping生成IP-MAC的綁定關(guān)系，然后通過IP源側(cè)防護（IPSourceGuard）與動態(tài)ARP檢測（DAI，DynamicARPInspection）對非綁定關(guān)系的報文進行過濾。防止DHCPServer仿冒(DHCPServer隔離)：禁止用戶虛擬機啟動DHCPServer服務，防止用戶無意識或惡意啟動DHCPServer服務，影響正常的虛擬機IP地址分配過程。3、防DoS/DDoS攻擊系統(tǒng)通過限制虛擬端口的連接跟蹤數(shù)來抵御來自云平臺外部或平臺內(nèi)部其他虛擬機的大流量攻擊，此類攻擊會產(chǎn)生大量連接跟蹤表項，如果不做限制，會耗盡連接跟蹤表資源，不能接受新的連接請求，最終導致業(yè)務及管理流量中斷。4、系統(tǒng)加固1）操作系統(tǒng)加固云平臺中計算節(jié)點、管理節(jié)點均使用歐拉操作系統(tǒng)，為保證平臺安全，必須對歐拉操作系統(tǒng)進行安全加固，主要內(nèi)容如下：2）數(shù)據(jù)庫加固云平臺中包含的數(shù)據(jù)庫必須進行加固，其中數(shù)據(jù)庫安全配置包括賬號密碼安全配置、文件權(quán)限配置、遠程連接配置、數(shù)據(jù)導入導出配置和安全審計相關(guān)配置等。3）Web安全加固云平臺對于提供Web服務的節(jié)點需要進行如下的安全配置，包括對JRE、tomcat、nginx等進行加固配置，啟動HTTPS訪問方式，支持的加密算法配置、對相關(guān)目錄進行權(quán)限控制等，以增強Web服務平臺訪問安全性。5、數(shù)據(jù)保護1）數(shù)據(jù)存儲多備份機制云數(shù)據(jù)中心的數(shù)據(jù)存儲采用多重備份機制，每一份數(shù)據(jù)都有一個或者多個備份，即使存儲載體（如硬盤）出現(xiàn)了故障，也不會引起數(shù)據(jù)的丟失，同時也不會影響系統(tǒng)的正常使用。系統(tǒng)對存儲數(shù)據(jù)按位或字節(jié)的方式進行數(shù)據(jù)校驗，并把數(shù)據(jù)校驗信息均勻的分散到陣列的各個磁盤上；陣列的磁盤上既有數(shù)據(jù)，也有數(shù)據(jù)校驗信息，但數(shù)據(jù)塊和對應的校驗信息存儲于不同的磁盤上，當某個數(shù)據(jù)盤被損壞后，系統(tǒng)可以根據(jù)同一帶區(qū)的其他數(shù)據(jù)塊和對應的校驗信息來重構(gòu)損壞的數(shù)據(jù)。2）服務數(shù)據(jù)備份為保證云平臺的業(yè)務安全，對云服務使用的配置數(shù)據(jù)/數(shù)據(jù)庫進行了定期的備份，防止重要數(shù)據(jù)丟失，并能夠從這些數(shù)據(jù)中快速恢復業(yè)務，保證業(yè)務的連續(xù)性。數(shù)據(jù)庫支持本地在線備份方式和異地備份方式：3）數(shù)據(jù)加密SSH（SecureShell）是目前較可靠，專為遠程登錄會話和其他網(wǎng)絡(luò)服務提供安全性保障的協(xié)議。利用SSH協(xié)議可以有效防止遠程管理過程中的信息泄露問題。透過SSH可以對所有傳輸?shù)臄?shù)據(jù)進行加密，并防止DNS欺騙和IP欺騙。OpenSSH支持的加密算法為AES128，AES256，AES192。而基于內(nèi)部的加解密組件開發(fā)應用時，支持HMACSha256完整性校驗算法，默認使用AES256算法進行加解密。6、鏡像安全鏡像是一個包含了軟件及必要配置的云服務器模版或裸金屬服務器模板，至少包含操作系統(tǒng)，還可以包含各種預裝的應用軟件（例如，數(shù)據(jù)庫軟件）。私有鏡像是用戶自行創(chuàng)建的鏡像，共享鏡像是用戶自己定義并分享給其他用戶的鏡像，由用戶社區(qū)在自愿基礎(chǔ)上維護。客戶可通過服務云鏡像服務（ImageManagementService，IMS）控制臺或API對自己的鏡像進行管理。IMSAPI面臨來自攻擊者或惡意租戶的攻擊，可能導致跨租戶數(shù)據(jù)泄露、管理服務中斷等嚴重后果。IMS基于統(tǒng)一身份認證服務（IAM）來進行認證，即租戶需先在IAM進行登錄，再以返回的Token使用IMS服務。IMS采用了基于多租戶的權(quán)限模型、嚴格參數(shù)校驗、安全通訊協(xié)議、敏感信息保護、審計日志等安全措施，從而保護管理系統(tǒng)免受各種惡意攻擊。IMS對租戶的所有操作進行權(quán)限判斷，只有符合權(quán)限要求才允許執(zhí)行，并對所有關(guān)鍵操作進行審計記錄。審計日志實現(xiàn)持久化，租戶可以對其進行長期而且精確的回溯。7、熱補丁軟件因自身設(shè)計缺陷而存在很多漏洞，需要定期為系統(tǒng)安裝安全補丁以修補這些漏洞，以防止病毒、蠕蟲和黑客利用操作系統(tǒng)漏洞對系統(tǒng)進行攻擊。云平臺提供安全補丁方案用戶可以通過升級工具，將系統(tǒng)安全補丁安裝到虛擬化平臺上。根據(jù)補丁激活和生效對業(yè)務體驗的影響，補丁分為熱補丁和冷補丁。兩者區(qū)分如下：熱補?。篐P（HotPatch），在不停止進程的情況修改進程的缺陷，即安裝過程對系統(tǒng)無影響。通過將制作好的補丁文件加載到補丁區(qū)，然后將有缺陷的函數(shù)用補丁文件中的相應函數(shù)替換。冷補丁：CP（ColdPatch），將接口板軟件制作成冷補丁包，主控板上運行冷補丁后，將基線版本中相應的軟件替換為冷補丁包中的軟件，當接口板復位重新向主控板請求加載軟件時，接口板加載冷補丁包中的軟件，激活和生效過程中對業(yè)務體驗會產(chǎn)生影響。8、日志管理和安全審計操作日志：操作日志記錄操作維護人員的管理維護操作，日志內(nèi)容詳實，包括用戶、操作類型、客戶端IP、操作時間、操作結(jié)果等內(nèi)容，以支撐審計管理員的行為，能及時發(fā)現(xiàn)不當或惡意的操作。操作日志也可作為抗抵賴的證據(jù)。運行日志：運行日志記錄各節(jié)點的運行情況，可由日志級別來控制日志的輸出。各節(jié)點的運行日志包括級別、線程名稱、運行信息等內(nèi)容，維護人員可通過查看運行日志，了解和分析系統(tǒng)的運行狀況，及時發(fā)現(xiàn)和處理異常情況。黑匣子日志：黑匣子日志記錄系統(tǒng)嚴重故障時的定位信息，主要用于故障定位和故障處理，便于快速恢復業(yè)務，計算和管理節(jié)點異常時產(chǎn)生的黑匣子日志本地存放。通過對操作日志和運行日志進行審計，可以發(fā)現(xiàn)管理員的不當操作和系統(tǒng)的異常行為，從而采取一定的處理措施進行后續(xù)防護。而日志一般建議導出到專門的存儲的設(shè)備進行備份，并做到權(quán)限控制防止日志被篡改或者刪除，從而作為證據(jù)進行管理員或者黑客惡意行為的抗抵賴識別。安全審計支撐：安全審計是指利用系統(tǒng)記錄、系統(tǒng)活動和用戶活動等信息，審查和檢驗操作事件的環(huán)境及活動，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過程。9、云服務安全1）租戶隔離在云平臺中租戶一般對應一個企業(yè)，租戶中內(nèi)置多級VDC（VirtualDataCenter）對應企業(yè)不同部門，每個部門可以設(shè)置配額，對應部門對資源的預算。VDC是與企業(yè)/組織層級關(guān)系相匹配的資源分配單元，系統(tǒng)為每個租戶默認創(chuàng)建一個一級VDC，VDC內(nèi)能夠完成用戶管理、配額管理、項目管理、產(chǎn)品定義、資源發(fā)放、服務保障等功能。租戶支持多級VDC，最大5級。一級VDC由系統(tǒng)管理員進行維護，一級VDC支持有多個管理員。企業(yè)內(nèi)部的租戶是通過不同的VDC來進行隔離的。VDC可以按照組織來劃分，一個組織分配一個VDC，運營管理員創(chuàng)建和維護一級VDC，但組織內(nèi)可能存在多個子組織的情況，為滿足多個子組織的需要，系統(tǒng)提供多級VDC功能，VDC管理員可以在VDC內(nèi)再劃分多個子VDC，靈活匹配用戶的組織模型，VDC可以支持5級VDC嵌套，每個VDC支持一個或多個VDC管理員，VDC管理員可以導出本級及本級以下的所有VDC信息。2）帳戶安全（1）管理員分權(quán)管理管理員通過Portal登錄管理云系統(tǒng)，包括查看資源、發(fā)放虛擬機等。系統(tǒng)支持對Portal用戶進行訪問控制，支持分權(quán)管理，便于維護團隊內(nèi)分職責共同有序地維護系統(tǒng)。帳號密碼密碼符合。為了增強系統(tǒng)安全性，請定期修改用戶密碼，避免密碼泄露等安全風險。密碼長度建議至少為8位。密碼必須為如下4種字符組合的3種：小寫字母、大寫字母、數(shù)字、特殊字符：~!@#$%^&*()-_=+\|[{}];:'",<.>/?和空格、密碼不能為帳號或者帳號的倒寫。確保密碼的保密性。例如：可以設(shè)置密碼最小長度、密碼是否含特殊字符、密碼有效時長等。密碼在系統(tǒng)中不會明文存儲。（2）防暴力破解暴力破解是指，攻擊者猜想用戶的密碼，然后不斷進行嘗試登陸獲取對應的用戶信息和權(quán)限。Web-UI當前對用戶登陸的密碼錯誤進行統(tǒng)計，連續(xù)錯誤5次則鎖定該帳號15分鐘。（3）網(wǎng)絡(luò)隔離VPC能夠為VDC（VirtualDataCenter）提供安全、隔離的網(wǎng)絡(luò)環(huán)境，為VDC中的應用或虛擬機提供網(wǎng)絡(luò)資源。VPC由VDC業(yè)務管理員創(chuàng)建，VDC業(yè)務用戶僅能查看和使用。每個VDC至少有一個VPC，單一個VDC內(nèi)允許申請多個VPC，VPC之間網(wǎng)絡(luò)空間隔離，部門或組織按業(yè)務安全隔離要求規(guī)劃VPC。虛擬局域網(wǎng)（VLAN）隔離是通過虛擬網(wǎng)橋?qū)崿F(xiàn)虛擬交換功能，虛擬網(wǎng)橋支持VLANtagging功能，實現(xiàn)VLAN隔離，確保虛擬機之間的安全隔離。10、訪問通道控制系統(tǒng)所有的訪問通道都有認證鑒權(quán)：接入認證機制：所有能對系統(tǒng)進行管理的通信端口及協(xié)議都有接入認證機制（標準協(xié)議沒有認證機制的除外）。設(shè)備外部可見的能對系統(tǒng)進行管理的物理接口都有接入認證機制。通信矩陣：系統(tǒng)所有的對外通信連接是系統(tǒng)運行和維護必需的，使用到的通信端口都在產(chǎn)品通信矩陣文檔中列出。1）網(wǎng)絡(luò)傳輸安全管理員和用戶訪問管理系統(tǒng)，均采用HTTPS方式，傳輸通道采用TLS加密。2）API安全API是用戶業(yè)務對外開放的接口，也是業(yè)戶受到攻擊的入口，所以需要利用API網(wǎng)關(guān)對API訪問進行安全配置和防護。3）敏感數(shù)據(jù)保護為了保護敏感數(shù)據(jù)，系統(tǒng)中對敏感數(shù)據(jù)做了如下的處理：4）日志管理和日志脫敏支持以下日志管理和日志脫敏：11、安全管理1）證書管理通過統(tǒng)一Web納管解決方案各部件的內(nèi)部證書，實現(xiàn)各部件內(nèi)部證書統(tǒng)一在線申請和替換，解決手工替換證書復雜且容易出錯的問題，提升運維效率。運維人員對內(nèi)部證書進行運維主要是兩種場景：第一次上線：替換全部部件的預置證書。定期替換或證書到期替換：