历经了十几年的发展,电子政务对存储资源、计算资源、网络资源的需求进一步加大,而云计算的出现无疑为不断增长的电子政务创造了技术条件。为此各级政府均开始了云数据中心的建设,将不同职能部门的资源整合起来,实现更广泛的资源共享。但同时云数据中心下的安全问题变得更加突出,虚拟化技术引入对安全建设带来了更高的挑战。
Hillstone政务云数据中心网络安全解决方案,利用高性能、高可靠、高可扩以及支持虚拟化技术的Hillstone数据中心防火墙,为政务云数据中心提供更全面的保护。独创的旁挂部署模式,为不同虚拟机间实施有效隔离,最大化保障政务云数据中心不同业务的安全性。
1、安全需求
从早期的各政府职能部门各自为政搞信息化的“孤岛式”政务建设模式,到强调政府间信息交互为重点的“群岛式”政务建设模式,到如今以资源大集中为模式的“大陆式“政务建设模式,云计算为政务大集中建设提供了有力条件,随之出现的政务云数据中心在近几年得到了快速发展。但同时随着资源大集中的趋势,安全问题也日渐突出:更多的业务集中在云数据中心被处理,对性能和可靠性要求进一步提升;业务集中使得风险更加集中,安全威胁造成的影响面更广;云计算模式的运用,特别是虚拟化技术的引入,不同虚拟机因支持的业务不同,也需要实施有效隔离,防止业务间的非法访问甚至攻击。
综合起来,政务云数据中心面临的典型安全建设需求包括:
● | 高性能支持海量业务访问 | |
作为业务处理的核心,政务云数据中心往往面临着海量的接入访问,这对边界安全隔离设备提出了更高的性能挑战; | ||
● | 高可扩适应云数据中心规模的快速增长 | |
随着政务业务大集中建设的深化,越来越多的政务业务被配置在云数据中心,这就要求边界安全隔离设备具有良好的扩展性,在不断适应云数据中心规模增长的同时,有效保护前期投资。 | ||
● | 为不同虚拟机提供有效隔离 | |
部署的边界安全隔离设备应全面支持虚拟化技术,对于政务云数据中心,能够为不同虚拟机提供有效隔离,防止不同业务间的非法访问甚至攻击。 |
2、解决方案
在典型政务云数据中心,Hillstone数据中心防火墙以旁挂的方式,连接到汇聚层(规模较小的云数据中心也可直接连接到核心层)交换机上,数据中心防火墙与交换机之间的外部链路工作在3层模式,内部链路工作在2层模式,在数据中心防火墙的内部接口配置为为TRUNK模式。同时将将物理服务器内的虚拟交换机配置为VST或VGT模式,虚拟机根据业务划分为不同的VLAN,网关指向数据中心防火墙,典型的部署方案可参考下图:
Hillstone政务云数据中心网络安全解决方案
● | 实名制访问控制策略:Hillstone数据中心防火墙针对云数据中心的业务访问请求,通过策略在对访问者身份进行鉴别的基础上,依据策略决定访问者可访问的资源,实现实名制访问控制; | |
● | 高性能抗攻击策略:Hillstone数据中心防火墙支持多种攻击防护技术,深度检测并防御外部对云数据中心的攻击行为,提升政务业务的连续性。 | |
● | 高性能抗攻击策略:Hillstone数据中心防火墙支持多种攻击防护技术,深度检测并防御外部对云数据中心的攻击行为,提升政务业务的连续性。 | |
● | 虚拟防火墙策略:Hillstone数据中心防火墙最大提供了500个虚拟防火墙,可为在不同虚拟机上运行的业务提供单独的控制平面。 |
3、方案效果
通过在政务云数据中心的网络边界,以旁挂模式部署的Hillstone数据中心防火墙,将提供有效的边界隔离与保护,保障关键政务业务的安全性和连续性,Hillstone数据中心防火墙具有的高性能、高可扩、高可靠以及支持虚拟化技术,将发挥如下的建设效果:● | 高性能应对海量业务访问 | |
Hillstone数据中心防火墙最高可支持100Gbps 吞吐量、180 万新建连接速率(HTTP)、6000 万并发连接数的处理能力,能够从容应对海量业务访问对性能的挑战。 | ||
● | 高可扩不断适应云数据中心的规模增长 | |
通过增加安全服务模块(SSM),Hillstone数据中心防火墙的性能可以从20Gbps逐步提升到100Gbps,最大并发连接数也从1200万逐步扩展到6000万,在不需要新增设备的前提下,不断适应云数据中心的规模增长,并有效保护前期投资。 | ||
● | 为云数据中心提供高可靠保障 | |
Hillstone数据中心防火墙采取的全冗余全并行架构,可提供从CPU、安全服务模块(SSM)、系统控制模块(SCM)到风扇、电源的全面冗余能力,实现系统级会话同步,最大限度地满足政务云数据中心的业务连续性要求。 | ||
● | 虚拟防火墙支持虚拟化环境 | |
Hillstone数据中心防火墙最大可提供500个虚拟防火墙,以旁挂式部署后,可与虚拟机技术有效整合,为不同虚拟机提供独立的安全平面。同时也能够有效隔离不同虚拟机,保障不同业务间在受控的前提下方可互访,杜绝因内部攻击造成的安全事件。 |