在部署很多应用系统的虚拟化数据中心,各个虚拟机及应用系统之间的安全防护和访问控制带来了很多新的安全威胁与挑战: 因为传统硬件安全设备只能部署于物理边界,无法对同一物理计算机上的虚拟机之间的通信进行细粒度访问控制。网御星云虚拟化安全网关系列产品具备Leadsec相关硬件设备的所有功能,增强了虚拟环境内部虚拟机流量的可视性和可控性,随时随地为用户提供虚拟环境内部的网络安全防护。
如上图所示,虚拟化安全网关以虚拟机的软件形态存在于VMM之上,接受vCenter的管理,包括网关的创建、镜像、迁移等。同时,虚拟化安全网关可以接受LeadsecManager安全管理平台的集中管理,包括策略下发,事件集中收集,关联分析,报表等。
网御星云虚拟安全网关系列产品如下:
1 虚拟防火墙(Leadsec-vFW):网御防火墙采用创新的VSP(Versatile Security Platform)通用安全平台、USE(Uniform Security Engine)统一安全引擎、基于应用的内容识别控制及主动云防御技术,具备了高智能、高性能、高安全性、高健壮性、高扩展性等特点,实现了多种安全功能独立安全策略的统一配置,可以方便用户构建可管理的等级化安全体系,从而实现了面向业务的安全保障。可用于针对虚拟机及应用的安全访问控制。
2 虚拟UTM(Leadsec-vUTM): 网御UTM产品在安全引擎中运用了算法和技术,针对病毒检测,内容分析等海量扫描活动使用了高效的启发式扫描,针对传统包过滤无法检测的威胁,采用了******内容检测技术,针对未知的攻击行为,使用了实时动态保护技术,确保安全引擎在功能全部开启后继续保持高性能运行。可用于对虚拟机、应用进行深度访问控制和综合安全防护。
3 虚拟IPS(Leadsec-vIPS): 集成了流状态跟踪、协议分析、深度内容解析、异常检测、关联分析等多种分析、检测技术,配合实时更新的事件特征库,可拦截蠕虫、病毒、木马、间谍软件、DDoS/DoS、SQL注入、XSS跨站脚本等各种网络攻击行为,有效净化网络流量。同时提供丰富的上网行为管理功能,可对P2P下载、IM软件、在线视频、网络游戏、炒股软件、加密隧道等网络应用按用户和时间进行阻断或******到1Kbps的带宽限流,合理优化网络流量。从而很好地弥补了防火墙、入侵检测等产品的不足,提供了动态、主动、深度的安全防护。可用于对虚拟机或重要应用进行攻击防护。
4 虚拟防病毒网关(Leadsec-vAVGW):网御与国内******防病毒厂商强强联合,在病毒库方面,确保网络病毒特征库能够得到实时更新,可以迅速、******的查杀网络中的病毒、蠕虫、木马等恶意代码。可用于防止虚拟机之间病毒及恶意代码传输。
5 虚拟VPN(Leadsec-vVPN):网御VPN产品可以让任意组织的员工、客户和合作伙伴随时随地安全访问组织内部的邮件、文件服务器、Web应用和其他核心的商用应用系统,同时*********强的安全性和***短的应用响应时间,以及对用户端的全应用支持,从而提高组织的生产效率,降低IT投入成本。可为用户远程访问特定的虚拟网络建立安全通信通道。
产品优势
网御星云虚拟化安全网关系列产品可以支持目前主流的多款服务器虚拟化平台,包括VMware ESXi、XenServer、KVM及国内本土公司方物软件研发的Fronware vServer。虚拟安全网关设备在服务器虚拟化平台上部署为安全虚拟机,能提供灵活的网络配置和连接,具备相关物理硬件设备的一切安全功能,增强了虚拟环境下虚拟机间流量的可视性和可控性,部署方便、简便、操作便捷,虚拟安全网关产品可以由Leadsec安全管理平台集中管控,同时支持病毒库及虚拟机的在线更新和升级功能。简而言之,虚拟环境安全网关系列产品的优势和特色如下所述:
1支持多种虚拟化平台环境
2以虚拟机方式部署
3具备硬件设备的相同安全功能
4使虚拟机间流量可视、可控
5可接受安全管理平台统一管理
6支持非在线模式的License管理机制。
产品特性与功能
网御星云虚拟化安全网关系列产品Leadsec-vUTM的主要功能描述如下表所示。
| 功能类别 | 功能描述 |
| 平台支持 | 支持VMware ESXi、XenServer、KVM及Fronware vServer等虚拟化平台。 |
| 工作模式 | 支持虚拟机模式部署,可工作于虚拟化平台内部,保护虚拟机之间的访问
支持透明模式、路由模式、混合模式 |
| 模式 | 支持软件License模式,可随需扩展节点和功能 |
| 防火墙 | 可基于IP地址、协议、物理接口、时间、应用、用户等下达安全策略 |
| VPN | 支持PPTP、IPSec和 SSL 等多种VPN |
| 入侵防护 | 实时的基于网络的入侵检测和阻断系统 |
| 防病毒 | 能够检测,消除感染现有网络的病毒和蠕虫,实时的扫描输入和输出邮件,实现对灰色软件、间谍软件及其变种进行阻断 |
| Web内容过滤 | 支持URL域名、关键词模式匹配、黑白名单列表等内容过滤 |
| 反垃圾邮件 | 支持黑白名单、反向DNS等反垃圾邮件技术,支持实时黑名单RBL,在线查询垃圾邮件服务器,阻断垃圾邮件源 |
| 漏洞扫描 | 可以对后门、服务探测、文件共享、系统补丁、IE漏洞等主动式扫描 |
| 认证方式 | 支持LDAP、Radius 、TACACS/TACACS+、WindowsAD、PKI证书等多种认证方式 |
| 关联安全应用 | 支持CSC安全关联协议,可实现与内网安全管理系统之间的联动 |
| 安全管理 | 可通过LeadSec安全管理系统,实现安全审计、日志分析、安全报警等功能 |
| 日志 | 可对流量、攻击事件、垃圾邮件、Web过滤等各方面内容,进行日志审计 |
| 高可用性 | 支持多种模式的HA |
网御星云虚拟化安全网关系列产品Leadsec-vUTM主要规格描述如下表所示。
| Leadsec-vUTM 技术参数 |
| 支持的虚拟化平台及版本 | VMware ESXi/ESX3.5/4.0/4.1 | Citrix XenServer 5.5/5.6 | Fronware vServer2.5 |
| 网络接口数量 | 10 | 7 | 10 |
| 10/100/1000接口 | 支持 | 支持 | 支持 |
| ***小存储空间 | 30GB | 30GB | 30GB |
| ***小内存 | 512MB | 512MB | 512MB |
| 系统性能 |
| 防火墙吞吐量 | N/A | N/A | N/A |
| IPSec VPN吞吐量 | N/A | N/A | N/A |
| 防病毒吞吐量 | N/A | N/A | N/A |
| 网关到网关IPSec通道数量 | N/A | N/A | N/A |
| 并发IPSec通道数 | >5000 | >5000 | >5000 |
| 并发会话数 | >120万 | >120万 | >120万 |
| ******SSL用户数 | 200 | 200 | 200 |
| 防火墙策略数 | >4096 | >4096 | >4096 |
| 虚拟域(******/缺省) | 256/10 | 256/10 | 256/10 |
实际性能取决于硬件水平和为虚拟安全网关分配的资源,上述表格中的数据来自硬件配置为DELL PowerEdge T310,CPU为Intel Xeon X3430 2.4GHz,内存为4GB,测试平台分别为VMware ESXi4.1/Citrix XenServer 5.6/Fronware vServer2.5。
产品部署
虚拟化安全网关系列产品采用了虚拟化技术,将产品以安全虚拟机的方式在云环境下部署,虚拟机镜像运行后可以为服务器内的虚拟网络提供统一的防护策略,实现了2-7层的动态实时防护。图2-图3是运行在VMware ESXi 4.1虚拟平台下的虚拟防火墙Leadsec-vUTM及虚拟网络拓扑结构示意图。
网御星云此次发布的虚拟环境安全网关系列产品与已上市多年的硬件安全设备具有一定的互补性:当产生威胁的攻击源与被攻击虚拟机不在同一物理机上时,部署的硬件安全设备仍然有效,另一方面,需要针对虚拟环境部署安全网关系列软件产品,可以防止同一物理计算机上不同虚拟机之间的访问控制和安全。另外,这两类产品都能通过Leadsec集中安全管理平台管控,用户可以根据需求灵活选择,从而对数据中心的物理环境和虚拟环境提供综合防护。
