在部署很多應(yīng)用系統(tǒng)的虛擬化數(shù)據(jù)中心，各個虛擬機(jī)及應(yīng)用系統(tǒng)之間的安全防護(hù)和訪問控制帶來了很多新的安全威脅與挑戰(zhàn)： 因?yàn)閭鹘y(tǒng)硬件安全設(shè)備只能部署于物理邊界，無法對同一物理計(jì)算機(jī)上的虛擬機(jī)之間的通信進(jìn)行細(xì)粒度訪問控制。星云虛擬化安全網(wǎng)關(guān)系列產(chǎn)品具備Leadsec相關(guān)硬件設(shè)備的所有功能，增強(qiáng)了虛擬環(huán)境內(nèi)部虛擬機(jī)流量的可視性和可控性，隨時(shí)隨地為用戶提供虛擬環(huán)境內(nèi)部的全方位網(wǎng)絡(luò)安全防護(hù)。

如上圖所示，虛擬化安全網(wǎng)關(guān)以虛擬機(jī)的軟件形態(tài)存在于VMM之上，接受vCenter的管理，包括網(wǎng)關(guān)的創(chuàng)建、鏡像、遷移等。同時(shí)，虛擬化安全網(wǎng)關(guān)可以接受LeadsecManager安全管理平臺的集中管理，包括策略下發(fā)，事件集中收集，關(guān)聯(lián)分析，報(bào)表等。

星云虛擬安全網(wǎng)關(guān)系列產(chǎn)品如下：

1 虛擬防火墻(Leadsec-vFW)：防火墻采用創(chuàng)新的VSP（Versatile Security Platform）通用安全平臺、USE（Uniform Security Engine）統(tǒng)一安全引擎、基于應(yīng)用的內(nèi)容識別控制及主動云防御技術(shù)，具備了高智能、高性能、高安全性、高健壯性、高擴(kuò)展性等特點(diǎn)，實(shí)現(xiàn)了多種安全功能獨(dú)立安全策略的統(tǒng)一配置，可以方便用戶構(gòu)建可管理的等級化安全體系，從而實(shí)現(xiàn)了面向業(yè)務(wù)的安全保障。可用于針對虛擬機(jī)及應(yīng)用的安全訪問控制。

2 虛擬UTM(Leadsec-vUTM): UTM產(chǎn)品在安全引擎中運(yùn)用了專利算法和技術(shù)，針對病毒檢測，內(nèi)容分析等海量掃描活動使用了高效的啟發(fā)式掃描，針對傳統(tǒng)包過濾無法檢測的威脅，采用了完全內(nèi)容檢測技術(shù)，針對未知的攻擊行為，使用了實(shí)時(shí)動態(tài)保護(hù)技術(shù)，確保安全引擎在功能全部開啟后繼續(xù)保持高性能運(yùn)行?？捎糜趯μ摂M機(jī)、應(yīng)用進(jìn)行深度訪問控制和綜合安全防護(hù)。

3 虛擬IPS(Leadsec-vIPS): 集成了流狀態(tài)跟蹤、協(xié)議分析、深度內(nèi)容解析、異常檢測、關(guān)聯(lián)分析等多種分析、檢測技術(shù)，配合實(shí)時(shí)更新的事件特征庫，可攔截蠕蟲、病毒、木馬、間諜軟件、DDoS/DoS、SQL注入、XSS跨站腳本等各種網(wǎng)絡(luò)攻擊行為，有效凈化網(wǎng)絡(luò)流量。同時(shí)提供豐富的上網(wǎng)行為管理功能，可對P2P下載、IM聊天軟件、在線視頻、網(wǎng)絡(luò)游戲、炒股軟件、加密隧道等網(wǎng)絡(luò)應(yīng)用按用戶和時(shí)間進(jìn)行阻斷或精確到1Kbps的帶寬限流，合理優(yōu)化網(wǎng)絡(luò)流量。從而很好地彌補(bǔ)了防火墻、入侵檢測等產(chǎn)品的不足，提供了動態(tài)、主動、深度的安全防護(hù)?？捎糜趯μ摂M機(jī)或重要應(yīng)用進(jìn)行攻擊防護(hù)。

4 虛擬防病毒網(wǎng)關(guān)(Leadsec-vAVGW)：與國內(nèi)知名防病毒廠商強(qiáng)強(qiáng)聯(lián)合，在病毒庫方面，確保網(wǎng)絡(luò)病毒特征庫能夠得到實(shí)時(shí)更新，可以迅速、準(zhǔn)確的查殺網(wǎng)絡(luò)中的病毒、蠕蟲、木馬等惡意代碼?？捎糜诜乐固摂M機(jī)之間病毒及惡意代碼傳輸。

5 虛擬VPN(Leadsec-vVPN)：VPN產(chǎn)品可以讓任意組織的員工、客戶和合作伙伴隨時(shí)隨地安全訪問組織內(nèi)部的郵件、文件服務(wù)器、Web應(yīng)用和其他核心的商用應(yīng)用系統(tǒng)，同時(shí)保證最強(qiáng)的安全性和最短的應(yīng)用響應(yīng)時(shí)間，以及對用戶端的全應(yīng)用支持，從而提高組織的生產(chǎn)效率，降低IT投入成本?？蔀橛脩暨h(yuǎn)程訪問特定的虛擬網(wǎng)絡(luò)建立安全通信通道。

產(chǎn)品優(yōu)勢：

虛擬化安全網(wǎng)關(guān)系列產(chǎn)品可以支持目前主流的多款服務(wù)器虛擬化平臺，包括VMware ESXi、XenServer、KVM及國內(nèi)本土公司方物軟件研發(fā)的Fronware vServer。虛擬安全網(wǎng)關(guān)設(shè)備在服務(wù)器虛擬化平臺上部署為安全虛擬機(jī)，能提供靈活的網(wǎng)絡(luò)配置和連接，具備相關(guān)物理硬件設(shè)備的一切安全功能，增強(qiáng)了虛擬環(huán)境下虛擬機(jī)間流量的可視性和可控性，部署方便、授權(quán)簡便、操作便捷，虛擬安全網(wǎng)關(guān)產(chǎn)品可以由安全管理平臺集中管控，同時(shí)支持病毒庫及虛擬機(jī)的在線更新和升級功能。簡而言之，虛擬環(huán)境安全網(wǎng)關(guān)系列產(chǎn)品的優(yōu)勢和特色如下所述：

1      支持多種虛擬化平臺環(huán)境

2      以虛擬機(jī)方式部署

3      具備硬件設(shè)備的相同安全功能

4      使虛擬機(jī)間流量可視、可控

5      可接受安全管理平臺統(tǒng)一管理

6      支持非在線模式的License管理機(jī)制。

產(chǎn)品部署：

虛擬化安全網(wǎng)關(guān)系列產(chǎn)品采用了虛擬化技術(shù)，將產(chǎn)品以安全虛擬機(jī)的方式在云環(huán)境下部署，虛擬機(jī)鏡像運(yùn)行后可以為服務(wù)器內(nèi)的虛擬網(wǎng)絡(luò)提供統(tǒng)一的防護(hù)策略，實(shí)現(xiàn)了2-7層的動態(tài)實(shí)時(shí)防護(hù)。圖2-圖3是運(yùn)行在VMware ESXi 4.1虛擬平臺下的虛擬防火墻Leadsec-vUTM及虛擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖。

此次發(fā)布的虛擬環(huán)境安全網(wǎng)關(guān)系列產(chǎn)品與已上市多年的硬件安全設(shè)備具有一定的互補(bǔ)性：當(dāng)產(chǎn)生威脅的攻擊源與被攻擊虛擬機(jī)不在同一物理機(jī)上時(shí)，部署的硬件安全設(shè)備仍然有效，另一方面，需要針對虛擬環(huán)境部署安全網(wǎng)關(guān)系列軟件產(chǎn)品，可以防止同一物理計(jì)算機(jī)上不同虛擬機(jī)之間的訪問控制和安全。另外，這兩類產(chǎn)品都能通過Leadsec集中安全管理平臺管控，用戶可以根據(jù)需求靈活選擇，從而對數(shù)據(jù)中心的物理環(huán)境和虛擬環(huán)境提供綜合防護(hù)。