虚拟化应用防火墙东软NISG-VA产品介绍.pptx

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Neusoft NISG Virtual Appliance(VA),虚拟化数据中心安全防护,数据中心,虚拟化趋势,议程,东软网络安全产品简介,数据中心安全,防护的挑战,常见解决方案,NISG-VA,NISG-AMI,（,Amazon AWS,）,正在进行的,合作项目,数据中心虚拟化,东软集成安全网关,(NISG-VA),成本太高,无法满足,服务承诺,当今企业,IT,面临的挑战,系统架构,无法快速扩展,硬件成本,过多的电力和能源消,耗，如何实现绿色,IT,从分公司到数据中心，,高昂的空间成本,应用程序不兼容性,

2、不同业务对软硬件系统,的要求不同,服务器的利用率不足,基于某些应用对服务器,的专用性,多数服务器负载平常只,用到总容量的,5-10%,减少服务离线时间，提高,服务器的有效运转率,通过对操作系统和应用,的维护，确保业务活动,的连续性,数据中心的系统结构无,法应对业务变化的需求,数据中心的演变和发展,传统的,数据中心,虚拟化的,数据中心,动态数据,中心私有云,公用云,按需提供,全球可用,管理成本极大降低,IT,即服务,利用率可提升到,50%,管理成本降低,安全可靠,利用率,15%,成 本,灵活可靠,需要数据中心虚拟化的原因,*系统架构成本*,系统架构面临挑战,解决方案,*服务器管理*,*业务连续性

3、被动的安全性*,虚拟化安全网关,基于虚拟化平台的,灾备方案,集中的，基于策略,的弹性管理,服务器虚拟化和,安装配置预设,新服务器硬件成本,电力和制冷成本,数据中心，不动产成本,规模不断变大的服务器架构,资源分配不灵活,工作效率不饱满,复杂的灾难恢复方案,备份的难度,随着业务和服务器的调整，,安全设备的部署和策略被动调整,安全处理能力无法准确预测,虚拟化数据中心,即插即用的云网络,I T,基 础 架 构,虚拟化,虚拟机,的管理,自动化,资源弹性、,快速的分配,合作伙伴资源,的快速接入,业务运行和,用户访问安全性,多租户管理,的接入能力,可视化、实时集中管理平台,服务器丨网络丨业务丨储存,产

4、品简介,东软集成安全网关,(NISG-VA),虚拟机安全防护,检测虚拟机之间的流量,与虚拟平台深度结合,保护外部威胁,保护虚拟机之间的通信安全,虚拟化数据中心安全防护,保护虚拟化数据中心,动态弹性环境下的安全防护,虚拟机实时迁移时安全防护,东软集成安全网关,(NISG-VA),虚拟化安全解决方案,虚拟化安全防护的挑战,防火墙虚拟化的多平台支持,不用业务之间的多租户安全隔离,虚拟机之间的安全防护,虚拟机迁移后的安全联动,分散安全策略的集中管理,VSwitch&Hypervisor,防火墙虚拟化的多平台支持,NISG-VA,for VMware,NISG-VA,for Citrix,NISG-VA

5、 for,Amazon AWS,更容易的多租户隔离,Multi-Tenant,Vsys A,Vsys B,Vsys C,根据不同的租户登录信息，每个,NISG-VA,还可以最多划分,250,个,Vsys,（虚拟系统）,每个,Vsys,都拥有自己独立的资源、部署模式、管理权限、路由,/,交换表、安全策略等,优点,更容易实现实例内的多租户隔离，不需要为每个租户建立实例,简便、灵活的管理,总体成本和复杂程度大幅降低,XenServer Host(Dom0),B,虚拟机之间的安全防护,NISG-VA,A,C,D,虚拟机迁移后的安全联动,NISG-VA,与业务虚拟机捆绑迁移，通过云管理中心策略自动调度，

6、其与业务虚拟机的逻辑关系不变,NISG-VA,嵌入,VSwitch,，如果业务虚拟机在同一个,VSwitch,内迁移，对安全防护没有影响；如果业务跨,VSwitch,迁移，则,NISG-VA,需要将策略同步到相应的,VSwitch,中,NISG-VA,嵌入,Hypervisor,层，安全策略全局设置，业务虚拟机的迁移对安全防护没有影响,ESX Server,ESX Server,Hardware,Hardware,当运行业务的虚拟机通过,Vmotion,或,XenMotion,技术动态迁移时，,NISG-VA,可以通过几种方式实现与业务虚拟机的安全联动,集中管理,vmware vCloud D

7、irector,Virtusl Datacenter I(Gold),Virtusl Datacenter a(sitrer),VMware,vShieid,User Pertais,Canalogs,Securlty,VMware,vCenter Server,VMware vSphere,VMware vSphere,VMware vSphere,VMware,vCenter Server,VMware,vCenter Server,Programmasic,Comrol and,Iniegrations,pubilc Clouds,VMware vCloud API,Secure Pri

8、vate Cloud,NISG-VA,提供符合虚拟化平台集中管理工具的,API,NISG-VA,支持第三方标准云集中管理工具的,API,优点,用户可以使用已有的集中管理系统完成部署，不需要购买或维护厂商的产品,东软提供基于云平台的集中管理系统,NMS,（,NISG Management Service,）,NMS,支持对物理或虚拟化的,NISG,集中管理维护、下发策略、集中审计和报表,优点,用户可以使用厂商专用的集中管理系统快速部署和配置全网安全策略,VSwitch,NISG-VA,将通过对虚拟化平台,VSwitch,的二次开发强化其安全功能,优点,简化网络拓扑的复杂性,提升安全防护的性能,将

9、安全作为系统架构的一部分提供给上层业务系统,VM2,VM1,Virtual Switch,Hypervisor,NISG-VA,将通过对虚拟化平台的二次开发嵌入到,Hypervisor,层,优点,简化网络拓扑的复杂性,提升安全防护的性能,将安全作为系统架构的一部分提供给上层业务系统,VM,VM,Hypervisor Connector,Hypervisor,常见解决方案,基于实例的主机防火墙,vCenter,每个实例预装基于主机的防火墙，与,360,安全卫士类似,vCenter,需要分别为每个防火墙单独设置规则,访问任何实例都需要匹配该实例的防火墙策略,实例迁移不影响安全策略,该方案适用于租用

10、SaaS,的个人用户,用户不能使用裸机环境安装个人业务,Operating,System,Operating,System,Operating,System,Operating,System,Operating,System,vNIC,vNIC,vNIC,vNIC,vNIC,V,V,V,V,V,Security API,vSwitch,数据库,常见解决方案,基于虚拟网卡的防火墙（,Amazon,）,每个实例启动后受到虚拟化平台预装在虚拟网卡中防火墙的保护,vCenter,需要分别为每个防火墙单独设置规则,访问任何实例都需要匹配该实例的防火墙策略,实例迁移不影响安全策略,该方案适用于租用,Sa

11、aS,的个人用户,vCenter,Operating,System,Operating,System,Operating,System,Operating,System,Operating,System,vNIC,vNIC,vNIC,vNIC,vNIC,V,V,V,V,V,Security API,vSwitch,数据库,常见解决方案,基于虚拟机实例的防火墙,防火墙以虚拟机实例的形式存在，根据需要决定启动多少实例,vCenter,需要分别为每个防火墙单独设置规则,数据包需要在,Agent,和防火墙之间多次传递,实例迁移需要防火墙实例同时迁移，并同步安全策略,该方案适用于企业用户,vCenter

12、Operating,System,Operating,System,Operating,System,Operating,System,Operating,System,vNIC,vNIC,vNIC,vNIC,vNIC,Security API,vSwitch,V,数据库,常见解决方案,基于,vSwitch/Hypervisor,的防火墙（推荐方式）,防火墙嵌入,vSwitch/Hypervisor,，成为网络基础架构的一部分,vCenter,只需要为,vSwitch,设置安全策略,任何实例间数据传递均直接通过防火墙的过滤,实例迁移不影响安全策略,该方案适合保护数据中心和建设私有云的企业用户

13、vCenter,Operating,System,Operating,System,Operating,System,Operating,System,Operating,System,vNIC,vNIC,vNIC,vNIC,vNIC,Security API,vSwitch,V,数据库,NISG,产品家族,new,1,5,10,20,40,Application,Scenarios,Large&,Medium,Enterprises/,Agencies,Medium,Enterprises/,Agencies,Small&,Medium,Enterprises,Small,Enterpri

14、ses/,SOHO,NISG-wireless,NISG5K-RI/WI/SI/TI,NISG6K-GI/GII,NISG6K-SIII,NISG6K-SI,NISG6K-SII,NISG6K-TI/TII,NISG6K-SV/SVI,NISG6K-TV,NISG7K-XI/XII,NISG6K-SV/SVI,NISG6K-TV,NISG7K-XI/XII,NISG6K-SV/SVI,NISG6K-TV,NISG7K-XI/XII,NISG-VA(Vmware,Xen,KVM,Hyper-V,Citrix),NISG-VA(For Amazon and other,cloud providers),new,new,FW Throughput(Gbps),Thanks,