基于VM的虚拟化安全解决方案.docx
《基于VM的虚拟化安全解决方案.docx》由会员分享,可在线阅读,更多相关《基于VM的虚拟化安全解决方案.docx(34页珍藏版)》请在冰豆网上搜索。
基于VM的虚拟化安全解决方案
基于VM的虚拟化安全解决方案
1.项目总体设计
1.1物理部署架构图(示意图)
2.项目详细设计
2.1虚拟化安全防护系统
2.1.1概述
随着云计算、NFV、虚拟化技术的高速发展,越来越多的应用系统与用户的业务系统运
行在虚拟化环境和云平台上,但随之而来的安全防护问题却使传统的网络安全架构无法有效应对。
越来越多的业务和数据从分散部署模式逐步走向大集中模式,作为这种模式的产物,数据中心的建设则成为必然。
与此同时,实现业务计算集中模式的数据中心,也必然成为攻击者关注的焦点,或者成为影响业务安全稳定运行的核心。
一旦数据中心系统安全受到严重威胁,甚至瘫痪,将会给企业、社会带来巨大的经济损失。
如何使数据中心运行在安全的环境下,使其免受黑客攻击、病毒、木马、恶意程序的入侵,已成为企业业务连续性运行的重要前提。
现代数据中心主要的特点如下:
●资源虚拟化
计算和存储资源是最先被虚拟化的,近年来网络也开始被虚拟化。
在虚拟化数据中心中,因为租户没有权限访问计算、存储、网络设备,就只能向租户提供虚拟化资源。
实施了虚拟化以后,即使是数据中心管理员也不愿再碰硬件设备,而只在虚拟层上工作。
●基础设施即是服务
使用虚拟化资源,基础设施即是服务就成为了可能。
租户可以在数据中心中构建其自己专属的基础设施。
亚马逊的虚拟私有云(VPC)就是这样一种服务。
租户能够完全控制由数个虚拟机、网络拓扑,以及运行在虚拟机上的应用组成的VPC。
在同一个公有云数据中心,被出租的不同VPC通常对数据中心资源有不同的需求。
●虚拟机的迁移
数据中心需要支持虚拟机的迁移,因为这样能够更好的利用资源。
一个正在运行的虚拟机可以从一台物理服务器迁移到另一台物理服务器,从一个机架迁移到另一个机架,甚至从一个数据中心迁移到另一个数据中心。
虚拟资源跟着虚拟机迁移,但是运行在虚拟机上的服务不能中断。
●东西向流量占主导
网络虚拟化允许租户在VPC内对网络进行分割,并在其中部署多层级服务。
例如一个企业要把其所有IT服务都迁移到VPC内,就需要对网络进行分割,来满足多个部门间相互通信的需要。
在这种类型的网络部署中,同一个租户的虚拟机分布在不同的网络分段中,而且它们需要跨网段进行通信,这种类型的流量就被称为东西向流量。
而互联网和虚拟机之间的流量则被称为南北向流量。
研究表明,东西向流量是南北向流量的10倍以上。
任何部署在数据中心内的网络服务都要能够同时处理南北向和东西向流量,现代数据中心的新特点给传统的安全解决方案带来了挑战。
2.1.2物理防火墙的局限性
根据虚拟化数据中心的物理部署环境,在专用域和共享域都部署了硬件防火墙设备,但硬件防火墙对于虚拟化环境的适应性较差,主要体现在:
●无法满足租户(VPC)虚拟边界的安全防护需要
硬件防火墙一般采用vsys(虚拟防火墙)为每一个租户(VPC)提供安全防护,这
种方式对防火墙的硬件性能提出很高的要求,其性价比很差;一般硬件防火墙启用vsys方式后,只能使用较少的功能,不能满足租户的多种安全需求(如:
qos、负载均衡等);再者,如果一旦硬件防火墙发生严重故障,将使所有租户(VPC)业务全部中断。
●无法看到虚机之间的流量
在虚拟化环境中,虚拟机之间的流量通过物理服务器中vswitch就交换掉了,硬件
防火墙根本就看不到流量,根本无法进行有效的安全控制
基于上述原因,我们认为在专用域和共享域都部署的硬件防火墙设备只需要做好传
统的物理网络边界的安全防护就可以了。
而对于租户(VPC)和虚拟机之间的安全就必须真正采用可以部署到虚拟化环境中的网络安全产品才能解决虚拟化环境下的安全问题。
2.1.3虚拟化环境下租户(VPC,南北向流量)安全解决方案
2.1.3.1VPC虚拟化环境安全问题分析
门户网站面临的威胁
大多数用户都会将企业的门户网站部署在VPC环境中,以进行对外宣传,是用户对外的窗口,但是由于该平台面向互联网开放,很容易受到黑客的攻击,Web系统主要面临的安全问题如下图:
其中,最典型的就是拒绝服务攻击,该行为也利用了现有TCP/IP网络传输协议的先天性缺陷,大量发送请求连接的信息,而不发送确认信息,使得遭受攻击的主机或网络设备长时间处于等待状态,导致缓存被占满,而无法响应正常的访问请求,表现为就是拒绝服务。
这种攻击常常针对公有云VPC环境的网站,使得网站无法被正常访问。
越来越多的Web系统也因为存在基于应用层的安全隐患而频繁遭受到各种攻击,从而导致Web系统敏感数据、页面被篡改、甚至成为传播木马的傀儡,破坏企业形象,造成用户正常业务的停滞,甚至引发用户的经济损失。
非法和越权的访问
用户部署在公有云VPC环境中的业务系统承载了与生产经营息息相关的ERP、OA和网站系统,在缺乏访问控制的前提下很容易受到非法和越权的访问;虽然大多数软件都实现了身份认证和授权访问的功能,但是这种控制只体现在应用层,如果远程通过网络层的嗅探或攻击工具(因为在网络层应用服务器与任何一台企业网内的终端都是相通的),有可能会获得上层的身份和口令信息,从而对业务系统进行非法及越权访问,破坏业务的正常运行,或非法获得企业的商业秘密,造成泄露;
此外,用户的信息网络内运行了与企业经营活动息息相关的信息,包括与企业财务相关的数据,比如订单信息、企业账款信息等,这些都使得用户的信息网络成为内、外部非法用户的关注对象,如何不加以控制,在遭到攻击后将会造成用户直接的经济损失。
外部恶意代码与攻击
大多数的用户,可能都在VPC环境中的终端上安装了防病毒软件,以有效杜绝病毒在网络中的传播,但是随着蠕虫、木马等网络型病毒的出现,单纯依靠终端层面的查杀病毒显现出明显的不足,这种类型病毒的典型特征是,在网络中能够进行大量的扫描,当发现有弱点的主机后快速进行自我复制,并通过网络传播过去,这就使得一旦网络中某个节点(可能是台主机,也可能是服务器)被感染病毒,该病毒能够在网络中传递大量的扫描和嗅探性质的数据包,对网络有限的带宽资源造成损害。
来自互联网的攻击也是用户常见的安全问题,互联网上攻击者通过扫描,收集用户部署在公有云VPC环境中业务系统的安全弱点,进行攻击渗透,将对用户信息网络造成更大的损失。
大多数用户可能把自己的网站部署在公有云VPC环境中,进行对外宣传,但是由于面向互联网开放,很容易受到黑客的攻击,其中最典型的就是拒绝服务攻击,该行为也利用了现有TCP/IP网络传输协议的先天性缺陷,大量发送请求连接的信息,而不发送确认信息,使得遭受攻击的主机或网络设备长时间处于等待状态,导致缓存被占满,而无法响应正常的访问请求,表现为就是拒绝服务。
这种攻击常常针对企业的网站,使得网站无法被正常访问,破坏企业形象。
或者破坏企业的电子商务网站,造成用户正常业务的停滞,甚至引发企业的经济损失。
远程访问中被窃听和篡改
对于用户,通过互联网可实现VPC业务系统与其他分支机构和总部的连接;另外远程移动办公的人员也需要通过互联网来访问VPC内部的业务系统,进行相关的业务处理;而互联网的开放性使得此类访问往往面临很多的安全威胁,最为典型的就是攻击者嗅探数据包,或篡改数据包,破坏正常的业务访问,或者泄露企业的商业秘密,使企业遭受到严重的损失。
多互联网链路应用效率低
用户很可能在公有云VPC中租用多互联网链路,那么在多互联网接入链路的条件下,如果没有部署链路负载均衡设备,很容易导致出现链路拥塞、带宽浪费等现象。
用户无法对多链路进行动态感知,使某条链路拥塞而其他链路空闲的问题,无法按照不同的攻击业务系统对多链路进行有效规划和控制。
所以,规范用户关键业务系统在多链路环境下的链路使用效率,保障不同业务的链路负载就显得尤为重要。
2.1.3.2VPC虚拟化环境安全需求
我们认为,应当对用户部署在公有云VPC环境中的业务系统进行有针对性的设计,最大化降低威胁,并实现有效的管理。
需要控制访问的合规性
网络安全建设的首要因素就是访问控制,控制的核心是访问行为,应实现对非许可访问的杜绝,限制员工对网络资源的使用方式。
用户的业务多样化,必然造成访问行为的多样化,因此如何有效鉴别正常的访问,和非法的访问是非常必要的。
对于用户重要的应用服务器和数据资源,应当有效鉴别出合法的业务访问,和可能的攻击访问行为,并分别采取必要的安全控制手段,保障关键的业务访问。
需要有效的链路负载及带宽控制
由于VPC互联网出口采用多链路,因此非常有必要采用链路负载均衡和带宽控制技术,来改善用户的访问体验,提高网络带宽资源利用率,节约链路带宽成本。
采用不同的应用流量进行链路负载均衡。
同时,采用带宽控制对不同的业务系统进行合理的链路带宽控制,保障关键业务系统的稳定运行。
需要有效识别应用并控制
访问控制是企业信息网络安全的要素,但是传统访问控制技术在企业信息网络中越来越遭到新的挑战,最典型的挑战就是当前互联网的应用越来越智能化和隐蔽化,一些访问在网络特征上很难被有效识别出来,比如P2P、网络视频、IM等应用都用到保留端口TCP80,因此在网络层与HTTP的特征完全相同,这就使得为控制员工过度使用P2P、网络视频,或者限制员工上班时间过度使用网游、网上炒股等影响工作效率等行为变得越来越难,对此需要系统能够更智能地识别出真实的应用,并在此基础上进行有效控制。
需要有效防范外部威胁
基于互联网的开放性,使得用户部署在VPC环境中的业务系统往往面临众多的外部威胁,因此如何防范外部的攻击是企业网络安全建设的首要要素,典型的互联网威胁包括:
互联网黑客的拒绝服务攻击;互联网上大规模爆发的蠕虫病毒;来自互联网的带毒邮件;互联网上的挂马网站;互联网上黑客的主动攻击等,这就需要在用户的互联网出口处采取必要的深度攻击检测与防护措施,在访问控制的基础上,提升系统对抗攻击的能力。
需要实现IPSECVPN
用户部署在公有云VPC环境中的业务系统,需要与分支机构和总公司的通信得到更高的可靠性保障。
但是由于互联网平台的开放性,容易遭到窃听和篡改的风险,为此需要部署在公有云VPC环境中的安全产品能够提供IPSECVPN功能,对传输数据进行加密和完整性保护,保障数据传输的安全性。
2.1.3.3安全技术选择的思路和要点
为了保证安全设备技术的先进性,应遵循下述思路和要点:
广泛适应主流云管理平台
云界虚拟化下一代防火墙vFW系统目前支持所有主流的云管理平台。
主要包括:
openstack、kvm、vmware、unitedstack、京东云、阿里云、品高云、腾讯云、AWS、浪潮云、联通沃云等。
可管理性
网络安全设备应当能够被集中监控,由于虚拟化云界虚拟化下一代防火墙部署在VPC出口上,详细记录了各业务服务器的所有的网络访问行为,因此对全网监控有着非常重要的意义,因此系统必须能够被统一管理起来,实现日志行为,特别是各种防护手段形成的记录进行集中的记录与分析。
提供可认证性
虚拟化云界虚拟化下一代防火墙系统必须能够实现基于身份和角色的管理,设备无论在进行访问控制,还是在QOS,还是在日志记录过程中,依据必须是真实的访问者身份,做到精细化管理,可追溯性记录。
保障链路畅通性
对于VPC中多出口的互联网链路,引入的虚拟化云界虚拟化下一代防火墙系统应当支持多链路负载均衡,正常状态下设备能够根据出口链路的繁忙状态自动分配负载,使得多条链路都能够得到充分利用;在某条链路异常的状态下,能够自动切换负载,保障用户的核心业务。
按照不同的关键业务分配不同的链路资源是保障关键业务的有效手段。
稳定性
选择的产品必须可靠稳定,选择产品形成的方案应尽量避免单点故障,传统的网络安全方案总是需要一堆的产品去解决不同的问题,但这些产品接入到网络中,任何一台设备故障都会造成全网通信的故障,因此采取集成化的安全产品应当是必然选择。
云界虚拟化下一代防火墙vFW能够在公有云VPC环境中进行双机部署。
全面保障用户业务系统提供服务的稳定性。
2.1.3.4云界虚拟化下一代防火墙技术特性
由于用户不可能在公有云服务提供商的互联网边界部署私有的硬件网络安全产品。
因此,要解决VPC环境下的网络安全,就必须选择一种能够部署在公有云VPC虚拟化环境中的云界虚拟化下一代防火墙安全产品。
云界虚拟化下一代防火墙SG-6000-VM系列是专门为虚拟化环境设计的虚拟化网络安全产品,以纯软件形态部署,适用于虚拟化云平台,为用户提供不同安全等级应用之间的安全隔离和安全防护。
产品支持精细化应用识别、VPN、入侵防御、病毒过滤、负载均衡等功能,具备快速部署能力,即可为公有云租户提供安全防护,又可为用户私有云用户提供高性价比的防护方案,能够降低客户初始采购和管理维护成本。
云界虚拟化下一代防火墙vFW虚拟化云界虚拟化下一代防火墙是一个纯软件的虚拟化安全解决方案,产品的形态为软件。
产品技术参数如下:
云界虚拟化下一代防火墙vFW虚拟化云界虚拟化下一代防火墙的技术亮点主要有:
基于软件的云界虚拟化下一代防火墙vFW适于虚拟化环境部署
在虚拟化环境中,用户的计算、存储、数据资源都是运行在服务器的虚拟机上,在考虑安全防护的设计时,云界虚拟化下一代防火墙SG-6000-VM系列可在虚拟机上实现快速灵活的部署,支持在openstack、kvm、vmware、unitedstack、京东云、阿里云、品高云、腾讯云、AWS、浪潮云、联通沃云等主流虚拟化平台上运行。
以虚拟化的形式部署的设备,能够克服物理防火墙的限制,在虚拟化环境中可部署于更加靠近VM的位置,对于VM主机内部流量进行过滤,实现同时对于南北向和东西向流量的安全防护。
同时,用户可以根据网络搭建需求,弹性调配和管理网络资源,调整网络接口数量等,并且能够按需进行灵活迁移,充分发挥虚拟化优势。
拥有专业NGFW安全防护功能
云界虚拟化下一代防火墙SG-6000-VM系列虚拟化设备拥有与NGFW相同的操作系统,具有丰富的网络安全防护功能,对网络威胁进行防御,能够满足企业分支及公有云多租户环境中的网络安全需求。
●具备精细化应用管控,可为用户提供多维的应用风险分析和筛选,以及灵活的安全控制,包括策略阻止、会话限制、应用引流和智能流量管理等。
同时,还具备入侵防御、病毒过滤、攻击防护、链路与服务器负载均衡、NAT等功能。
●具备VPN接入能力,包含IPSecVPN、SSLVPN,可与物理防火墙或虚拟化防火墙建立安全加密隧道,确保数据的远程安全传输。
●具备HA组网能力,可实现高可靠部署,保障用户业务的不间断连续运营。
设备必须能够实现基于身份和角色的管理,设备无论在进行访问控制,还是在QOS,还是在日志记录过程中,依据必须是真实的访问者身份,做到精细化管理,可追溯性记录。
结合云平台的安全可视化管理
数据中心在云化过程中给网络安全管理带来了挑战,云界虚拟化下一代防火墙为云环境中的独立租户提供专属的安全隔离和策略保护。
同时,可实现基于快照的系统快速恢复,在虚拟设备出现问题或宕机的情况下,可通过快照存储的上一时间的配置进行快速恢复,即刻就能在原有虚拟机或者新的虚拟机上启动虚拟防火墙设备。
云界虚拟化下一代防火墙SG-6000-VM系列具有与NGFW一致的管理界面,图形化交互直观易用。
具备各种日志记录查询功能,能够有效记录网络情况,并提供实时流量和安全事件的报表统计功能,帮助管理员全面掌握网络运行状态,提高运维效率。
提供公有云和私有云高性价比部署方案
云界虚拟化下一代防火墙SG-6000-VM系列适合在公有云中部署,具备在主流云平台上为企业客户提供安全服务的能力,帮助用户在公有云平台上组建安全的业务服务,抵御外部的网络攻击。
2.1.3.5云界虚拟化下一代防火墙vFW产品功能特性
云界虚拟化下一代防火墙vFW虚拟化云界虚拟化下一代防火墙主要支持如下虚拟化环境:
●VirtualapplianceVmotion(license不与硬件绑定)
●支持VMwarehypervisor
●支持KVMhypervisor
●支持AMI(AWS)
●支持Aliyun(阿里云)
云界虚拟化下一代防火墙vFW虚拟化云界虚拟化下一代防火墙在技术上具有如下的功能特性,包括:
灵活的多链路负载均衡技术
云界虚拟化下一代防火墙vFW能够支持专业的链路负载均衡技术,在多条链路的业务场景下,通过出站的负载、入站的负载、结合运营商和其他协议方式的负载,让用户的链路带宽得到充分利用,为用户选择最快的链路,解决链路利用率不均衡、单点故障、访问效果差、链路资源浪费等问题,保障业务的稳定性。
云界虚拟化下一代防火墙作用在公有云VPC环境多互联网出口,每台设备都连接到不同链路上,并工作在主备模式下,运用智能的ECMP等价路由,或策略路由,实现不同链路会话的负载均衡,并根据用户的上网方式和链路执行如下的策略:
●链路负载均衡策略:
云界虚拟化下一代防火墙针对公有云VPC环境多个互联网出口链路,通过ECMP来实现负载均衡策略,当云界虚拟化下一代防火墙接收到会话请求时,会将会话平均在多个链路出口上分配,使得每条链路都有一定的负载,提升链路的利用率;
●链路故障自动切换策略:
云界虚拟化下一代防火墙在实现链路负载均衡的基础上,可根据链路状态进行故障时的自动切换,即当云界虚拟化下一代防火墙发现某条链路故障时,自动将通过该链路的互联网访问会话切换到其他正常的链路上,保持互联网访问的持续性;
●根据访问目标自动选择链路策略:
云界虚拟化下一代防火墙支持的策略路由,针对公有云VPC环境互联网出口链路,可根据上网访问的目标地址来自动选择链路节约资费;
●根据访问的应用自动选择链路策略:
针对公有云VPC环境互联网出口的多链路特点,以及不同链路的质量和资费都不同的特点,通过云界虚拟化下一代防火墙的策略路由,和应用识别技术,可将那些对链路质量要求不高的P2P应用等,自动路由到一般链路上,从而节约出优质链路带宽,保障关键应用的资源。
云界虚拟化下一代防火墙vFW由于支持了深度应用识别,用户识别,ISP路由,等价路由,这些条件组合起来可以有效的应对公有云VPC环境互联网多出口链路的特点,在不同的链路上进行负载均衡以提升链路的利用率,或者将不同的目标地址的访问路由到不同的链路,以及将不同的应用路由到不同的链路上,通过灵活的策略,使得公有云VPC环境系统管理人员能够根据链路的资费差异,质量差异来制定灵活的路由策略,在提升上网访问连续性的前提下,还能够在一定程度上对链路的负载进行重新分配,提升链路的利用率。
灵活高效的带宽管理
云界虚拟化下一代防火墙vFW提供专有的智能应用识别(IntelligentApplicationIdentification)功能,称为IAI。
IAI能够对百余种网络应用进行分类,甚至包括对加密的P2P应用(BitTorrent、迅雷、Emule、Edonkey等)和即时消息流量进行分类。
QoS首先根据流量的应用类型对流量进行识别和标记。
然后,根据应用识别和标记结果对流量带宽进行控制并且区分优先级。
一个典型应用实例是:
用户可以为关键的ERP和OA流量设置高优先级保证它们的带宽使用;对于网页浏览和P2P下载流量,用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。
将行为控制以及IPQoS结合使用,用户可以很容易地为关键用户控制流量并区分流量优先级。
设备最多可支持20,000个不同IP地址的流量优先级区分和带宽控制(入方向和出方向),这就相当于系统中可容纳最多40,000的QoS队列。
结合应用QoS,设备可提供另一层的流量控制。
设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。
例如,对于同一个IP地址产生的不同流量,用户可以基于应用分类结果指定流量的优先级。
在IPQoS里面使用应用QoS,甚至可以对每个IP地址进行流量控制的同时,还能够对该IP地址内部应用类型的流量进行有效管控。
总之,通过采取云界虚拟化下一代防火墙vFW所集成的带宽管理功能,可以在用户网络中做到关键应用优先,领导信息流量优先,非业务应用限速或禁用,VoIP、视频应用保证时延低、无抖动、音质清晰、图片清楚,这些有效管理带宽资源和区分网络应用的效果都能给用户带来更高效、更灵活、更合理的带宽应用,使得昂贵的带宽能获取最高的效益和高附加值应用。
安全可靠的集中化管理
安全管理中心采用了一种全新的方法来实现设备安全管理,通过提供集中的端到端生命周期管理来实现精细的设备配置、网络设置、VPN配置和安全策略控制。
安全管理中心可以清楚地分配角色和职责,从而使设备技术人员、网络管理员和安全管理员通过相互协作来提高网络管理效率,减少开销并降低运营成本。
利用安全管理中心,可以为特定用户分配适当的管理接入权限(从只读到全面的编辑权限)来完成多种工作。
可以允许或限制用户接入信息,从而使用户可以作出与他们的角色相适应的决策。
安全管理中心的一个关键设计理念是降低安全设备管理的复杂性,同时保证足够的灵活性来满足每个用户的不同需求。
为了实现这一目标,安全管理中心提供了一个综合管理界面以便从一个集中位置上控制所有设备参数。
管理员只需要点击几下鼠标就可以配置设备、创建安全策略或管理软件升级。
同时,只要是能够通过安全管理中心进行配置的设备都可以通过CLI接入。
安全管理中心还带有一种高性能日志存储机制,使IT部门可以收集并监控关键方面的详细信息,如网络流量、设备状态和安全事件等。
利用内置的报告功能,管理员还可以迅速生成报告来进行调查研究或查看是否符合要求。
安全管理中心采用了一种3层的体系结构,该结构通过一条基于TCP的安全通信信道-安全服务器协议(SSP)相连接。
SSP可以通过AES加密和SHA1认证来提供受到有效保护的端到端的安全通信功能。
利用经过认证的加密TCP通信链路,就不需要在不同分层之间建立VPN隧道,从而大大提高了性能和灵活性。
安全管理中心提供统一管理功能,在一个统一界面中集成了配置、日志记录、监控和报告功能,同时还使网络管理中心的所有工作人员可以协同工作。
集中管理方法使用户可以在安全性和接入便利性之间达成平衡,对于云界虚拟化下一代防火墙这类安全设备的大规模部署非常重要。
基于角色的安全控制与审计
针对传统基于IP的访问控制和资源控制缺陷,云界虚拟化下一代防火墙vFW采用RBNS(基于身份和角色的管理)技术让网络配置更加直观和精细化,不同基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。
基于角色的管理模式可以通过对访问者身份审核和确认,确定访问者的访问权限,分配相应的网络资源。
在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。
另外,在采用了RBNS技术后,使得审计记录可以直接反追溯到真实的访问者,更便于安全事件的定位。
在本方案中,利用云界虚拟化下一代防火墙vFW的身份认证功能,可结合AD域认证等技术,提供集成化的认证+控制+深度检测+行为审计的解决方案,当访问者需跨网关访问时,网关会根据确认的访问者身份,自动调用邮件系统内的邮件组信息,确定访问者角色,随后根据角色执行访问控制,限制其访问范围,然后再对访问数据包进行深度检测,根据角色执行差异化的QOS,并在发现非法的访问,或者存在可疑行为的访问时,记录到日志提供给系统员进行事后的深度分析。
基于深度应用识别的访问控制
公有云VPC环境的大多数主要业务应用系统都建立在HTTP/HTTPS等应用层协议之上,新的安全威胁也随之嵌入到应用之中,而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略,根本无法识别应用,更谈不上安全防护。
新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制,而不依赖于端口或协议,即使加密过的数据流也能应付自如
升级会员 