2024年6月11日发(作者:纪雪莲)
企业级数据中心出口防护解决方案
1 概述
数据中心是数据大集中而形成的集成IT应用环境,通过网络互联,成为数
据计算与存储的中心,来承载各种IT应用服务。通过数据中心的建设,企业能
够实现对IT信息系统的整合和集中管理,提升内部的运营和管理效率以及对外
的服务水平,同时降低IT系统建设成本。
数据中心承载着企业的核心业务,成为企业信息资源形成、利用、管理的关
键节点,所以数据中心是企业最重要的资产,对于数据中心的安全性、可用性要
求极高。一直以来,出口安全都是数据中心安全防护体系极为重要的一环。传统
解决方案是在数据中心出口“串糖葫芦式”部署防火墙、入侵防御系统等安全设
备,试图通过增加安全设备的数量提高数据中心的安全。
但是,随着信息化产业的发展,数据中心作为企业核心竞争力,所承载的IT
设施和数据业务已然成为各种网络攻击的焦点,而且攻击的手法越来越隐蔽、手
段越来越高级。由于多种安全设备之间各自为战难以协同调配,在应对当前漏洞
利用、间谍软件攻击时无法形成“1+1=2”的合力,反而因为操作运维复杂、故
障点增多、性能瓶颈等诸多因素,影响数据中心业务的正常运营。所以数据中心
安全体系的建设必须抛弃传统“堆砌设备提高安全性”的落后思维,应该采用符
合当前趋势的、更有效的安全措施。
2 企业数据中心安全需求分析
2.1 高性能、可用性需求
随着“互联网+”时代的到来,业务模式发生快速变化,企业的运作高度依
赖网络,带来的结果就是数据中心带宽呈几何级的增长,给出口防护带来严峻的
性能挑战。同时企业的业务成效越来越依赖于IT服务,数据中心的可用性已经
成为业务运营的生命线,一旦瘫痪造成业务无法开展,对企业造成的经济损失及
负面影响难以估算。
为了满足数据中心在高带宽、高并发、高吞吐条件下安全的数据交换,确保
数据中心关键业务7x24不中断,出口防火墙需要提供更高安全性的同时提高性
能,同时可以极端条件下稳定运行。
2.2 数据中心出口安全风险
数据中心通常使用大量服务器支撑企业的业务系统,而当前操作系统、应用
的高危安全漏洞频发,对成千上万台服务器进行漏洞修补在短期内很难完成。而
且漏洞修补引起的配置变更可能会引发业务风险。所以基于服务器的漏洞修复对
于数据中心几乎是一个不可能完成的任务。同时间谍软件窃取重要信息、控制服
务器成为僵尸主机等行为对数据中心造成的危害也越来越大。大规模在服务器端
部署反间谍软件会带来配置、维护、更新及TCO等问题,需要另外切实可行的
防护措施,作为基于服务器间谍软件防护的有效补充。
在数据中心出口需要将多种安全防护机制有机的结合,打破传统安全设备各
自为战的被动局面,在数据中心出口将安全风险阻拦在外,避免关键业务中断及
重大安全事件。
2.3 如何精准发现失陷服务器并快速处理
数据中心IT业务使用、产生的数据是非常重要的IT资产,结合这些服务器
暴露在网络上的特点,使数据中心必然成为“高价值”的攻击目标。在面对当前
窃取重要数据为目的,经济利益为驱动的高级、隐蔽攻击手段,传统“静态、被
动、防御”为导向安全防护体系无能为力。
面临当前网络安全形势与挑战日益严峻复杂,安全体系建设需要从“防范”
为主转向“快速检测和响应能力”的构建,利用威胁情报、异常行为识别、大数
据分析等技术,主动、快速、持续的发现数据中心存在的失陷服务器,同时还原
失陷全过程,准确锁定攻击链条及时作出响应处置。
2.4 业务系统间“强”隔离需求
数据中心承载企业多个业务系统,而不同业务系统之间安全等级可能会有差
别,如企业的核心生产系统与CRM系统的安全等级肯定有高低之分。如果不在
各个业务系统之间实现“强”隔离,那么很有可能在低安全等级业务系统被攻破
后,作为跳板攻击高安全等级业务系统。但是为了避免上述的情况出现,为不同
的业务系统采用物理“强”隔离的方式,势必会增大企业投入,而且会极大增加
运维、管理复杂度。
如果数据中心管理人员仅仅是关注通过隔离,减小了数据中心内部安全风险
的影响面,却忽略了来自外部的安全风险,这种方式显然是顾此失彼。“强”与
“隔离”是紧密耦合的,应该在实现业务系统间隔离的基础上,实现“强”安全
有效性,防护来自内外部的安全风险。
3 解决方案
360新一代智慧防火墙(下面简称“智慧防火墙”),在提供复杂环境组网、
扫描攻击防护和虚拟系统等功能的基础上,深度集成了漏洞防护、间谍软件防护、
失陷服务器检测等高级安全防护功能,快速构建基于威胁情报、态势感知、智能
协同、安全可视化等新一代技术的安全防护解决方案。
在数据中心出口使用场景中,通过“HA组”的方式部署360智慧防火墙,
在提供高性能安全防护的同时,提高防火墙的可用性。并且通过“虚拟系统”实
现业务间的“强”隔离。除此之外,以360智慧防火墙为核心与多种安全组件集
成,形成“云-地”协同、联动的安全体系,覆盖了“自适应安全结构” 定义的
预测、防御、检测、响应能力,满足数据中心全方位安全防护的要求。
方案拓扑示意图
3.1 数据中心出口高性能双机部署
360拥有完备的智慧防火墙产品线,转发速率从4Gbps到160Gbps、HTTP
新建从3万/秒到160万/秒,并发数180万到5000万,基于安全性能的不同,
覆盖不同规模的企业数据中心应用场景。智慧防火墙支持支持路由模式和桥模式
的HA。路由模式,采用SGRP路由冗余备份协议,实现双主的路由负载均衡和
主备的路由冗余备份两种模式。透明模式下,支持通过生成树协议完成桥模式的
HA冗余备份和快速切换。两种HA模式中,智慧防火墙间的会话、威胁情报、
VPN隧道等信息完全同步,在一台防火墙出现问题时,另外一台可以及时接管
所有工作,向用户提供毫秒级快速、完全透明的切换,提高网络服务质量。
HA组的配置决定了当前配置的防火墙,工作在MASTER(主)状态还是
BACKUP(备)状态。以及那些信息需要在主备之间同步。
HA接口监控、链路探测是高可用性模块中提供的防火墙状态切换可选功能。
主要通过探测用户配置的监控接口当前的状态是否正常和探测用户配置的IP地
址当前是否能够连通,并在接口或在IP地址失效的情况下,根据用户配置的优
先级扣减权重值,判断防火墙目前是否继续工作。
在数据中心出口,选择符合业务规模的智慧防火墙双机HA部署,提供高性
能、高可用性的同时满足安全防护性能要求,有效确保业务应用的高质量交付。
3.2 实现数据中心出口全方位的威胁防护
智慧防火墙深度集成漏洞防护、间谍软件防护等应用层安全功能,通过单引
擎一次性数据处理对穿越数据中心出口的所有流量进行深度威胁检测。
启用智慧防火墙的漏洞可对缓冲区溢出、跨站脚本、拒绝服务等3000余种
漏洞利用攻击进行防护。
内置的防间谍软件功能可以对500余万种间谍软件实现防护,利用双向拦
截C&C(命令与控制)通信,避免失陷服务器进一步造成危害。作为漏洞防护
有效的补充,除了预防木马后门、病毒蠕虫、僵尸网络之以外,支持自定义签名
的方式识别间谍软件的特征。
智慧防火墙可以与天御云协同,利用云端特征库作为本地特征库的扩展,极
大提升整体漏洞、攻击特征库的数量级。并且天御云将最新爆发的漏洞、间谍软
件信息实时推送给智慧防火墙,加快防火墙对威胁的识别速度,提高拦截的实时
性、精确度。
通过将漏洞防护功能,将漏洞引发的安全风险阻拦在数据中心外部,有效解
决服务器难以修复漏洞的困难。与防间谍软件功能的结合,进一步提升了其威胁
检出能力,确保数据中心服务器安全。
3.3 精准发现失陷服务器并及时处置
智慧防火墙上报的日志数据至天御云大数据分析引擎,提取网络内服务器的
行为数据,一方面通过大数据技术挖掘偏离正常基线的异常行为,另一方面,将
本地行为数据与威胁情报进行匹配对撞,从多个维度检测网内的失陷服务器。
主面板与处置中心的失陷服务器报告
智慧防火墙提供情境分析、日志搜索等服务,用于攻击事件的分析、取证和
回溯。
分析中心查询结果
在安全事件发生事后,在智慧防火墙分析中心通过递进式的查询,可以快速
的钻取到某类威胁的相关信息,并且将智慧墙各个功能模块报告的信息关联集中,
呈现攻击发生的全过程。为管理人员进行快速的攻击事件关联分析、取证、回溯
提供有力的帮助。
同时智慧防火墙可以根据失陷服务器检测结果,一键处置失陷服务器。
失陷服务器一键处置
通过失陷服务器报告,通过处置中心的“一键处置”功能,可以快速的基于
失陷服务器(处置受害IP:隔离某个IP地址所有的网络访问;)或者IOC情报
(处置IOC:即阻断所有IP访问已确认的攻击源;)动态生成安全防护策略。使
管理员可以高效、快捷的响应安全事件,在数据中心内外部阻拦安全风险。
通过天御云云镜与智慧防火墙的智能协同,利用云端海量的运算和存储资源,
对智慧防火墙上报的数据执行深度分析和情报检测,并利用图形化的界面呈现,
帮助数据中心管理人员感知当前漏洞爆发趋势等安全态势,预测可能发生的安全
风险,提前做出应对。
3.4 通过虚拟系统实现“强”隔离
智慧防火墙的虚拟系统功能,将防火墙虚拟成多个相互隔离并独立运行的虚
拟系统,每一个虚拟系统都可以提供定制化、独立的安全防护功能。并且并发会
话数量、安全策略数量、NAT条目数量等系统资源在不同虚拟系统之间动态调
配,实现防火墙性能的最大化利用。
通过在各个虚拟系统上启用漏洞防护、间谍软件防护等功能,在实现不同业
务间“强”隔离的基础上,提供基于数据中心出口的高级威胁防护。
4 方案优势
4.1 优越的高性能、高可用性架构设计
通过使用第四代SecOS操作系统、单引擎异步并行处理架构及优化的接口
数据收发机制,保证360智慧防火墙在数据中心大流量、高吞吐、多安全功能
开启的情况下始终保持高性能。SecOS通过管理平面与数据平面分离的软件设
计,即使管理平面出现故障不会影响数据平面的转发功能。智慧防火墙也可以安
装不同版本的SecOS,可以在系统间自由切换。多方面保障了系统的稳定性。
4.2 超强的威胁识别及响应能力
基于360深厚的攻防研究储备和安全大数据能力,智慧防火墙可以对超过
3000多种的漏洞利用攻击、500余万种间谍软件进行防护。同时本地特征库可
以与云端联动,360在发现安全威胁后,第一时间推出关于安全威胁的行为、异
常、特征等关键信息,通过云端实时更新的方式推送到智慧防火墙,确保在数据
中心出口快速拦截、精准阻断最新的安全威胁。
4.3 基于威胁情报及时、主动发现失陷服务器
基于多手段的安全数据采集和深入分析,得益于情报共享的生态体系,360
具备全球领先的威胁情报生产能力,并将此能力在“天御云”上落地。数据中心
出口部署的智慧防火墙利用“天御云”推送的威胁情报,确认已失陷或有风险行
为的服务器信息详情推送到处置中心,用户可以查看失陷服务器的详细信息,并
一键处置失陷服务器。并且数据中心管理员可以从分析中心、数据中心中自行定
位并快速处置网络中的失陷服务器。
4.4 实现全部安全功能的虚拟系统
在智慧防火墙内部,虚拟系统完全复制物理防火墙的安全防护能力,如漏洞
防护、间谍软件防护、失陷服务器检测及处置等功能。而且可以根据业务的安全
需求,针对不同的虚拟系统启用、配置不同的高级安全防护功能。虚拟系统之间
完全隔离,确保每个虚拟系统独立工作、稳定运行。并且虚拟系统可以与物理防
火墙HA功能完美结合,提高虚拟系统的可用性。
5 用户价值
多种手段确保企业数据中心业务快速、安全、有效的交付。
利用防火墙强大的威胁识别及检测能力防止服务器遭受攻击,在数据中
心出口有效的缓解漏洞、间谍软件带来的安全风险。
威胁情报推动自适应安全架构轮转,生成契合业务特点的防护体系,为
数据中心提供可持续、可运营的安全解决方案。
通过虚拟系统实现业务系统“强”隔离,不仅确保了安全性,同时降低
TCO及运维、管理复杂度。
6 方案的产品配置
配置
数量
产品名称 部署位置 实现功能
360新一代智慧防火墙 2
数据中心出口双机
部署。
云端,通过互联网订
阅服务
威胁检测与防御、虚拟系
统、失陷服务器检测等
感知威胁态势、防御弱点、
失陷资产
网络威胁感知中心 1
2024年6月11日发(作者:纪雪莲)
企业级数据中心出口防护解决方案
1 概述
数据中心是数据大集中而形成的集成IT应用环境,通过网络互联,成为数
据计算与存储的中心,来承载各种IT应用服务。通过数据中心的建设,企业能
够实现对IT信息系统的整合和集中管理,提升内部的运营和管理效率以及对外
的服务水平,同时降低IT系统建设成本。
数据中心承载着企业的核心业务,成为企业信息资源形成、利用、管理的关
键节点,所以数据中心是企业最重要的资产,对于数据中心的安全性、可用性要
求极高。一直以来,出口安全都是数据中心安全防护体系极为重要的一环。传统
解决方案是在数据中心出口“串糖葫芦式”部署防火墙、入侵防御系统等安全设
备,试图通过增加安全设备的数量提高数据中心的安全。
但是,随着信息化产业的发展,数据中心作为企业核心竞争力,所承载的IT
设施和数据业务已然成为各种网络攻击的焦点,而且攻击的手法越来越隐蔽、手
段越来越高级。由于多种安全设备之间各自为战难以协同调配,在应对当前漏洞
利用、间谍软件攻击时无法形成“1+1=2”的合力,反而因为操作运维复杂、故
障点增多、性能瓶颈等诸多因素,影响数据中心业务的正常运营。所以数据中心
安全体系的建设必须抛弃传统“堆砌设备提高安全性”的落后思维,应该采用符
合当前趋势的、更有效的安全措施。
2 企业数据中心安全需求分析
2.1 高性能、可用性需求
随着“互联网+”时代的到来,业务模式发生快速变化,企业的运作高度依
赖网络,带来的结果就是数据中心带宽呈几何级的增长,给出口防护带来严峻的
性能挑战。同时企业的业务成效越来越依赖于IT服务,数据中心的可用性已经
成为业务运营的生命线,一旦瘫痪造成业务无法开展,对企业造成的经济损失及
负面影响难以估算。
为了满足数据中心在高带宽、高并发、高吞吐条件下安全的数据交换,确保
数据中心关键业务7x24不中断,出口防火墙需要提供更高安全性的同时提高性
能,同时可以极端条件下稳定运行。
2.2 数据中心出口安全风险
数据中心通常使用大量服务器支撑企业的业务系统,而当前操作系统、应用
的高危安全漏洞频发,对成千上万台服务器进行漏洞修补在短期内很难完成。而
且漏洞修补引起的配置变更可能会引发业务风险。所以基于服务器的漏洞修复对
于数据中心几乎是一个不可能完成的任务。同时间谍软件窃取重要信息、控制服
务器成为僵尸主机等行为对数据中心造成的危害也越来越大。大规模在服务器端
部署反间谍软件会带来配置、维护、更新及TCO等问题,需要另外切实可行的
防护措施,作为基于服务器间谍软件防护的有效补充。
在数据中心出口需要将多种安全防护机制有机的结合,打破传统安全设备各
自为战的被动局面,在数据中心出口将安全风险阻拦在外,避免关键业务中断及
重大安全事件。
2.3 如何精准发现失陷服务器并快速处理
数据中心IT业务使用、产生的数据是非常重要的IT资产,结合这些服务器
暴露在网络上的特点,使数据中心必然成为“高价值”的攻击目标。在面对当前
窃取重要数据为目的,经济利益为驱动的高级、隐蔽攻击手段,传统“静态、被
动、防御”为导向安全防护体系无能为力。
面临当前网络安全形势与挑战日益严峻复杂,安全体系建设需要从“防范”
为主转向“快速检测和响应能力”的构建,利用威胁情报、异常行为识别、大数
据分析等技术,主动、快速、持续的发现数据中心存在的失陷服务器,同时还原
失陷全过程,准确锁定攻击链条及时作出响应处置。
2.4 业务系统间“强”隔离需求
数据中心承载企业多个业务系统,而不同业务系统之间安全等级可能会有差
别,如企业的核心生产系统与CRM系统的安全等级肯定有高低之分。如果不在
各个业务系统之间实现“强”隔离,那么很有可能在低安全等级业务系统被攻破
后,作为跳板攻击高安全等级业务系统。但是为了避免上述的情况出现,为不同
的业务系统采用物理“强”隔离的方式,势必会增大企业投入,而且会极大增加
运维、管理复杂度。
如果数据中心管理人员仅仅是关注通过隔离,减小了数据中心内部安全风险
的影响面,却忽略了来自外部的安全风险,这种方式显然是顾此失彼。“强”与
“隔离”是紧密耦合的,应该在实现业务系统间隔离的基础上,实现“强”安全
有效性,防护来自内外部的安全风险。
3 解决方案
360新一代智慧防火墙(下面简称“智慧防火墙”),在提供复杂环境组网、
扫描攻击防护和虚拟系统等功能的基础上,深度集成了漏洞防护、间谍软件防护、
失陷服务器检测等高级安全防护功能,快速构建基于威胁情报、态势感知、智能
协同、安全可视化等新一代技术的安全防护解决方案。
在数据中心出口使用场景中,通过“HA组”的方式部署360智慧防火墙,
在提供高性能安全防护的同时,提高防火墙的可用性。并且通过“虚拟系统”实
现业务间的“强”隔离。除此之外,以360智慧防火墙为核心与多种安全组件集
成,形成“云-地”协同、联动的安全体系,覆盖了“自适应安全结构” 定义的
预测、防御、检测、响应能力,满足数据中心全方位安全防护的要求。
方案拓扑示意图
3.1 数据中心出口高性能双机部署
360拥有完备的智慧防火墙产品线,转发速率从4Gbps到160Gbps、HTTP
新建从3万/秒到160万/秒,并发数180万到5000万,基于安全性能的不同,
覆盖不同规模的企业数据中心应用场景。智慧防火墙支持支持路由模式和桥模式
的HA。路由模式,采用SGRP路由冗余备份协议,实现双主的路由负载均衡和
主备的路由冗余备份两种模式。透明模式下,支持通过生成树协议完成桥模式的
HA冗余备份和快速切换。两种HA模式中,智慧防火墙间的会话、威胁情报、
VPN隧道等信息完全同步,在一台防火墙出现问题时,另外一台可以及时接管
所有工作,向用户提供毫秒级快速、完全透明的切换,提高网络服务质量。
HA组的配置决定了当前配置的防火墙,工作在MASTER(主)状态还是
BACKUP(备)状态。以及那些信息需要在主备之间同步。
HA接口监控、链路探测是高可用性模块中提供的防火墙状态切换可选功能。
主要通过探测用户配置的监控接口当前的状态是否正常和探测用户配置的IP地
址当前是否能够连通,并在接口或在IP地址失效的情况下,根据用户配置的优
先级扣减权重值,判断防火墙目前是否继续工作。
在数据中心出口,选择符合业务规模的智慧防火墙双机HA部署,提供高性
能、高可用性的同时满足安全防护性能要求,有效确保业务应用的高质量交付。
3.2 实现数据中心出口全方位的威胁防护
智慧防火墙深度集成漏洞防护、间谍软件防护等应用层安全功能,通过单引
擎一次性数据处理对穿越数据中心出口的所有流量进行深度威胁检测。
启用智慧防火墙的漏洞可对缓冲区溢出、跨站脚本、拒绝服务等3000余种
漏洞利用攻击进行防护。
内置的防间谍软件功能可以对500余万种间谍软件实现防护,利用双向拦
截C&C(命令与控制)通信,避免失陷服务器进一步造成危害。作为漏洞防护
有效的补充,除了预防木马后门、病毒蠕虫、僵尸网络之以外,支持自定义签名
的方式识别间谍软件的特征。
智慧防火墙可以与天御云协同,利用云端特征库作为本地特征库的扩展,极
大提升整体漏洞、攻击特征库的数量级。并且天御云将最新爆发的漏洞、间谍软
件信息实时推送给智慧防火墙,加快防火墙对威胁的识别速度,提高拦截的实时
性、精确度。
通过将漏洞防护功能,将漏洞引发的安全风险阻拦在数据中心外部,有效解
决服务器难以修复漏洞的困难。与防间谍软件功能的结合,进一步提升了其威胁
检出能力,确保数据中心服务器安全。
3.3 精准发现失陷服务器并及时处置
智慧防火墙上报的日志数据至天御云大数据分析引擎,提取网络内服务器的
行为数据,一方面通过大数据技术挖掘偏离正常基线的异常行为,另一方面,将
本地行为数据与威胁情报进行匹配对撞,从多个维度检测网内的失陷服务器。
主面板与处置中心的失陷服务器报告
智慧防火墙提供情境分析、日志搜索等服务,用于攻击事件的分析、取证和
回溯。
分析中心查询结果
在安全事件发生事后,在智慧防火墙分析中心通过递进式的查询,可以快速
的钻取到某类威胁的相关信息,并且将智慧墙各个功能模块报告的信息关联集中,
呈现攻击发生的全过程。为管理人员进行快速的攻击事件关联分析、取证、回溯
提供有力的帮助。
同时智慧防火墙可以根据失陷服务器检测结果,一键处置失陷服务器。
失陷服务器一键处置
通过失陷服务器报告,通过处置中心的“一键处置”功能,可以快速的基于
失陷服务器(处置受害IP:隔离某个IP地址所有的网络访问;)或者IOC情报
(处置IOC:即阻断所有IP访问已确认的攻击源;)动态生成安全防护策略。使
管理员可以高效、快捷的响应安全事件,在数据中心内外部阻拦安全风险。
通过天御云云镜与智慧防火墙的智能协同,利用云端海量的运算和存储资源,
对智慧防火墙上报的数据执行深度分析和情报检测,并利用图形化的界面呈现,
帮助数据中心管理人员感知当前漏洞爆发趋势等安全态势,预测可能发生的安全
风险,提前做出应对。
3.4 通过虚拟系统实现“强”隔离
智慧防火墙的虚拟系统功能,将防火墙虚拟成多个相互隔离并独立运行的虚
拟系统,每一个虚拟系统都可以提供定制化、独立的安全防护功能。并且并发会
话数量、安全策略数量、NAT条目数量等系统资源在不同虚拟系统之间动态调
配,实现防火墙性能的最大化利用。
通过在各个虚拟系统上启用漏洞防护、间谍软件防护等功能,在实现不同业
务间“强”隔离的基础上,提供基于数据中心出口的高级威胁防护。
4 方案优势
4.1 优越的高性能、高可用性架构设计
通过使用第四代SecOS操作系统、单引擎异步并行处理架构及优化的接口
数据收发机制,保证360智慧防火墙在数据中心大流量、高吞吐、多安全功能
开启的情况下始终保持高性能。SecOS通过管理平面与数据平面分离的软件设
计,即使管理平面出现故障不会影响数据平面的转发功能。智慧防火墙也可以安
装不同版本的SecOS,可以在系统间自由切换。多方面保障了系统的稳定性。
4.2 超强的威胁识别及响应能力
基于360深厚的攻防研究储备和安全大数据能力,智慧防火墙可以对超过
3000多种的漏洞利用攻击、500余万种间谍软件进行防护。同时本地特征库可
以与云端联动,360在发现安全威胁后,第一时间推出关于安全威胁的行为、异
常、特征等关键信息,通过云端实时更新的方式推送到智慧防火墙,确保在数据
中心出口快速拦截、精准阻断最新的安全威胁。
4.3 基于威胁情报及时、主动发现失陷服务器
基于多手段的安全数据采集和深入分析,得益于情报共享的生态体系,360
具备全球领先的威胁情报生产能力,并将此能力在“天御云”上落地。数据中心
出口部署的智慧防火墙利用“天御云”推送的威胁情报,确认已失陷或有风险行
为的服务器信息详情推送到处置中心,用户可以查看失陷服务器的详细信息,并
一键处置失陷服务器。并且数据中心管理员可以从分析中心、数据中心中自行定
位并快速处置网络中的失陷服务器。
4.4 实现全部安全功能的虚拟系统
在智慧防火墙内部,虚拟系统完全复制物理防火墙的安全防护能力,如漏洞
防护、间谍软件防护、失陷服务器检测及处置等功能。而且可以根据业务的安全
需求,针对不同的虚拟系统启用、配置不同的高级安全防护功能。虚拟系统之间
完全隔离,确保每个虚拟系统独立工作、稳定运行。并且虚拟系统可以与物理防
火墙HA功能完美结合,提高虚拟系统的可用性。
5 用户价值
多种手段确保企业数据中心业务快速、安全、有效的交付。
利用防火墙强大的威胁识别及检测能力防止服务器遭受攻击,在数据中
心出口有效的缓解漏洞、间谍软件带来的安全风险。
威胁情报推动自适应安全架构轮转,生成契合业务特点的防护体系,为
数据中心提供可持续、可运营的安全解决方案。
通过虚拟系统实现业务系统“强”隔离,不仅确保了安全性,同时降低
TCO及运维、管理复杂度。
6 方案的产品配置
配置
数量
产品名称 部署位置 实现功能
360新一代智慧防火墙 2
数据中心出口双机
部署。
云端,通过互联网订
阅服务
威胁检测与防御、虚拟系
统、失陷服务器检测等
感知威胁态势、防御弱点、
失陷资产
网络威胁感知中心 1