1、The Introduction to vFWH3C VFW云安全平臺概述目錄云計算安全的趨勢與挑戰1vFW產品介紹2解決方案及典型應用31企業IT向云計算發展傳統IT私有云混合云公有云企業VPC企業VPC企業VPC趨勢1企業應用加速向公有云遷移據Gartner報告顯示，有43%的企業計 劃在2015年前把IT應用部署到公有云中。混合云企業VPC企業VPC企業VPC趨勢2企業廣泛部署混合云據Gartner報告顯示，有 67%的企業明確計劃采用 混合云來構建企業IT。2MPLS/Internet公有云網絡面臨的挑戰分支分支總部/數據中心私有云虛擬機資源池公有云VPCVPCVPNVPN移動員工管理

2、難安全低體驗差難維護難運營企業在云端缺少 網絡設備帶來的問題？3云服務商企業租戶ClientWorkgroupVM 一虛多應用高性能集群 多虛一應用Public & Private Cloud云計算高度虛擬化的數據中心多虛一和一虛多的組合云計算與虛擬化帶來的變化網絡邊界的模糊化網絡安全的模糊化IDC4數據中心云安全虛擬化趨勢數據中心網絡安全面臨的問題邊界安全內部安全存在大量的硬件設備，繁瑣的 安全策略以及VLAN分配防火墻規則難以維護物理設備布線，網絡部署復雜性能擴充困難成本高 復雜度高大量的硬件設備以及VLAN存在盲區：服務器內部VM間數據流量難以有效隔離和防護, 無法監管性能擴充困難安全盲

3、區虛擬化、云計算、SDN技術的發展，帶來網絡功能虛擬化（NFV）的需求5目錄云計算網絡的趨勢與挑戰1vFW產品介紹2解決方案及典型應用36安全VNFs提供多種業務安全產品，利用License控制不同業務，如FW，IPS、負載均衡等各類特性；關鍵特性：FW/NAT/VPN/防 攻擊/域間策略應用場景：VPC場景下云數據中心安全接入網關，網關模式部署云數據中心服務器VM之間 東西向流量安全防護,透明模式負載均衡類 licenseFW類 license流量管理類 licenseIPS/AV/URL過濾類license安全VNFs關鍵特性：L4-L7層SLB負載均衡，7鏈路負載均衡，HTTP應用優化等

4、應用場景：云數據中心服務器側WEB前段 LB業務調度雙活數據中心，基于NQA+RHI 組合實現VM遷移后的主機路由發布關鍵特性：Netstream，ACG類 應用識別和控制，基于用戶的上網 行為分析應用場景：互聯網出口L4-L7層業務應用流 量分析和帶寬控制園區用戶上網行為審計及控制用 戶行為審計license關鍵特性：IPS入侵防護，AV 反病毒，URL訪問過濾應用場景：互聯網出口充當專業IPS或 AV防病毒類網關；園區互聯網上網訪問控制， 結合PROXY形成基于用戶的 URL分類訪問控制方案虛擬環境下的深度安全防護VDC2DMZZoneTenant AZonevSwitchHypervis

5、orTenant BVDC1兩種部署模式：部署在虛擬數據中心邊界，采用網關模式，對VDC進行邊界保護；部署在服務器內部，采用透明模式，對VM間內部流量進行防護；iMC管理平臺/虛擬機管理平臺對VDC進行邊界保護對內部VM間流量安全進行防護8產品架構業界首先采用NFV技術的專業網絡安全系 列產品，它基于Comware V7平臺，運行 在服務器虛擬機上，提供和物理設備相同 的功能和體驗。ISO, OVA, and IPE formatsVMware vSphere, Linux KVM, H3C CAS, Citrix XenServer*, Microsoft Hyper-V*Standard

6、X86 serverMinimal Resource Requirement for VM: 1 vCPU, 1GB RAM, 8GB Disk, 2 vNICsLicense based on:The number of Virtual CPU (1, 4, 8, 1664*)Time (1-year, 3-years, permanent)E1000, VMXNET3, VirtIO, SR-IOV* Support in futureServerHypervisorVMVMVMvSwitch9產品特點超強業務彈性 Super Elasticity超輕量級部署Super Lightweig

7、ht Deployment開放的管理接口Open Management Interface標準的硬件平臺Standard Hardware Platform領先的網絡平臺Comware V7ServerHypervisorV MV MV MvSwitch10超輕量級部署適合云部署零運輸零布線虛擬化軟件化鏡像備份，快速恢復靈活遷移多虛擬平臺支持多發布 格式ISO鏡像OVA模板IPE軟件包快速部署批量部署11/Internet一鍵快速部署公有云虛擬機資源池企業A的VPC企業B的VPC企業B企業A一鍵 快速部署12性能資源單核多核100 Mbps1 Gbps通過調整虛擬機資源和 License隨時提

8、升網絡性能在虛擬機管理平臺上，按需 隨時對VNFs的網口數量和 類型進行靈活調整超強業務彈性網絡資源 動態調整網絡功能 平滑升級設備性能隨需提升多虛擬平 臺支持通過調整虛擬機資源和License平滑獲得所需功能IPSVPNLBFWIP service13ACGVNFs標準的硬件平臺 + 開放的管理接口Hypervisor/vSwitch虛擬化 管理平臺機架服務器刀片服務器Moonshoot高密低功耗服務器標準的硬件平臺網管系統云管理平臺vIPSvLBvFWvACGRESTful API NETCONF SNMP14領先的網絡平臺業務豐富全面安全開放融合統一體驗高可靠架構靈活vFW / vLB1

9、5競爭價值一致的業務體驗能夠提供和物理設備相同的功能 特性，實現無縫互通，屏蔽虛擬 設備和物理設備的差異，呈現給 用戶一致的業務體驗。統一的管理平臺采用和物理設備一樣的命令行界面、網絡 管理系統，使管理員通過統一的管理平臺 就可以管理整個網絡中的物理設備和虛擬 設備。完整的云安全方案能夠快速、無縫的集成到任何基于 Comware的物理網絡中（包括數據 中心、廣域網、分支機構等），并和 云計算形成完整的云網融合方案。16vFW & vLB網絡連接（一）InternetvSwitchHypervisorVMvFW/vLB內網外網VM企業總部分支移動用戶VPNVPNVPN最多支持16虛擬以太網接口

10、(同時依賴 于虛擬平臺，如：ESXi最大支持10)，這 些接口能被用作LAN口或WAN口。支持以太網子接口及VLAN 終結.外網口通過vSwitch連接到物理廣域網， 通過VPN和企業總部、分支、及移動用 戶連接。內網口通過vSwitch連接其它 虛擬機（運行企業應用）或 物理局域網絡17vFW & vLB網絡連接（二）vSwitchHypervisorVMvFW/vLB業務口VM企業總部一個業務口，通過vSwtich連接 其它虛擬機，vSwitch將流量重定向到該業務口，處理完業務后， 報文仍從該口返回vSwtich， vSwtich做正常轉發單臂透明轉發模式，對VM- VM間流量進行防護1

11、8vFW1000軟件規格19FeatureSpecificationFirewallPacket Filter, Stateful Firewall, Zone-based Firewall，ASPFAccess Control: ACL，基于接口、時間段、MAC的ACL, inter-zone policy攻擊防范：畸形包攻擊/DDOS/TCP-proxy/SCAN掃描攻擊/黑名單/連接數限制/反向路徑檢查（URPF）VPNIPSec VPN, L2TP VPN, GRE VPN, SSL VPN*NATNAT/NAPTAAAPortal/RADIUS/HWTACACS/LADP/Local

12、IP Routing/ServicesStatic Routing, RIP, OSPF, Policy Based Routing (PBR)DHCP, DNS, NTPIPv6IPv6 Routing/Services，IPv6 SecurityHigh AvailabilityVRRP, BFD, LB, 狀態熱備ManagementCLI, SSH, Telnet, SNMP, iMCOpen InterfacesNETCONF APIs, SNMP MIB部署模式網關/NAT模式透明轉發模式（支持東西向流量防護）目錄云計算安全的趨勢與挑戰1vFW產品介紹2典型應用320Interne

13、t虛擬機資源池Corporation 2 employeeCorporation 1 offset part充當綜合業務網關，為用戶提供VPN安全接入，同時也支持對網絡流量的FW狀態檢測Corporation 2 offset part關鍵特性:IPSec VPN， NAT，狀態檢測Firewall支持VMware虛擬化環境，支持CAS環境后續將支持Hyper-V，支持XEN虛擬環境優點:精簡網絡基礎設施，直接利用服務器，便于租戶自行維護；業務彈性擴展，性能可動態調整，管理高效零布線，易于部署IPsec VPN虛擬機資源池Cloud典型應用: 數據中心多租戶虛擬安全網關21vFW1vLB1vF

14、W2 vLB2典型應用：企業分支安全網關Office LANVFWAll in a boxVM VM VMFile Mail .VPN/Firewall/Router企業DCOffice LANVFWVPN/Firewall/RouterAll in a boxVM VM VMFile Mail .IPSec VPNSSL VPN作為企業分支安全網關，負責接 入Internet，為分支出口提供安全 防護；支持與企業數據中心建立VPN連 接(包括IPsec VPN，L2TP，GRE), 確保安全接入。Internet22vFW & vLB部署模型vSwitchHypervisorPhysical

15、 ServerFirewallIPSec VPNNATIPSLoad BalanceVMVMDMZ zoneVMVMVirtual Server GroupVMVMvSwitchvSwitchHypervisorPhysical ServerVMVMVMVMVMVMVMVMVMVMVMVMVMvSwitchHypervisorPhysical ServerVMVM多租戶環境Tenant ATenant B虛擬安全網關多層多區域安全23數據中心VM-VM間安全防護模型安全域配置：多個VM虛擬機劃分到不同的安全域:基于VM名稱/IP地址/MAC地址配置域間策略訪問控制允許或拒絕DOS安全攻擊檢查I

16、PS入侵檢測檢查流量分析備注：1）系統也支持通過controller靜態直接下發流量重定向策略2）server上有VM之間流量交換的，可以本地安裝VMSG實現快速處理，也可以多個server共用vFWVM 1vSwitch（交換網絡）VM2SDN ControllerVM1-VM2的報文到達虛擬交換機2首包上送控制層SDN Controller3轉換成OPENFLOW流表下發到交換機4安全檢查后根據策略正 常轉發到目地VM6安全策略配置WEB GUI入口1報文根據流表轉發到vFW5VM1VM2VM3VM4VM5VM6VFW基于SDN架構的VM-VM之間流量保護模型；對于VM1-VM2的流量，c

17、ontroller只需要在VM1/VM2的接入端口上進行流表下發動作，對于跨server的VM-VM防護同樣支持Web zoneAPP zone7反方向報文入口設置流量重定向24H3C vSwitchVM3VM5VM1Server2VM遷移自動防護模型H3C vSwitchVM3VM2VM1Server1VM1遷移到新的位置VM1到VM2方向報文重定向到vFW的策略VM2/3到VM1方向報文重定向到vFW的策略VM1的相關策略遷移到新的vFW124當虛擬機遷移，VM引流策略及防火墻安全策略自動遷移到新主機vFW中，確保VM安全防護不因遷移而 發生變化5遷移后的VM1到VM2的雙向報文路徑VM1對應端口上的重定向流表遷移【VM1-VM2,VM1-VM3】3VM2/3 對應的重定向流表遷移VM325典型應用：vFW與vLB配合組網模型vLB對租戶內服務器流量實現負載均衡；vLB基于Comware V7平臺；vLB提供開放的NetConf API；支持與vFW在同一臺物理服務器部署；VM1VM2VM3Hypervisor (VMM)Hardware PhysicalVM4VM5VM6Hypervisor (VMM)Hardware PhysicalServer 1置，適用于各種組網Server 2Hypervisor Hardware Physical為數據中心