Sophos虚拟化安全解决方案.ppt

Sophos 的虚拟化解决方案 UTM模块化结构 --- Subscription 硬件平台 操作系统 应用模块 安全网关的灵活部署 第一款通过了VMware认证的UTM设备 传统的SME网络结构 独立的服务器 如：Web、邮件、OA、数据库 独立的网络安全设备 如：防火墙、垃圾邮件过滤器、IPS、Web过滤器等 常见的虚拟化应用 将应用系统进行虚拟化 对多种应用系统进行整合 优势 节省硬件资源 提升硬件资源的利用率 拓扑的改变非常容易 容灾 快速系统恢复 传统的应用虚拟化中安全网关的部署 虚拟化平台 容纳各种应用系统 没有网络安全系统 传统的安全网关部署 不够灵活 没有针对性 性能问题 不算完整的虚拟化方案 将网络安全设备虚拟化 进一步使用 UTM实现网络安全设备的虚拟化 运营商的增值服务业务 —— UTM in Cloud (1) 增强用户的Internet接入安全 提供给高端客户，加强用户Internet接入安全 专业级防火墙保护 提供移动VPN服务 网页防病毒 URL分类过滤 聊天软件控制 P2P应用的使用 …… 提升运营商在Internet接入领域的最佳性价比 业务的适用对象 IDC机房托管用户 在IDC租用机柜空间的小型用户 专线租用企业用户 小于10Mbps的企业用户 ADSL企业用户 小于2Mbps的ADSL接入企业用户 运营模式 CPE模式 运营商提供物理安全设备给用户，并负责管理 网络模式 运营商提供虚拟安全设备给用户，并负责管理 安全云 Internet 路由器 （运营商提供） 可管理的CPE 模式 安全网关 (运营商管理) 安全网关 (运营商管理) CPE 模式 Internet 安全网关 (用户自己管理) 安全网关 (运营商管理) CPE模式 优势 投入简单 无维护压力 劣势 使用的好坏依用户情况而定 体现不出更多的增值服务 最简单的CPE模式 运营商提供线路的同时，提供安全设备，用户自己管理 CPE 模式 Internet 安全网关 (用户自己管理) 适合ADSL接入企业和专线租用企业 CPE模式 优势 投入简单 对现有核心网络无需改动 劣势 硬件投入不断增加 故障率提高 增加了现场维护量 人海战术 带管理的CPE模式 运营商提供线路的同时，提供安全设备，并由运营商管理 可管理的CPE 模式 安全网关 (运营商管理) 安全网关 (运营商管理) 适合ADSL接入企业和专线租用企业 网络模式 优势 伴随用户的增加降低投入成本 节省维护成本 没有现场维护 硬件投入相对固定 劣势 对接入核心网络进行适度调整 需要增加IDC设备空间 可管理的网络模式 运营商提供线路的同时，提供虚拟安全云服务，由运营商管理 安全云 Internet 路由器 （运营商提供） 安全网关 (运营商管理) 适合ADSL接入企业、专线租用企业、IDC机房 推荐业务所采用的运行模式 网络模式 集中管理 按需接入 UTM虚拟安全系统 网络模式的技术实现 采用虚拟化平台，为用户提供虚拟化安全系统 用户拥有自己的独立虚拟化安全系统 可实现自行管理或委托管理 利用运营商的网络条件，对购买安全增值业务的用户用户，通过路由转发的方式将通讯流转发到虚拟安全系统 不大规模修改运营商的网络结构 具备容灾条件 网络模式与CPE模式的对比 网络模式 CPE模式 技术分析 可靠性 高 可利用HA技术实现热备份 低 每台CPE设备都是单点故障 可管理性 高 可提供集中管理，无现场维护成本 低 必须提供现场维护 可扩展性 高 随时扩充系统性能 低 用户对性能的要求使得投入的硬件设备无法满足 服务响应速度 快 网络化服务，备用系统等多种手段提高应急处理时效 慢 现场受到区域、人员等条件限制 投资分析 运营成本 低 伴随用户数量的增加，硬件成本得到均摊，单位用户维护成本降低 高 伴随用户数量的增加，设备与人员成本投入不断增加 初期投入 高 低 总体成本 低 高 业务可以提供的服务内容 对ADSL/专线用户 基本的防火墙服务 网页病毒扫描服务 URL过滤服务 应用控制服务 垃圾邮件过滤服务 流量控制服务 VPN组网服务 移动VPN接入服务 安全事件报告服务 …… 对IDC用户 基本的防火墙服务 Web防火墙服务 IPS服务 垃圾邮件过滤服务 移动VPN接入服务 安全事件报告服务 …… 对ADSL/专线用户的业务资费 业务包1 业务包2 业务包3 业务包4 业务包5 业务包6 业务包7 业务包8 基本防火墙 ★ ★ ★ ★ ★ ★ ★ ★ VPN服务 ★ ★ ★ 网页防病毒 ★ ★ ★ ★ 垃圾邮件过滤 ★ ★ 应用控制 ★ ★ ★ ★ 安全事件报告 ★ ★ ★ ★ ★ ★ ★ ★ 月收费标准 375 540 700 630 700 800 900 1050 应急响应 Op