AF_方案彩页_深信服下一代防火墙一虚多解决方案V1.0.docxVIP

深信服下一代防火墙一虚多解决方案 背景与需求分析 随着计算机技术和网络技术的普及，网络安全问题也越来越得到关注。防火墙作为出现最早，发展最成熟的安全设备，已成为安全部署的首要选择。作为维护网络安全的关键设备，防火墙的主要目的就是在信任网络（区域）和非信任网络（区域）之间建立一道屏障，实施相应的安全策略，防火墙是一种非常有效的网络安全手段。 对于大部分客户来说，其内部网络或数据中心往往承载着多种多样的业务系统，并且这些业务系统随时都有变化的可能，因此需要采用灵活的安全防护手段。尤其是对于数据中心服务租赁方来说，为了解决多样化的安全防护需求，过去往往部署多台防火墙，提供针对性的隔离保护和个性化的安全防护策略，满足客户自主安全运维的需求。但这种方案在资源利用率、部署效率、运营成本等方面具有明显的不足，比如部署多台独立防火墙会导致拥有和维护成本较高，多个独立放置的防火墙将占用较多的机房空间，并且增加了网络管理的复杂度。 深信服下一代防火墙一虚多解决方案 为了解决上述问题，虚拟防火墙技术也应运而生。虚拟防火墙可以在一个单一的硬件平台上提供多个虚拟的防火墙实例，每个虚拟实例都具备独立管理、独立配置、独立安全策略、独立路由表等功能，是逻辑意义上完全独立的安全设备。 深信服下一代防火墙具备领先的虚拟防火墙技术，是真正意义上的防火墙虚拟化，它可以在一台物理设备上虚拟出多台逻辑分离的虚拟设备，每一个虚拟设备都具备单独的操作系统，可以实现独立的数据转发、内容检测和管理配置，在用户端看来就是一台完全独立的防火墙设备，拥有和物理防火墙一样全面的安全防护功能。 深信服下一代防火墙虚拟化实现对物理主机资源的抽象，将CPU、内存、I/O等服务器物理资源转化为一组可统一管理、调度和分配的逻辑资源，并基于这些逻辑资源在单个物理防火墙主机上构建多个同时运行、相互隔离的虚拟防火墙运行环境，实现更低的运营成本、更高的资源利用率和更加灵活的资源动态分配需求。深信服一虚多防火墙主要特点如下： 支持路由、NAT、应用控制、IPS、WAF、PVS、流控、僵尸网络检测、数据中心等功能 可基于业务划分需要，快速创建、删除、启动、停止单独的vNGAF 支持对每个vNGAF分配CPU、内存、网卡等资源 支持对每个vNGAF配置新建、并发等性能资源 支持为每个vNGAF配置管理员密码与管理IP 各个vNGAF的安全策略互不影响 支持HOST机的VLAN划分 深信服下一代防火墙一虚多部署模型 如图所示，通过深信服下一代防火墙一虚多技术，在不增加设备数量和不改变网络结构的情况下，给每一个租户或数据中心内部业务系统分配单独安全设备，实现更安全、更个性化、更有针对性的安全解决方案，并且大大降低采购运维成本，减少机房占用面积和运维难度。 同时，每一个虚拟下一代防火墙都具有和物理设备一样全面的安全功能，提供基于深度内容解析的更精细的应用层安全控制和更全面的内容级安全防护，实现真正意义的二到七层的双向安全防护，让您的业务安全不留死角。 此外，深信服还提供了集中监管平台SC和外置数据中心。SC平台可以对所有下一代防火墙（包括虚拟化设备）集中管理，在SC平台上可以实时查看各个设备的系统状态信息，包括cpu、内存、磁盘使用信息、内置库版本信息等，并能进行安全策略统一管理下发和软件规则库自动升级管理。深信服外置数据中心可以集中收集这些设备的的日志信息，并支持进一步的审计归并、分类查询和事件提取，便于运维人员快速发现安全问题。 深信服方案价值 一虚多方案极大的减少了拥有成本、机房空间、运维消耗和部署复杂性； 能够实时的对虚拟设备进行增加、删除、改动，灵活快速的适应网络改造和扩容需求； 虚拟出来的安全设备具备和物理设备一样的二到七层双向安全防护功能，使安全防护没有死角； 通过SC集中监管平台和外置数据中心，可以对全网安全设备进行集中运维和审计分析，提升运维效率。