打造私有雲安全 太一星晨新一代融合安全網關獨闢蹊徑

2025-05-16 11:13:08

　　隨著虛擬化、雲計算等新興IT技術的廣泛應用，越來越多基於虛擬化、雲計算技術的雲數據中心為提高企業資源利用率、降低運營成本提供了切實有效的幫助。但是，伴隨著雲數據中心大二層的部署、虛擬機遷移等問題，傳統安全產品在雲計算環境中的部署成為需要解決的問題。

　　新技術的應用，總是伴隨著新的安全挑戰

　　? 安全設備與OpenStack等雲管理平臺的配置問題

　　1. Openstack所包含的防火牆即服務定義，是基於IP Tables的軟體防火牆，其性能、功能、可靠性、可維護性等均存在不足;

　　2. OpenStack對數據安全的定義並不完整，這就意味著傳統網絡安全設備無法通過OpenStack來進行配置和管理。

　　? 傳統網絡設備與Vxlan、SDN等網絡通訊問題

　　雲數據中心虛擬化、多租戶的要求，使的Vxlan等二層網絡技術大行其道，而SDN技術更是對傳統網絡安全產品在雲環境下的部署，提出了嚴峻挑戰。

　　一方面是Openstack雲環境中對各種安全的迫切需求，另一方面是傳統安全設備「望雲卻步」。

　　傳統網絡將逐漸退隱江湖，虛擬云何以為繼?

　　為了在迅猛發展的新業務環境中破解各種安全挑戰，太一星晨於近期推出了MSG多業務融合安全網關。它創新性的採用更適合處理七層業務的X86板卡，使其更適用於傳統大中型網絡邊界、雲數據中心、SDN及其他新業務環境。

　　T-Force MSG多業務融合安全網關現了多種安全網元的資源提供、聚合管理、統一調度及統一監控。tAPI則通過與雲計算中心其他核心組件的有機互動，實現了整個雲平臺的自動化管理、統一配置和統一監控。

　　雲數據中心防火牆解決方案

　　當只需要防火牆需求時：

　　太一星晨的防火牆方案可直接在OpenStack的標準環境中使用，替換雲數據中心原有的防火牆功能。太一星晨的T-Force MSG多業務融合安全網關統一實現了OpenStack定義的vRouter和FWaas功能。

　　通過T-Force MSG多業務融合安全網關的防火牆功能實現對用戶網絡互通，同時實現豐富的防火牆特性。租戶可以對自己的虛擬防火牆進行業務管理，在T-Force MSG上創建的虛擬防火牆並支持對NAT、訪問控制、拒絕服務攻擊防護、會話限制等網絡安全特性。

　　雲數據中心安全資源池解決方案

　　太一星晨MSG多業務融合安全網關融合虛擬化技術、自定義服務鏈以及通過對OpenStack平臺的驅動增強擴展，可以滿足雲數據中心更豐富的安全需求。

　　? 基於Hypervisor虛擬化的部署模式

　　基於hypervisor虛擬化的部署模式，任意安全產品只要支持KVM虛擬化，都可以以虛擬網元的形式運行在太一星晨的MSG中，實現各種網元模塊資源靈活擴展。

　　? 基於自定義服務鏈的部署模式

　　在T-Force MSG多業務融合安全網關中，管理員可以通過指定服務鏈的策略和編排，使流量通過MSG背板的高性能交換矩陣來實現流量的精細化分流，極大的提升了整個業務鏈的處理效率，精確度和可靠性。

　　MSG智能業務鏈編排

　　? 增強的OpenStack安全驅動擴展

　　OpenStack只定義了FWaaS Driver，其他網絡安全產品無法通過雲管理平臺管理。太一星晨MSG平臺上，通過增強對FWaaS Driver的擴展，完成對其他安全產品的定製化需求，而IPS和WAF等安全資源也將作為FWaaS的增強特性實現

　　? 與雲平臺網絡側的部署

　　在SDN模式下，太一星晨MSG以TRUNK模式與VXLAN網關相連，並通過VXLAN網關連接到核心交換上。

　　方案優勢

　　太一星晨MSG多業務融合網關產品融合NGFW、WAF、IPS等專業網元，實現了雲數據中心業務安全、快速的交付。

　　與其他方案相比，該方案優勢在於：

　　? 解決了雲數據中心四~七層安全產品的部署問題，實現與OpenStack、SDN的配置與通訊;

　　? 基於hypervisor虛擬化的部署模式，實現各種安全業務模塊資源靈活擴展，開放性的將友商的安全產品融入雲數據中心解決方案，給用戶更靈活的選擇;

　　? 採用分布式架構，通過板卡擴展模式，實現整機性能靈活擴展;

　　? Intel x86處理器，實現四~七層業務的高性能處理;

　　? 通過對虛擬網元的監控、自定義服務鏈的編排，確保當網元異常時，可自動繞過或切換到備份網元，確保業務的連續性。