| 產(chǎn)品簡介

網(wǎng)御云安全管理平臺實現(xiàn)對安全能力的虛擬化、自動化部署、彈性擴(kuò)展、服務(wù)編排等功能，適配云和虛擬化環(huán)境，對云上業(yè)務(wù)進(jìn)行安全防護(hù)、安全檢測、安全管理。云安全管理平臺提供統(tǒng)一的門戶和運(yùn)維界面，具體包括監(jiān)控管理、編排管理、市場管理、授權(quán)管理、日志管理、資源管理、訂單管理、用戶管理。安全資源池承載各類虛擬化安全網(wǎng)元，并根據(jù)各類安全網(wǎng)元的工作原理，劃分為防護(hù)資源池、檢測資源池、管理資源池、硬件資源池。

網(wǎng)御云安全管理平臺分為企業(yè)模式和運(yùn)營模式兩種工作模式，運(yùn)營模式面向運(yùn)營服務(wù)而設(shè)計，主要實現(xiàn)系統(tǒng)管理與租戶管理這兩類管理職能的區(qū)分和職責(zé)明確，系統(tǒng)管理實現(xiàn)對安全資源池的集中統(tǒng)一管理，而租戶管理主要實現(xiàn)對每個租住自己所訂購的那部分安全資源的管理（租戶資源池是整個資源池的一個組成部分，整個資源池由多個租戶資源池構(gòu)成）。同時運(yùn)營中心在設(shè)計上體現(xiàn)三權(quán)分立原則，系統(tǒng)管理和租戶管理兩大職能都細(xì)分為系統(tǒng)管理員、審計管理員、安全管理員，實現(xiàn)三權(quán)分立、相互監(jiān)督。

| 核心功能

網(wǎng)御云安全管理平臺的功能框架如上圖所示，主要包括以下核心功能：

安全資源管理：

云安全管理平臺通過各類安全資源池：串行防護(hù)資源池、旁路檢測資源池、服務(wù)管理資源池、硬件資源池，集成各類安全資源，并通過安全服務(wù)編排，使池化的安全資源能夠全面適配云和虛擬化環(huán)境。

安全服務(wù)編排： 

安全資源池可實現(xiàn)安全服務(wù)鏈編排，使得網(wǎng)絡(luò)流量在安全資源中流轉(zhuǎn)時，根據(jù)業(yè)務(wù)類型、防護(hù)級別等要求，按需經(jīng)過各類安全服務(wù)節(jié)點，這些安全服務(wù)節(jié)點包括防火墻、WAF、入侵檢測、負(fù)載均衡等。安全服務(wù)編排綜合利用SDN、NFV、服務(wù)鏈SFC、大二層等技術(shù)，實現(xiàn)邏輯拓?fù)渑c物理拓?fù)浣怦?，安全設(shè)備的網(wǎng)絡(luò)部署不再依賴于具體的物理網(wǎng)絡(luò)結(jié)構(gòu)，而是軟件可定義和編排的，使安全能力的部署和調(diào)整擴(kuò)容更加靈活。具體包括流量牽引和服務(wù)編排兩個動作。

流量牽引需要掌握或同步租戶業(yè)務(wù)的網(wǎng)絡(luò)、子網(wǎng)信息，并劃分和定義安全域，包括業(yè)務(wù)流量的起始域和目標(biāo)域，進(jìn)而對源和目的之間的業(yè)務(wù)流量進(jìn)行牽引，進(jìn)入服務(wù)鏈區(qū)域。

服務(wù)編排對需要進(jìn)行防護(hù)的流量進(jìn)行識別、分類、標(biāo)識（服務(wù)路徑ID、業(yè)務(wù)ID），進(jìn)而根據(jù)標(biāo)識將業(yè)務(wù)流量送入不同的安全服務(wù)鏈、控制業(yè)務(wù)流量經(jīng)過安全網(wǎng)元的先后順序，對業(yè)務(wù)流量進(jìn)行所需的清洗防護(hù)功能。

| 產(chǎn)品優(yōu)勢

開放、獨立、友好

平臺開放，支持兼容第三方產(chǎn)品，獨立運(yùn)營，獨立管理

企業(yè)級安全市場

整合公司所有產(chǎn)品，部署所有鏡像于安全市場，按需部署

一鍵交付

所有產(chǎn)品一鍵部署，用戶直接規(guī)劃、部署和使用安全能力

適合運(yùn)營

云安全管理平臺與云平臺之間松耦合、異構(gòu)、獨立運(yùn)營，可發(fā)揮對私有云服務(wù)商監(jiān)管職能

高性能

采用DPDK等技術(shù)對虛擬化性能進(jìn)行優(yōu)化，實現(xiàn)接近物理硬件的性能

高可靠服務(wù)鏈

具有安全網(wǎng)元健康狀態(tài)監(jiān)測機(jī)制

基于網(wǎng)元健康狀態(tài)監(jiān)測機(jī)制，當(dāng)檢測到網(wǎng)元失效時，可以實現(xiàn)服務(wù)鏈HA，即將需清洗流量從主鏈整體切換至備鏈進(jìn)行防護(hù)（當(dāng)啟用服務(wù)鏈HA時，就創(chuàng)建了和主鏈具有相同安全網(wǎng)元和處理順序的備用服務(wù)鏈）

當(dāng)主備鏈同時有網(wǎng)元失效時，可以執(zhí)行服務(wù)鏈級別的Bypass，流量不經(jīng)過服務(wù)鏈，直接回注到租戶業(yè)務(wù)網(wǎng)內(nèi)，同時服務(wù)鏈Bypass即流量環(huán)回不經(jīng)安全網(wǎng)元機(jī)制，可以作為故障排除手段，排除安全網(wǎng)元和安全資源池一側(cè)的故障嫌疑

當(dāng)用戶只訂購單服務(wù)鏈時，可提供單節(jié)點Bypass，即當(dāng)服務(wù)鏈上某個網(wǎng)元失效時，剩余網(wǎng)元仍可組成服務(wù)鏈進(jìn)行防護(hù)

易適配

開源openstack架構(gòu)，可適配各種云平臺；開放API，方便互聯(lián)；控制端微服務(wù)架構(gòu)，易適配云平臺環(huán)境

通用

純軟件版本，可適配用戶通用X86硬件環(huán)境

| 典型應(yīng)用

政府、醫(yī)療、教育、金融、企業(yè)等行業(yè)的云等保合規(guī)場景

通過在資源池內(nèi)部署防護(hù)類、檢測類、服務(wù)管理類安全網(wǎng)元，滿足等保合規(guī)需求

數(shù)據(jù)安全防護(hù)場景

通過在資源池內(nèi)部署敏感信息防護(hù)的各類安全能力，包括權(quán)限管理、加密、防泄漏、脫敏、審計等各類安全能力，形成數(shù)據(jù)安全防護(hù)整體解決方案

城域網(wǎng)IDC機(jī)房專線用戶出口防護(hù)場景

在資源池內(nèi)，按租戶部署各類安全防護(hù)能力，對托管在運(yùn)營商城域網(wǎng)IDC機(jī)房內(nèi)的各類政企用戶、城域網(wǎng)專線用戶進(jìn)行出口流量的安全防護(hù)和檢測，實現(xiàn)安全增值服務(wù)。