服務器東西向訪問控制（物(wù)理(lǐ)機、虛拟機、Windows、Linux）

2024-02-27

業内東西向訪問控制的(de)解決方案：

1.     使用(yòng)SDN技術，虛拟化(huà)内部的(de)轉發流量不再遵循網絡規則，虛拟機連接的(de)虛拟交換機也(yě)變成廠商專有的(de)SDN交換機，該交換機的(de)轉發方式可(kě)以認爲是策略式(基于openflow轉發流表)。

 該方案的(de)總體成本偏高(gāo)，IT維護難度更高(gāo)，不同SDN廠商軟件成熟度不一樣。适合于中大(dà)型數據中心建設場(chǎng)景。

2.     安全軟件産品技術，該方案針對(duì)每台虛拟機、物(wù)理(lǐ)機都需要安裝Agent，通(tōng)過該Agent可(kě)以實現如下(xià)功能：

1)    主機間的(de)訪問控制，允許、拒絕、僅放行某個(gè)或多(duō)個(gè)端口、允許某類協議(yì)。

2)    虛拟補丁防護，對(duì)于Linux、Windows一些高(gāo)危補丁能夠實現免安裝即可(kě)防護，通(tōng)過将針對(duì)特定漏洞的(de)數據特征策略下(xià)發到Agent，由Agent實現漏洞防護，而操作系統層無需打補丁，Linux系統也(yě)無需更新軟件。通(tōng)過統一的(de)管理(lǐ)平台即可(kě)實現全網主機的(de)安全防護策略下(xià)發。

3)    防病毒、防勒索，通(tōng)過惡意軟件特征庫實時(shí)更新，對(duì)于系統層運行的(de)軟件動作行爲分(fēn)析、軟件特征分(fēn)析，判定其行爲危險性，并做(zuò)防護隔離措施。

4)    适應性強，對(duì)于絕大(dà)多(duō)數的(de)虛拟化(huà)環境（VMware、KVM、openstack等）虛拟化(huà)、私有雲有不錯的(de)兼容性。

亞信安全Deep Security安全防護方案：

(一)            支持虛拟化(huà)、非虛拟化(huà)場(chǎng)景：

(二)            豐富的(de)客戶端系統支持：

不區(qū)分(fēn)server版本、Client版本

(三)            基于主機級策略、群組級策略集中下(xià)發：

策略分(fēn)級，下(xià)級策略默認集成父策略内容，也(yě)可(kě)對(duì)子策略内容進行精細調整：

對(duì)于分(fēn)配了(le)策略的(de)主機，仍可(kě)對(duì)其具體策略做(zuò)修改，實現差異化(huà)的(de)安全防護

(四)            安全策略、虛拟補丁(Windows、Linux、應用(yòng)漏洞等)：

内置豐富的(de)防火牆策略、支持自定義安全策略。

（Windows、Linux）系統漏洞、應用(yòng)漏洞（中間件、數據庫）等等….根據服務器業務不同下(xià)發不同的(de)防護策略。即時(shí)實現防護

(五)   系統日志防護、完整性監控：

對(duì)于已被入侵或者惡意修改的(de)服務器，且被清理(lǐ)過日志的(de)操作系統，進行日志還(hái)原審查，能夠清晰地還(hái)原操作系統被入侵的(de)細節。