精编 虚拟化安全管理系统(轻代理)V7

申明敬告: 本站不保证该用户上传的文档完整性,不预览、不比对内容而直接下载产生的反悔问题本站不予受理。

文档介绍

精编 虚拟化安全管理系统(轻代理)V7

‎ 虚拟化安全管理系统(轻代理)V7.0_技术白皮书_20200330‎ ‎ 虚拟化安全管理系统V7.0(轻代理) 技术白皮书 地址:北京市西城区西直门外南路26号院1号 邮编:100044 l 版权声明 本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容,除另有特别注明,版权均为奇安信集团(指包括但不限于奇安信科技集团股份有限公司、网神信息技术(北京)股份有限公司、北京网康科技有限公司)所有,受到有关产权及版权法保护。任何个人、机构未经奇安信集团的书面授权许可,不得以任何方式复制或引用本文的任何片段。 ‎ ‎ 虚拟化安全管理系统(轻代理)V7.0_技术白皮书_20200330‎ ‎ 虚拟化安全管理系统V7.0(轻代理) 技术白皮书 地址:北京市西城区西直门外南路26号院1号 邮编:100044 l 版权声明 本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容,除另有特别注明,版权均为奇安信集团(指包括但不限于奇安信科技集团股份有限公司、网神信息技术(北京)股份有限公司、北京网康科技有限公司)所有,受到有关产权及版权法保护。任何个人、机构未经奇安信集团的书面授权许可,不得以任何方式复制或引用本文的任何片段。 ‎ ‎ 修订记录 修订日期 修订内容 修订人 20XX.11.08 新建 云安全公司 ‎ ‎ 目 录 1. 引言 5 2. 产品综述 6 2.1. 产品设计目标/产品价值 6 2.1.1. 产品设计目标 6 2.1.2. 产品价值 6 2.2. 产品原理介绍 7 2.3. 产品的组成和架构 7 2.4. 产品模块间数据流程描述 8 2.5. 产品组件规格说明 8 3. 功能模块详述 10 3.1. 防病毒模块 10 3.1.1. 防病毒模块设计目标/产品价值 10 3.1.2. 防病毒模块特点与优势说明 10 3.1.3. 防病毒模块详细功能介绍 10 3.2. Webshell扫描模块 11 3.2.1. Webshell扫描模块设计说明 11 3.2.2. Webshell扫描模块特点与优势说明 11 3.2.3. Webshell扫描模块功能详述 11 3.3. 安全基线模块 11 3.3.1. 安全基线模块设计说明 11 3.3.2. 安全基线模块特点与优势说明 12 3.3.3. 安全基线模块功能详述 12 3.4. 防暴力破解模块 12 3.4.1. 防暴力破解模块设计说明 12 3.4.2. 防暴力破解模块特点与优势说明 12 3.4.3. 防暴力破解模块功能详述 12 3.5. 防火墙/入侵防御模块 13 3.5.1. 防火墙/入侵防御模块设计说明 13 3.5.2. 防火墙/入侵防御模块性能说明 13 3.5.3. 防火墙/入侵防御模块特点与优势说明 14 3.5.4. 防火墙/入侵防御模块功能详述 14 3.6. 虚拟化加固模块 15 3.6.1. 虚拟化加固模块设计说明 15 3.6.2. 虚拟化加固模块特点与优势说明 15 3.6.3. 虚拟化加固模块功能详述 15 3.7. 网卡流量统计模块 15 3.7.1. 网卡流量统计模块设计说明 15 3.7.2. 网卡流量统计模块特点与优势说明 15 3.7.3. 网卡流量统计模块功能详述 15 4. 实施部署说明 17 4.1. 虚拟化环境部署 17 4.1.1. 部署说明 17 4.1.2. 所需设备说明 17 4.1.3. 所需通讯资源说明 18 4.1.4. 实施拓扑图 19 4.2. 混合虚拟化环境 20 4.2.1. 部署说明 20 4.2.2. 所需设备说明 20 4.2.3. 所需通信资源说明 21 4.3. 物理服务器环境部署 22 4.3.1. 部署说明 22 4.3.2. 所需设备说明 22 4.3.3. 所需通信资源说明 22 4.4. 物理服务器环境和虚拟化环境混合部署 23 4.4.1. 部署说明 23 4.4.2. 所需设备说明 24 4.4.3. 所需通讯资源说明 24 ‎ ‎ 1. 引言 随着我国信息化进程的不断发展,云计算等技术迅速兴起,已在深刻改变传统的 IT 基础设施、应用、数据以及 IT 运营管理。同时,新的技术出现也在考验原有安全防护体系。首先,作为新技术,云计算引入了新的威胁和风险,进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维管理体系,如网络与信息系统的安全边界的划分和防护、安全控制措施选择和部署、安全监测和安全运维等许多方面。其次,云计算的资源弹性、按需调配、高可靠性及资源集中化等都间接增强或有利于安全防护,同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带来了信息机遇,也推进了安全服务内容、实现机制和交付方式的创新和发展。虚拟化作为云计算的支撑技术,虚拟化的安全便是云计算安全的核心因素,随着虚拟化的逐渐普及,虚拟化及云计算面临的安全问题也越来越多,主要有以下几方面: 多虚拟化平台安全无法统一管理:由于虚拟化建设过程中思路不尽相同,这使得企业最终的虚拟化环境错综复杂:物理服务器与虚拟服务器共存、多种虚拟化平台、多种虚拟操作系统、多种系统应用。在安全统一管理的要求下,这需要虚拟化安全管理系统在这种复杂情况下具备较高的兼容能力,对复杂环境进行统一管理,了解全网安全态势,从而进行针对性的规划与策略配置。 主机的木马、病毒、后门文件的风险:第一,传统防病毒安全软件依靠已知病毒特征样本对所有文件进行详细的扫描与分析,准确率依赖于病毒样本库的覆盖面和规模,并且占用过多的物理机CPU、内存,效果差强人意。第二,对于APT攻击束手无策。APT很多攻击行为都会利用0day漏洞进行网络渗透和攻击,且具有持续性及隐蔽性。第三,传统杀毒软件不支持对于网站后门文件的扫描,无法对其进行防范。 ‎ ‎ 此外,虚拟化数据中心还面临扫描风暴、杀毒风暴、升级风暴等问题。奇安信集团从虚拟化底层的安全性出发,通过对虚拟化数据中心的特殊性研究,研发了虚拟化安全管理系统,旨在保证企业业务系统的连续性与稳定性。 2. 产品综述 2.1. 产品设计目标/产品价值 虚拟化安全管理系统旨在解决企业虚拟化环境下的安全问题,提供对宿主机、虚拟机、虚拟机应用的三层防护能力,采用低耗的技术架构,全面兼容企业物理和虚拟环境,保障企业业务系统的稳定性和连续性,为用户提供一套可跨多种虚拟化平台、具备强大防护能力的虚拟化安全解决方案。 2.1.1. 产品设计目标 2.1.1.1. 解决病毒、木马的问题 随着黑客攻击手段的不断进化,新兴病毒样本成指数倍增长,传统杀毒引擎已疲于应对。虚拟化安全管理系统集成了奇安信集团强大的杀毒模块,拥有启发引擎、脚本引擎、云查杀引擎等多种引擎,可对各种新兴变种病毒进行有效查杀与隔离。 2.1.1.2. 解决多平台安全统一管理问题 企业数据中心环境错综复杂:多种虚拟化平台,多种虚拟机操作系统,物理、虚拟服务器共存,这要求安全软件具备极强的适应性、扩展性、稳定性。虚拟化安全管理系统具有强大的环境兼容能力,可支持各种虚拟化平台以及虚拟机操作系统,并且可以对物理服务器、虚拟服务器进行统一的安全管理。 ‎ ‎ 2.1.2. 产品价值 2.1.2.1. APT攻击防护 虚拟化安全管理系统启发引擎是基于特征扫描技术的升级,在原有的特征值识别技术基础上,将反病毒样本分析专家总结的可疑程序样本经验移植到反病毒程序中,根据反编译后的程序所调用的win32函数情况来判断程序是否为病毒、恶意软件,以达到防御未知病毒、恶意软件、变形木马的目的。 2.1.2.2. 全网态势监控 虚拟化安全管理系统是一款针对于云数据中心的虚拟化安全管理系统,可对物理资源池、虚拟资源池、云资源池进行统一的安全防护与集中管理,对宿主机、虚拟机、虚拟机应用提供三层防护安全架构,具备对混合虚拟化平台、混合操作系统、混合系统应用环境的兼容防护能力。由于系统具有极好的兼容特性,面对复杂的企业环境,运维人员所有的操作只需要在管理控制中心上进行,时刻了解全网安全态势。 2.1.2.3. 策略漂移绑定 在虚拟化资源池中由于虚拟机资源的弹性可变,因此经常发生由于资源枯竭等原因导致的虚拟机从不同的安全域之间反复漂移的情况。轻代理根植于虚拟机本身,安全策略和虚拟机无缝结合,无论虚拟机漂移至虚拟化资源池中的任何宿主机均可保证虚拟机防护策略稳定有效。 ‎ ‎ 2.2. 产品原理介绍 虚拟化安全管理系统将安全防护功能实现在安全轻代理,安全轻代理安装在需要安全防护的主机上,并通过与控制中心之间的网络通讯实现统一管理。控制中心还可以调用虚拟化平台的API将客户的虚拟化结构导入虚拟化安全管理系统之中,保持与虚拟化平台的结构统一。 2.3. 产品的组成和架构 虚拟化安全管理系统,由控制中心和轻代理两部分构成。 控制中心 控制中心是虚拟化安全的管理台,部署在虚拟服务器或物理服务器,采用B/S架构,可以随时随地通过浏览器打开访问。 主要负责主机分组管理、策略制定下发、统一扫描、升级以及各种报表查询等。 轻代理 部署在需要被保护的主机上,执行最终的杀毒扫描、升级等操作,并向安全控制中心发送相应的安全数据。 2.4. 产品模块间数据流程描述 虚拟化安全管理系统分为两大模块:控制中心、轻代理。模块间通讯流程图如下: 模块间通讯流程 控制中心是虚拟化安全管理系统的管理中心,对轻代理集中管理,可进行策略下发、功能开启/关闭、升级包/病毒库推送等动作。轻代理是主机防护模块,执行防护操作,对控制中心上报日志或任务结果。 ‎ ‎ 轻代理的升级分为主程序升级、病毒库升级和webshell引擎升级。其中,主程序、病毒库、webshell引擎升级时,需连接至控制中心。控制中心会定期从奇安信云端服务器或者其他上级控制中心获取升级数据。 2.5. 产品组件规格说明 虚拟化安全管理系统支持的虚拟化平台列表如下: 支持的虚拟化平台 VMware vCenter Citrix XenServer H3C CAS Hyper-V Huawei FusionSphere 东方通虚拟化 各组件建议配置要求: 组件 支持操作系统 CPU 内存 磁盘 管理控制中心 CentOS 6.8 64bit 4CORE 16G >500G 轻代理 Windows Server 2003 32bit Windows Server 2003 64bit Windows Server 2008 32bit Windows Server 2008 64bit Windows Server 2008 r2 64bit Windows Server 2012 64bit Windows Server 2012 R2 64bit CentOS 5 64bit CentOS 6 64bit CentOS 7 64bit Redhat 5 64bit Redhat 6 64bit Redhat 7 64bit Ubuntu 10 64bit Ubuntu 12 64bit Ubuntu 14 64bit SuSE 9 64bit SuSE 10 64bit SuSE 11 64bit Debian 9 64bit Oracle Linux 6 64bit Asianux 3 64bit Asianux 4 64bit Deepin 15.1 64bit NeoKylin 6.7 64bit NeoKylin 7.0 64bit 1CORE 1G >20G 具体内容,请参照《安装环境要求手册》。 ‎ ‎3. 功能模块详述 3.1. 防病毒模块 3.1.1. 防病毒模块设计目标/产品价值 随着黑客攻击手段的不断进化,新兴病毒样本成指数倍增长,传统杀毒引擎已疲于应对。虚拟化安全管理系统集成了奇安信强大的杀毒模块,拥有启发引擎、脚本引擎、云查杀引擎等多种引擎,可对各种新兴变种病毒进行有效查杀与隔离。 虚拟化系统防病毒组件,通过在主机机器上安装一个主机安全代理软件,有效查杀主机上的文件、内存、进程中的恶意程序。 管理员可以通过控制中心对主机进行统一的病毒查杀管理,制定定时查杀任务,辅以我们的主动防护引擎和文件监控模块,确保虚拟化的网络安全。 3.1.2. 防病毒模块特点与优势说明 本产品站在特殊而复杂的企业内网环境的角度,以奇安信积累多年的奇安信杀毒技术为核心,辅以实时全面的日志上报分析能力,提供管理员对内网安全性一站式解决方案。 奇安信依靠多年在杀毒领域的技术积累,自主开发出了云查杀引擎、启发引擎、脚本引擎等杀毒引擎,各引擎在运行时可进行数据交互,对主机进行扫描结果缓存共享,在整个数据中心进行增量扫描从而提高扫描效率。 ‎ ‎ 3.1.3. 防病毒模块详细功能介绍 快速扫描:快速扫描系统目录、系统启动项、浏览器配置、系统登录和服务、文件和系统内存; 全盘扫描:扫描所有磁盘(当前所有挂载的)目录的文件; 强大查杀:自定义指定扫描引擎、扫描目录等进行更高效率的查杀扫描; 隔离区恢复:对主机隔离区指定时间段,指定文件路径或者文件名或者病毒文件进行恢复,恢复到原始路径。 主动防御:通过主动防御引擎实时监测系统变化,第一时间有效防护系统。 定时查杀:对主机进行定时扫描,降低管理员的工作量。 3.2. Webshell扫描模块 3.2.1. Webshell扫描模块设计说明 为更好的防护黑客攻击,降低运维成本,虚拟化安全管理系统集成了奇安信自研的webshell扫描引擎,可对各种网站后门文件进行扫描与隔离。 WebShell 引擎包含了40万以上的网站后门样本和大量的后门特征码,双重机制保证对于样本的有效检测与查杀。奇安信云端通过机器学习对WebShell引擎进行更新。 管理员可以通过控制中心对主机进行统一的webshell扫描,制定定时扫描任务。 3.2.2. Webshell扫描模块特点与优势说明 本产品站在特殊而复杂的企业虚拟化环境的角度,以奇安信积累多年的webshell技术为核心,辅以奇安信自研的webshell扫描引擎和实时全面的日志上报分析能力,通过强大样本库、特征库、机器学习引擎保证强大的检测查杀能力,提供管理员对虚拟化安全性一站式解决方案。 3.2.3. Webshell扫描模块功能详述 Webshell扫描:扫描主机WEB服务目录中的文件是否存在后门 。 ‎ ‎ Webshell隔离:将扫描结果中带有后门的文件隔离 Webshell删除:对主机隔离区中的指定文件进行删除。 Webshell加白:可以将扫描结果中的文件加白,也可将选定文件加白 3.3. 安全基线模块 3.3.1. 安全基线模块设计说明 在宿主机及云主机内扫描设定的检查项,对不合规项进行统计上报,同时系统给出相应的建议操作,保障云环境的安全合规。 3.3.2. 安全基线模块特点与优势说明 安全基线模块针对Linux和Windows操作系统制定不同的扫描项,对操作系统上不合理的系统配置,参数配置等进行全面安全基线扫描,给出综合分数,可以直观了解当前安全状态,并可以对扫描结果进行一键修复。 3.3.3. 安全基线模块功能详述 基线扫描:扫描系统的系统配置、参数、弱口令,得到系统相关内容的合规状态,并给出修复意见 系统加固:修复基线扫描出的问题 3.4. 防暴力破解模块 3.4.1. 防暴力破解模块设计说明 随着网络入侵事件的不断增加以及黑客攻击水平的不断提高,主机受到暴力破解的威胁越来越多。 针对这一背景,虚拟化安全管理系统推出防暴力破解功能,意在帮助客户第一时间防御主机受到的暴力破解行为,保护虚拟化环境中的主机安全。 ‎ ‎ 3.4.2. 防暴力破解模块特点与优势说明 用户可以灵活地自定义防护配置,有效防御远程桌面和SSH登录的暴力破解,保障主机的安全。 3.4.3. 防暴力破解模块功能详述 拦截暴力破解:对暴力破解行为进行检测,并对触发主机防暴力破解规则的行为进行拦截。 IP黑名单:自动拦截对添加至IP黑名单中的IP进行拦截。 IP白名单:对于添加至IP白名单中的IP直接放行。 3.5. 防火墙/入侵防御模块 3.5.1. 防火墙/入侵防御模块设计说明 随着网络入侵事件的不断增加以及黑客攻击水平的不断提高,一方面企业网络感染病毒、遭受攻击的次数日益增加,遭受攻击及时响应的时间越来越滞后。 针对这一背景,虚拟化安全管理系统推出入侵防御功能,意在帮助企业第一时间防御新型漏洞、病毒攻击,阻拦可疑的行为,保护企业网络免受攻击。 3.5.2. 防火墙/入侵防御模块性能说明 此部分性能说明,将按Windows和Linux两个方面进行说明。 此种情况下,客户端被安装在一个装有http服务的服务器中,打开网页等为从其它服务器访问此服务器的性能。 ‎ ‎ Linux服务器: 日常使用场景中资源消耗情况分析 CPU消耗 开启防火墙/入侵防御 未开启防火墙/入侵防御 下载大文件 13.04% 17.76% 打开网站 2.36% 2.02% 内存消耗 开启防火墙/入侵防御 未开启防火墙/入侵防御 下载大文件 71.60MB 54.83MB 打开网站 20.964MB 20.968MB 磁盘IO消耗 开启防火墙/入侵防御 未开启防火墙/入侵防御 下载大文件 103.84MB/s 104.86MB/s 打开网站 16 kB/s 5kB/s 网络IO消耗 开启防火墙/入侵防御 未开启防火墙/入侵防御 下载大文件 104.86MB/s 63.81MB/s 打开网站 183 kB/s 131 kB/s 说明:开启防火墙/入侵防御功能前后,CPU消耗仅有0.5%-3%的差异,内存消耗仅有1MB-7MB的差异,IO消耗仅有10KB/s-20KB /s的差异日常使用场景中可忽略影响。 对网络速度的影响 a) 从http服务器(172.22.26.12)下载文件的速度,文件大小2.5G url:http://172.22.26.12/XenApp_and_XenDesktop7_6.iso 未开启防火墙/入侵防御 开启防火墙/入侵防御 下载时间 57秒 59秒 下载速度 44.6 MB/s 44.0 MB/s b) 从文件共享服务器(172.22.131.40)拷贝文件到本地的速度 local: \\172.22.131.40\newa\pl\XenApp_and_XenDesktop7_6.iso   未开启防火墙/入侵防御 开启防火墙/入侵防御 下载时间 4分9秒 4分 下载速度 10.2 MB/s 10.5 MB/s 说明:开启防火墙/入侵防御功能前后,对系统网络的影响不大。 ‎ ‎ 3.5.3. 防火墙/入侵防御模块特点与优势说明 防火墙功能可以令用户基于协议,源IP,源端口,目的IP,目的端口等条件灵活自定义安全访问控制策略,实现零信任的安全防护。入侵防御功能通过DPI数据包检测技术,对进出服务器的网络流量进行鉴别,可以极大提高对漏洞攻击的防御以及可疑行为的拦截能力。 3.5.4. 防火墙/入侵防御模块功能详述 入侵攻击防御:针对不同分组设备创建不同的入侵防御模板,在不同模板中添加相应的防御规则; 主机防火墙:针对不同的安全要求设置防火墙的策略,保护主机免受网络攻击、端口扫描等; 3.6. 虚拟化加固模块 3.6.1. 虚拟化加固模块设计说明 随着虚拟化技术的普及,虚拟化逃逸成为一大类新的安全隐患。为了防范这类安全隐患的发生,虚拟化安全管理平台开发了虚拟化加固的功能,以解决此问题。 3.6.2. 虚拟化加固模块特点与优势说明 依靠奇安信强大的虚拟化漏洞挖掘能力,奇安信研发了虚拟化加固引擎,它通过海量样本特征和恶意行为分析引擎可以有效防护虚拟机逃逸、恶意破坏Hypervisor等行为,独家实现Hypervisor层的安全防护。 3.6.3. 虚拟化加固模块功能详述 虚拟化加固:可对指定主机进行虚拟化加固功能的一键开关操作。 虚拟化加固黑白名单:将可执行程序加入黑白名单中,加入黑名单的程序将被直接拦截,加入白名单的可执行程序直接被放行。 ‎ ‎ 3.7. 网卡流量统计模块 3.7.1. 网卡流量统计模块设计说明 在日常的管理工作中,管理员需要定期关注主机的流量变化,以便发现主机的异常问题,并进行及时处理。基于此类情况,虚拟化安全开发了网卡流量统计的功能,以方便管理员更便捷的进行主机流量的管理。 3.7.2. 网卡流量统计模块特点与优势说明 网卡流量统计模块可以使管理员在控制中心清楚直观地查看各个主机网卡的流量情况,实现各主机流量的统一管理查看,极大地减少运维成本。 ‎ ‎ 3.7.3. 网卡流量统计模块功能详述 网卡流量实时监控:对指定主机的监控功能进行批量开关; 主机流量趋势图:查看主机在指定时间段内的网卡出入流量统计; 4. 实施部署说明 虚拟化安全管理系统可以部署在多种不同环境之中,根据大量用户现有数据中心服务器情况,归纳出四种典型的部署场景进行详细部署说明,四种典型的场景如下: u 虚拟化环境部署 u 混合环境部署 u 物理服务器环境部署 u 物理服务器环境和虚拟化环境混合部署 4.1. 虚拟化环境部署 4.1.1. 部署说明 本章以在50台宿主机的1500台虚拟机的VMware环境上部署虚拟化安全管理系统为例,详细介绍虚拟化安全管理系统部署前所需准备的内容,以及虚拟化管理系统相关组件安装的步骤和安装后的成功与否的验证步骤。通过阅读本章节的内容,能在此类虚拟化环境下顺利的安装部署虚拟化安全管理系统。 ‎ ‎ 4.1.2. 所需设备说明 4.1.2.1. 软件环境准备 在虚拟化环境部署虚拟化安全管理系统,需准备如下软件内容: 类别 组件名称 模块名称 准备内容 虚拟化平台 虚拟化平台 vCenter Server IP地址 账号及密码 虚拟化安全软件 控制中心 虚拟化 全控制管理中心 虚拟化安全管理系统安装程序 4.1.2.2. 硬件环境准备 在虚拟化环境下要成功安装虚拟化安全管理系统,需准备如下硬件内容: 类型 数量 用途 所需资源 备注 虚拟机 1台 部署虚化安全管理控制中心 操作系统:CentOS 6.8 VM和OS需提前开通 cpu:不低于2Core 2.4Ghz 内存:不低于8GB 硬盘:不低于500GB 4.1.3. 所需通讯资源说明 4.1.3.1. IP地址分配 在现有的虚拟化环境基础上需准备以下的IP地址资源: 名称 需求 备注 虚拟化安全管理控制中心 IP地址(ipv4) 4.1.3.2. 网络端口开发要求 类型 源IP 源端口 目的IP 目的端口 功能 服务器 any any 控制中心 8443 访问控制中心 服务器 控制中心 any 外网升级服务器 80 更新控制中心数据 服务器 控制中心 any 私有云鉴定中心 私有云鉴定中心 连接鉴定中心 agent 主机 any 控制中心 8080 心跳、任务、云查等 agent 主机 any 控制中心 8090 心跳、任务、云查等 控制台连接虚拟平台端口: 虚拟化平台 端口 协议 vmware 443 https Hyper-V 135 tcp Citrix XenServer 443 https H3C CAS 8080 http 华为 7443 https 东方通 443 https 网络互连资源: 网络互联示意图如下图所示: 虚拟化安全管理系统与虚拟化管理平台、互联网、管理员间的网络互连如上图所示,各组件间的通讯说明如下: a) 虚拟化安全管理控制中心与互联网通讯,目的是连接奇安信互联网中心升级病毒特征库和进行病毒文件鉴定。 b) 虚拟化安全管理控制中心与VMware vCenter通讯,目的是获取虚拟化平台的组织架构,包含宿主机相关信息、虚拟化系统相关信息,以及虚拟化平台的管理组织结构等内容,便于安全管理员在虚拟化安全管理中心管理虚拟化安全策略。 c) 虚拟化安全管理控制中心与轻代理通讯,目的是下发安全策略,扫描任务以及提供轻代理的病毒库、WebShell引擎等知识库的更新。 4.1.4. 实施拓扑图 虚拟化环境实施拓扑如下图所示: 4.2. 混合虚拟化环境 4.2.1. 部署说明 混合虚拟化环境即对不同的虚拟化平台混合进行管理的部署环境,以每平台一台宿主机并虚拟30台虚拟机为例介绍,此方式与虚拟化环境部署步骤唯一不同点是与虚拟化管理控制中心集成步骤不同,本节将主要介绍差异化部署内容。 4.2.2. 所需设备说明 软件环境准备: 混 合虚拟化环境下要成功安装虚拟化安全管理系统,需准备如下软件内容: 类别 组件名称 产品名称 准备内容 虚拟化平台 虚拟化平台 VMware vCenter Citrix XenServer HUAWEI Center Hyper-V Center IP地址 账号及密码 虚拟化安全软件 控制中心 虚拟化安全控制管理中心 虚拟化安全管理系统安装程序 4.2.3. 所需通信资源说明 4.2.3.1. IP地址分配 在现有的虚拟化环境基础上需准备以下的IP地址资源: 名称 需求 备注 虚拟化安全管理控制中心 IP地址(ipv4) 4.2.3.2. 网络端口开发要求 类型 源IP 源端口 目的IP 目的端口 功能 服务器 any any 控制中心 8443 访问控制中心 服务器 控制中心 any 外网升级服务器 80 更新控制中心数据 服务器 控制中心 any 私有云鉴定中心 私有云鉴定中心 连接鉴定中心 agent 主机 any 控制中心 8080 心跳、任务、云查等 agent 主机 any 控制中心 8090 心跳、任务、云查等 控制台连接虚拟平台端口: 虚拟化平台 端口 协议 vmware 443 https Hyper-V 135 tcp Citrix XenServer 443 https H3C CAS 8080 http 华为 7443 https 东方通 443 https 4.3. 物理服务器环境部署 4.3.1. 部署说明 虚 拟化安全管理系统也可以安装在物理服务器环境中,以环境中有30台物理服务器为例,控制中心和轻代理的安装方法相同,可参照之前的步骤安装。不同之处是物理环境无需导入虚拟化平台,轻代理安装后,能自动注册到虚拟化管理控制中心,并被虚拟化管理控制中心所管理。 4.3.2. 所需设备说明 4.3.2.1. 软件环境准备 在传统物理环境下要成功安装虚拟化安全管理系统,需准备如下软件内容: 类别 组件名称 产品名称 准备内容 虚拟化安全软件 控制中心 虚拟化安全 控制管理中心 虚拟化安全管理系统安装程序 物理系统 Linux 轻代理 安装奇安信轻代理 Widows 轻代理 安装奇安信轻代理 4.3.3. 所需通信资源说明 4.3.3.1. IP地址分配 在现有的虚拟化环境基础上需准备以下的IP地址资源: 名称 需求 备注 虚拟化安全管理控制中心 IP地址(ipv4) 4.3.3.2. 网络端口开发要求 类型 源IP 源端口 目的IP 目的端口 功能 服务器 any any 控制中心 8443 访问控制中心 服务器 控制中心 any 外网升级服务器 80 更新控制中心数据 服务器 控制中心 any 私有云鉴定中心 私有云鉴定中心 连接鉴定中心 agent 主机 any 控制中心 8080 心跳、任务、云查等 agent 主机 any 控制中心 8090 心跳、任务、云查等 控制台连接虚拟平台端口: 虚拟化平台 端口 协议 vmware 443 https Hyper-V 135 tcp Citrix XenServer 443 https H3C CAS 8080 http 华为 7443 https 东方通 443 https 网络互连资源 虚 拟化安全管理系统与虚拟化管理平台、互联网、管理员间的网络互连如上图所示,各组件间的通讯说明如下: a) 虚拟化安全管理控制中心与互联网通讯,目的是连接奇安信互联网中心升级病毒特征库和进行病毒文件鉴定。 b) 虚拟化安全管理控制中心与轻代理通讯,目的是下发安全策略,扫描任务以及提供轻代理的病毒库、WebShell引擎等知识库的更新。 4.4. 物理服务器环境和虚拟化环境混合部署 4.4.1. 部署说明 本节安装部署说明主要适用于企业数据中心针对混合服务器环境的防护需求,即要对物理服务器环境进行安全防护,也要对虚拟化环境进行安全防护。读者通过阅读本章节,能顺利的将虚拟化安全管理系统部署在此类环境中。 4.4.2. 所需设备说明 4.4.2.1. 软件环境准备 在混合环境下要成功部署虚拟化安全管理系统,需准备如下软件内容: 类别 组件名称 产品名称 准备内容 虚拟化平台 虚拟化平台 VCenter Server (不局限于此种虚拟化平台) IP地址、账号及密码 虚拟化安全软件 控制中心 虚拟化安全控制管理中心 虚拟化安全管理系统安装程序 4.4.3. 所需通讯资源说明 4.4.3.1. IP地址分配 在现有的虚拟化环境基础上需准备以下的IP地址资源: 名称 需求 备注 虚拟化安全管理控制中心 IP地址(ipv4) 4.4.3.2. 网络端口开放要求 类型 源IP 源端口 目的IP 目的端口 功能 服务器 any any 控制中心 8443 访问控制中心 服务器 控 制中心 any 外网升级服务器 80 更新控制中心数据 服务器 控制中心 any 私有云鉴定中心 私有云鉴定中心 连接鉴定中心 agent 主机 any 控制中心 8080 心跳、任务、云查等 agent 主机 any 控制中心 8090 心跳、任务、云查等 控制台连接虚拟平台端口: 虚拟化平台 端口 协议 vmware 443 https Hyper-V 135 tcp Citrix XenServer 443 https H3C CAS 8080 http 华为 7443 https 东方通 443 https 4.4.3.3. 网络互连资源 虚拟化安全管理系统与虚拟化管理平台、互联网、轻代理、管理员间的网络互连如上图所示,各组件间的通讯说明如下: a) 虚拟化安全管理控制中心与互联网通讯,目的是连接奇安信互联网中心升级病毒特征库和病毒文件的鉴定。 b) 虚拟化安全管理控制中心与VMware VCenter通讯,目的是同步VMware平台获取平台的组织架构,包含物理服务器相关信息、虚拟化系统相关信息,以及虚拟化平台的管理组织结构等内容,便于管理员在虚拟化安全管理中心管理虚拟化环境的虚拟机的安全。 c) 虚拟化安全管理控制中心与轻代理通讯,目的是下发安全策略,扫描任务,以及提供轻代理的病毒库等知识库更新。 ‎
查看更多

相关文章

您可能关注的文档