通過VEPA等技術(shù)實(shí)現(xiàn)將這些流量引入到外部的交換機(jī)。在接入交換機(jī)轉(zhuǎn)發(fā)這些流量之前，可以通過鏡像或者重定向等技術(shù)，將流量先引入到專業(yè)的安全設(shè)備進(jìn)行深度報(bào)文檢查、安全策略配置或是允許/拒絕其訪問。

　　租戶內(nèi)部的網(wǎng)絡(luò)安全防護(hù)

　　租戶內(nèi)部的網(wǎng)絡(luò)多數(shù)情況下是跨節(jié)點(diǎn)的，同時(shí)大多是二層網(wǎng)絡(luò)結(jié)構(gòu)（不排除也有三層網(wǎng)絡(luò)結(jié)構(gòu)，但是考慮到跨數(shù)據(jù)中心的虛機(jī)遷移等問題，大多數(shù)情況下還是采用大二層網(wǎng)絡(luò)結(jié)構(gòu)）。

　　漢柏云安全系統(tǒng)根據(jù)自身提供的解決方案特點(diǎn)，構(gòu)建了如下所示的租戶Project內(nèi)部的網(wǎng)絡(luò)部署邏輯結(jié)構(gòu)：

　 　每個(gè)計(jì)算節(jié)點(diǎn)上運(yùn)行一個(gè)vRouter（即security agent），計(jì)算節(jié)點(diǎn)之間建立VXLAN或MPLS over UDP隧道，服務(wù)節(jié)點(diǎn)通過服務(wù)鏈機(jī)制加入到不同安全區(qū)域VN之間提供安全防護(hù)。同時(shí)，虛擬網(wǎng)絡(luò)VN內(nèi)部和虛擬網(wǎng)絡(luò)VN之間的網(wǎng)絡(luò)安全問題，均可通過服務(wù)鏈 來解決。

　　云網(wǎng)絡(luò)南北向流量安全防護(hù)

　　縱向流量的防護(hù)，與傳統(tǒng)的防護(hù)沒有太大差異。但縱向流量存在多租戶的概念，則對(duì)安全也提出了需求，能夠?qū)崿F(xiàn)基于租戶的安全防護(hù)。

　　云眼安全云服務(wù)底層技術(shù)仍然是采用“基于租戶實(shí)施安全防護(hù)”，只不過將安全防護(hù)特性作為服務(wù)以云方式對(duì)租戶提供，可以實(shí)現(xiàn)云網(wǎng)絡(luò)南北向流量安全防護(hù)。

　　漢柏云網(wǎng)絡(luò)邊界安全防護(hù)解決方案主要有：針對(duì)云數(shù)據(jù)中心運(yùn)維提供安全防護(hù)及針對(duì)云內(nèi)租戶網(wǎng)絡(luò)提供安全防護(hù)和安全服務(wù)。

王珂玥

存儲(chǔ)在線（DOSTOR）主編