虚拟平台

全虚拟化平台的作用

虚拟化平台是将计算机的各种实体资源，如

服务器、网络、内存及存储等，予以抽象、转换

后呈现出来，打破实体结构间的不可切割的障

碍，使用户可以比原本的组态更好的方式来应用

这些资源。虚拟化平台有什么作用？

虚拟化平台可以减少服务器的数量，提供一

种服务器整合的方法，减少初期硬件采购成本；

简化服务器的部署、管理和维护工作，降低管理

费用；提高服务器资源的利用率，提高服务器计

算能力；通过降低空间、散热以及电力消耗等途

径压缩数据中心成本；通过动态资源配置提高IT

对业务的灵活适应力；提高可用性，带来具有透

明负载均衡、动态迁移、故障自动隔离、系统自

动重构的高可靠服务器应用环境；支持异构操作

系统的整合，支持老应用的持续运行；在不中断

用户工作的情况下进行系统更新；支持快速转移

和复制虚拟服务器，提供一种简单便捷的灾难恢

复解决方案。

铱迅安全虚拟化平台（YxlinkSecurity

VirtualizationPlatform）支持服务器虚拟化，

铱迅安全产品虚拟化部署。可以在虚拟环境提供

FW，IPS，WAF等虚拟化防护，强化虚拟机之

间的访问控制，识别和拦截可能存在的攻击。通

过拖拽与连线方式绘制网络安全设备与服务器，

每用户可创建独立的安全网络，一键快速交付、

动态资源分配、快照创建系统。

每台虚拟机进行单独防护是虚拟化安全防护

最完美的防护方式，即在每台虚拟机前都有相应

的虚拟化安全防护设备，针对不同的虚拟应用定

制不同的防护策略。但考虑到硬件资源和成本等

综合因素，可以进行分期部署，前期根据一定维

度（如应用类型、应用重要性、租户群体等）将

虚拟机划分区域，将各个区域先进行独立的东西

南北向防护，中后期再逐步增加虚拟防护设备，

以做到单个虚拟应用的独立防护。

产品功能优势

从虚拟化数据中心的项目建设方案和对采集

能力整合避免软硬件重复投资上分析，节约了成

本，提高了平台安全防护的级别。在成本的节约

上，考虑到虚拟服务器与物理服务器的并存情

况，把传统硬件安全设备和虚拟化安全设备做一

个混合部署，把安全性和经济性巧妙地结合起

来。同时引入对安全数据的统一采集、管理，并

综合展现的功能，实现了对全平台虚拟资源池的

东西南北向安全防护，物理资源池的整体安全防

护，彻底改变原有的无任何有效安全防护措施局

面，建立了从系统层到应用层的信息安全防护机

制，站在维护人员的角度因本期系统建设降低了

日常维护工作量，也大大提升了用户的对安全风

险的感知度。以上综述可见本期项目产生了较为

可观的效益。

1)符合等级保护建设

用户单位都具有其社会地位和政治地位的

特殊性，在公安部《计算机信息安全等级保护

基本要求》中明确要求等级保护的技术要点建

设。本次方案设计的所有产品均符合等级保护

三级建设要求。

2)完美解决虚机间东西向防护需求

建设涉及完整的L2-L7层安全防御体系，对

虚机间的数据进行过滤及防护，抵御网络层攻

击和应用层攻击，精确识别应用、用户、内容

和威胁，具备强化的Web安全防护能力，抵

御各类应用攻击。

3)业务保护优先

结合负载均衡技术，可更有效地保证业务的

正常运行。

4)网站安全完美解决方案

可从攻击源头防护用户网站面临的各类网

络/应用层威胁，并解决攻击被绕过后产生的

网页篡改、网页挂马和敏感信息泄露等问题。

5)降低经营成本

让虚拟化数据中心运算的节约更优化；透过

安全事件自动管理机制，使管理更加简化；提

供漏洞防护让安全编码优先化及和弱点修补

成本有效化；消除了部署多个服务器与集中管

理、多用途的软件代理或虚拟装置所产生的成

本。

6)计算资源开销低

铱迅安全虚拟化平台上创建单个虚拟安全设

备（包括不限于NGFW/WAF/IPS）占用内

存仅50M左右。

1.应用部署

用户根据需要在安全虚拟化平台上为自身

的应用分配虚拟化硬件资源（CPU、内存、硬盘

等），创建虚拟机，安装操作系统及应用。同时

根据自身需求创建虚拟网络与虚拟安全设备，划

分虚拟安全区域。

2.访问控制、应用识别

在虚拟化资源池中部署虚拟化下一代防火

墙（VirtualNGFW）。

将虚拟化NGFW逻辑部署在需要防护的虚

拟服务器或安全区域前。

配置相应的访问控制策略，防护策略，管理

策略。

对恶意网址、网络钓鱼、网络广告、僵尸网

络进行过滤，针对URL分类进行访问控制，防

止对于不良网站和与业务无关网站的访问。

按应用、IP地址、协议端口、用户、时间进

行带宽控制和流量配额管理，帮助用户合理、有

效的使用有限的带宽资源，保证关键业务的正常

运营。

应用安全

在虚拟化资源池中部署虚拟化Web应用防

护系统（VirtualWAF）。

将虚拟化WAF逻辑部署在需要防护的虚拟

服务器或安全区域前。

配置相应的安全策略。

4.系统安全

在虚拟化资源池中部署虚拟化入侵防御系

统（VirtualIPS）。

将虚拟化IPS逻辑部署在需要防护的虚拟

服务器或安全区域前。提供一种主动的、实时的

防护，在对常规网络流量中的恶意数据包进行检

测，阻止入侵活动，预先对攻击性的流量进行自

动拦截，使它们无法造成损失，而不是简单地在

监测到恶意流量的同时或之后发出警报。入侵防

御系统是通过直接串联到网络链路中而实现这

一功能的，即入侵防御系统接收到外部数据流量

时，如果检测到攻击企图，就会自动地将攻击包

丢掉或采取措施将攻击源阻断，而不把攻击流量

放进内部网络。

配置相应的访问控制策略，防护策略，管理

策略。

5.漏洞扫描

部署虚拟化漏洞扫描系统（VirtualNVS），

既可以对所有虚拟化服务器进行漏洞扫描，也可

以对虚拟化平台以外的物理服务器、网络设备进

行漏洞扫描，尽可能早的通过漏洞扫描系统来发

现并掌握自己所在网络的安全漏洞，并且及时采

取针对性的措施对其进行修补，就能够有效地避

免这些漏洞所造成的损失。

6.应用交付

通过部署虚拟化应用交付系统

（VirtualAD）对虚拟化平台内部署的服务器集

群进行服务器应用分发和负载均衡。

1.一体机部署

此部署方式适用于信息化建设初中期用户：

用户的虚拟化程度不是特别高；通过软硬一体的

整体解决方案，实现管理以及业务的集中，对数

据中心资源进行动态调整和分配，重点满足用户

关键应用向X86系统迁移对于资源高性能、高

可靠、安全性和高可适应性上的要求，同时提高

基础架构的自动化管理水平，确保满足基础设施

快速适应业务的诉求，支持用户应用虚拟化化部

署。

一体机部署方式可以提升X86服务器性能，

通过将x86系统转变成通用的共享硬件基础架

构，充分挖掘硬件的潜力，提高硬件的利用效率，

有效的降低硬件和运营成本，并且简化运维降低

管理成本，最终帮助用户把更多的时间和成本转

移到对业务的投入上。

2.分布式部署

此部署方式适用于中大型期用户：用户的信

息化平台开始完善，包括机房、X86服务器、网

络及其他硬件在内的硬件设备，通过虚拟化技术

将基础设施层进行整合，构建虚拟化专业云服

务，实现各类资源池化管理和自动化部署，形成

一个有机整体，同时通过虚拟化管理门户，对外

进行虚拟化服务器、虚拟化数据库、虚拟化存储、

缓存虚拟化网络、虚拟化安全防护、大数据服务、

监控、负载均衡、分布式数据库以及应用开发中

间件，平台还提供容灾备份等基础服务。

在这种环境下，用户的应用均运行在虚拟化

平台上，整个虚拟化应用部署模式和底层的稍微

变化，都可以在虚拟化架构下实现灵活的安全扩

展和管理。

通过对服务器群进行虚拟化改造并进行防

御，把铱迅安全产品虚拟化后放入虚拟集群当中

按需或全局防护，且支持虚拟HA高可用性。每

个部门有独立的虚拟服务、虚拟安全设备的管理

权限，形成的新的安全拓扑结构如下：

南京铱迅信息技术股份有限公司（股票代

码：832623，简称：铱迅信息）是中国的一家

专业从事网络安全与服务的高科技公司。总部位

于江苏省南京市中国软件谷，在全国超过20个

省市具有分支机构。凭借着高度的民族责任感和

使命感，自主研发，努力创新，以“让网络更安

全”为理念，以“让客户更安全”为己任，致力

成为在网络安全领域具有重大影响的企业。

铱迅信息拥有一支具有15年以上网络安全

经验的顶尖网络安全专家团队，开拓网络安全领

域的一个又一个奇迹；我们还有一支过硬的研发

团队，不断推出拥有自主知识产权的网络安全产

品和工具。同时铱迅信息具有一批专业化的网络

安全服务团队，拥有一套完整的安全服务流程：

安全评估、安全检测、代码审查、安全加固；针

对政府、企业、金融、学校，我们将以最快速度

响应客户的安全服务需求，为客户带来更大的价

值。

铱迅信息的软、硬件产品领跑中国市场，客

户已经遍布政府、教育、传媒、电子商务、网游

等大中小型客户。无论是在网络安全理念还是网

络安全技术领域，铱迅信息将始终走在中国信息

安全产业的前沿。以网络安全为己任，不断开拓、

创新，向成为世界级信息安全企业的目标迈进。