通過VEPA等技術(shù)實現(xiàn)將這些流量引入到外部的交換機。在接入交換機轉(zhuǎn)發(fā)這些流量之前，可以通過鏡像或者重定向等技術(shù)，將流量先引入到專業(yè)的安全設(shè)備進行深度報文檢查、安全策略配置或是允許/拒絕其訪問。

　　租戶內(nèi)部的網(wǎng)絡(luò)安全防護

　　租戶內(nèi)部的網(wǎng)絡(luò)多數(shù)情況下是跨節(jié)點的，同時大多是二層網(wǎng)絡(luò)結(jié)構(gòu)（不排除也有三層網(wǎng)絡(luò)結(jié)構(gòu)，但是考慮到跨數(shù)據(jù)中心的虛機遷移等問題，大多數(shù)情況下還是采用大二層網(wǎng)絡(luò)結(jié)構(gòu)）。

　　漢柏云安全系統(tǒng)根據(jù)自身提供的解決方案特點，構(gòu)建了如下所示的租戶Project內(nèi)部的網(wǎng)絡(luò)部署邏輯結(jié)構(gòu)：

　 　每個計算節(jié)點上運行一個vRouter（即security agent），計算節(jié)點之間建立VXLAN或MPLS over UDP隧道，服務(wù)節(jié)點通過服務(wù)鏈機制加入到不同安全區(qū)域VN之間提供安全防護。同時，虛擬網(wǎng)絡(luò)VN內(nèi)部和虛擬網(wǎng)絡(luò)VN之間的網(wǎng)絡(luò)安全問題，均可通過服務(wù)鏈 來解決。

　　云網(wǎng)絡(luò)南北向流量安全防護

　　縱向流量的防護，與傳統(tǒng)的防護沒有太大差異。但縱向流量存在多租戶的概念，則對安全也提出了需求，能夠?qū)崿F(xiàn)基于租戶的安全防護。

　　云眼安全云服務(wù)底層技術(shù)仍然是采用“基于租戶實施安全防護”，只不過將安全防護特性作為服務(wù)以云方式對租戶提供，可以實現(xiàn)云網(wǎng)絡(luò)南北向流量安全防護。

　　漢柏云網(wǎng)絡(luò)邊界安全防護解決方案主要有：針對云數(shù)據(jù)中心運維提供安全防護及針對云內(nèi)租戶網(wǎng)絡(luò)提供安全防護和安全服務(wù)。

王珂玥

存儲在線（DOSTOR）主編