| 產品簡介

網御云安全管理平臺實現對安全能力的虛擬化、自動化部署、彈性擴展、服務編排等功能，適配云和虛擬化環境，對云上業務進行安全防護、安全檢測、安全管理。云安全管理平臺提供統一的門戶和運維界面，具體包括監控管理、編排管理、市場管理、授權管理、日志管理、資源管理、訂單管理、用戶管理。安全資源池承載各類虛擬化安全網元，并根據各類安全網元的工作原理，劃分為防護資源池、檢測資源池、管理資源池、硬件資源池。

網御云安全管理平臺分為企業模式和運營模式兩種工作模式，運營模式面向運營服務而設計，主要實現系統管理與租戶管理這兩類管理職能的區分和職責明確，系統管理實現對安全資源池的集中統一管理，而租戶管理主要實現對每個租住自己所訂購的那部分安全資源的管理（租戶資源池是整個資源池的一個組成部分，整個資源池由多個租戶資源池構成）。同時運營中心在設計上體現三權分立原則，系統管理和租戶管理兩大職能都細分為系統管理員、審計管理員、安全管理員，實現三權分立、相互監督。

| 核心功能

網御云安全管理平臺的功能框架如上圖所示，主要包括以下核心功能：

安全資源管理：

云安全管理平臺通過各類安全資源池：串行防護資源池、旁路檢測資源池、服務管理資源池、硬件資源池，集成各類安全資源，并通過安全服務編排，使池化的安全資源能夠全面適配云和虛擬化環境。

安全服務編排： 

安全資源池可實現安全服務鏈編排，使得網絡流量在安全資源中流轉時，根據業務類型、防護級別等要求，按需經過各類安全服務節點，這些安全服務節點包括防火墻、WAF、入侵檢測、負載均衡等。安全服務編排綜合利用SDN、NFV、服務鏈SFC、大二層等技術，實現邏輯拓撲與物理拓撲解耦，安全設備的網絡部署不再依賴于具體的物理網絡結構，而是軟件可定義和編排的，使安全能力的部署和調整擴容更加靈活。具體包括流量牽引和服務編排兩個動作。

流量牽引需要掌握或同步租戶業務的網絡、子網信息，并劃分和定義安全域，包括業務流量的起始域和目標域，進而對源和目的之間的業務流量進行牽引，進入服務鏈區域。

服務編排對需要進行防護的流量進行識別、分類、標識（服務路徑ID、業務ID），進而根據標識將業務流量送入不同的安全服務鏈、控制業務流量經過安全網元的先后順序，對業務流量進行所需的清洗防護功能。

| 產品優勢

開放、獨立、友好

平臺開放，支持兼容第三方產品，獨立運營，獨立管理

企業級安全市場

整合公司所有產品，部署所有鏡像于安全市場，按需部署

一鍵交付

所有產品一鍵部署，用戶直接規劃、部署和使用安全能力

適合運營

云安全管理平臺與云平臺之間松耦合、異構、獨立運營，可發揮對私有云服務商監管職能

高性能

采用DPDK等技術對虛擬化性能進行優化，實現接近物理硬件的性能

高可靠服務鏈

具有安全網元健康狀態監測機制

基于網元健康狀態監測機制，當檢測到網元失效時，可以實現服務鏈HA，即將需清洗流量從主鏈整體切換至備鏈進行防護（當啟用服務鏈HA時，就創建了和主鏈具有相同安全網元和處理順序的備用服務鏈）

當主備鏈同時有網元失效時，可以執行服務鏈級別的Bypass，流量不經過服務鏈，直接回注到租戶業務網內，同時服務鏈Bypass即流量環回不經安全網元機制，可以作為故障排除手段，排除安全網元和安全資源池一側的故障嫌疑

當用戶只訂購單服務鏈時，可提供單節點Bypass，即當服務鏈上某個網元失效時，剩余網元仍可組成服務鏈進行防護

易適配

開源openstack架構，可適配各種云平臺；開放API，方便互聯；控制端微服務架構，易適配云平臺環境

通用

純軟件版本，可適配用戶通用X86硬件環境

| 典型應用

政府、醫療、教育、金融、企業等行業的云等保合規場景

通過在資源池內部署防護類、檢測類、服務管理類安全網元，滿足等保合規需求

數據安全防護場景

通過在資源池內部署敏感信息防護的各類安全能力，包括權限管理、加密、防泄漏、脫敏、審計等各類安全能力，形成數據安全防護整體解決方案

城域網IDC機房專線用戶出口防護場景

在資源池內，按租戶部署各類安全防護能力，對托管在運營商城域網IDC機房內的各類政企用戶、城域網專線用戶進行出口流量的安全防護和檢測，實現安全增值服務。