云是當下最受關注的話題之一，想要擁有一套完整的云數據中心方案，NFV(網絡功能虛擬化)技術必不可少。關注到用戶在新環境下的需求，2015年，深信服發布了全套NFV安全、優化云組件產品，適用于公有云、私有云、行業云等云業務環境。

公有云：服務如水電般，隨取隨用

AWS、阿里云近來熱度漸升，頗有帶國內公有云集體走高的趨勢。用戶租用公有云服務，除更低的投入成本外，也提升了業務的敏捷性。

假設某用戶將OA等業務遷移到阿里云平臺上，除了租用一些云服務器外，他還需解決業務上線后，內部員工的安全接入和數據防泄密問題。而AWS、阿里云平臺上所提供的基礎安全功能，不能百分百滿足用戶的這個需求，因此AWS、阿里云打造了一個良性的云生態系統，邀請各領域最專業的廠商，在公有云平臺上為租戶提供多元化的服務。

深信服的vSSL VPN日前就已登錄阿里云市場，vSSL VPN能很好解決該用戶的問題，部署vSSL VPN 除能保障第三方接入的安全和身份驗證外，還有一個好處，就是所有管理端口向互聯網的映射都可關閉。用戶必須通過 vSSL 安全接入后才能對內容進行管理。這樣大大降低了被攻擊的風險，因為即便 vSSL 被攻擊癱瘓了，業務服務器和數據也不受影響。

如今，用戶可在阿里云Web界面直接購買vSSL VPN，隨取隨用、操作靈活。整個采購+配置過程花數分鐘，就可以完成。

(用戶可在阿里云市場直接購買，隨取隨用)

深信服云下一代防火墻vAF也已登錄阿里云，部署vAF即能為云服務器提供雙向、完整、可視的Web層安全防護，防止機密數據的泄露和惡意入侵，部署深信服云應用交付vAD提升業務穩定性和資源利用率，部署云廣域網優化vWOC實現混合云加速組網和云業務應用優化加速。

行業云：劃清責任“三八線”

為了滿足特定行業業務統一托管、集約化建設降低信息化成本的需求，行業云在政府、教育、醫療等行業備受關注，“政務云”、“醫療云”都可稱為行業云的典型應用。

無論是行業云建設方，還是租戶，對安全的需求是一致的，因為行業云采用集中共享硬件資源的方式，IT系統的運維需要多方參與，往往在一些情況下難以劃分清楚責任邊界，導致相互推諉。

另外，對于行業云平臺建設方來說，除了要滿足業務統一托管的需求外，還要滿足不同租戶的個性化要求，比如A用戶說我要滿足國密算法標準，B說我要做等級保護等等。提供個性化的服務，或許也是建設方的一個困擾。

以某省政務云為例，C租戶的應用系統遷移到該政務云平臺上時，C用戶的網絡架構(服務器負載+Web服務器+中間件+數據庫)沒有發生太大的變化，可運維工作卻變復雜了。因為往往是Web等業務應用由C租戶運維，服務器負載、安全等硬件則由建設商運維。多方聯動，帶來極大不便，且一旦發生故障，責任也難以劃分。

例如：C用戶今天要修改Web的內容，網頁的代碼發生了變化，這就可能帶來SQL注入的風險，如果安全還是交給建設方運維，就需要兩方配合調整防護策略，否則可能存在被入侵的風險?？上攵绻恳粋€租戶每天都要找建設方修改一次策略，將給運維帶來多大的不便及風險?

深信服提供了一套對建設方、租戶皆適用的云組件解決方案，如上圖所示。

對于行業云平臺建設方而言：

建設方只需在云數據中心物理網絡邊界部署深信服安全、優化硬件設備，如下一代防火墻、應用交付、流量管理、VPN等產品，形成安全硬件資源池，在物理網絡出口提供平臺級的整體安全保護，防止外部網絡的非授權接入和惡意入侵，防止針對云平臺資源申請和管理界面的攻擊，并提供鏈路負載均衡和業務流量管理等功能，保證應用系統具備更高的持續性、可用性以及快速性。

對于行業云租戶而言：

對于租戶而言，深信服提供了更多個性化的可能。因不同租戶托管的應用、業務類型不盡相同，個性化需求也不同，有了深信服云組件以后，租戶在出現安全等需求時，只需要讓建設方開通授權，就可以實現完全自主的安全運維。如此一來，租戶可以完全自定義行業云內自己的業務結構，將業務安全、優化牢牢握在自己手中。

例如租戶1可部署vSSL VPN加固第三方訪問的傳輸和身份安全性，租戶2除了部署vSSL VPN外，還可部署應用交付vAD做服務器負載均衡，提升應用穩定性，租戶3可以vSSL VPN、vAD、vAF一起部署，用vAF來為Web系統提供完整的Web保護，防止敏感數據被竊取。

私有云：不讓虛擬機安全陷“囧”境

在跟一些私有云用戶溝通后，我們發現部分用戶并沒有真正的“云化”，大部分用戶只是將業務環境虛擬化了，而比如存儲、網絡、安全等產品卻還是以硬件的方式部署在物理環境中，比如硬件防火墻、IPS等安全產品都是部署在物理邊界上，只能管控數據中心南北流量。

如此一來，私有云用戶面臨最大的安全問題，或許是將業務環境全部虛擬化后，安全邊界消失了，虛擬機之間的東西流量無法得到隔離管控，將來只要任意一臺虛機被攻破，這臺虛擬機就會成為內部入侵的跳板。

深信服云組件對于私有云數據中心的方案，主要分為兩個層次，如上圖所示。

對于物理邊界：

使用硬件下一代防火墻、應用交付等產品對整個數據中心進行防護和業務優化。

對內部虛擬化環境：

在虛擬機間部署深信服下一代防火墻云組件vAF，可有效實現東西流量隔離。同時，深信服vAF云組件，能夠為Web系統提供完整的Web保護、防止敏感數據被竊取。vSSL VPN可實現安全加固及接入安全，云應用交付vAD能夠提供常見的鏈路、服務器等負載功能和多種應用優化功能。

至今，深信服云組件方案已經應用于政府、企業、運營商等行業，如杭州微貸、福建政務云平臺等。

云組件全家福：

深信服云組件能以軟件鏡像等方式部署到VMware、KVM、XEN等虛擬化環境，上線快速簡單，即使是一個毫無云部署經驗的工程師也只需要數小時，就可以完成產品配置和業務上線，極大降低了運維難度。

最后，深信服云組件全家福呈上：