日前,品高云与 360 企业安全联合宣布,360 虚拟化下一代防火墙与品高云 BingoCloudOS 云操作系统已完成兼容性测试,双方产品的结合,可以为云平台提供云网络的边界防护解决方案。

测试内容

本次测试内容包含:360 虚拟化下一代防火墙在品高云上的上架部署,实现基于 VPC 的南北向流量防护,实现安全访问控制,DNAT 目的地址转换,VPN,IPS 防护和 AV 病毒过滤等项目的测试,通过两种产品的适配,实现云 VPC 环境的边界防护解决方案。

360 虚拟化下一代防火墙简介

360 虚拟化下一代防火墙是专门为虚拟化云环境而设计的一款专业网络安全防护产品,360 虚拟防火墙能够灵活快捷地部署在公有云、私有云、混合云等多种云平台上,为各类虚拟化云平台提供专业的安全防护能力。360 虚拟防火墙在强劲性能与更先进架构的支撑下,集成访问控制、用户授权访问、虚拟系统、行为管理、应用层综合安全防护等一系列网络安全功能,并且完成了与 360 威胁情报中心、病毒云查杀、未知威胁感知分析等的多项智能联动功能,能够有效满足云用户的网络边界隔离、访问控制、威胁防护、快捷管理等需求,同时提供了可视化风险报表和自助化安全运维服务,帮助云用户快速掌握业务安全状况。

部署架构

软件版本

BingoSDN 版本:V3.1.8

BingoCloud 版本:V7.0.2

360 虚拟化下一代防火墙:V4.0

用例一:360 虚拟化防火墙在品高云上的部署配置

测试目的:验证 360 虚拟化下一代防火墙系统(以下统称 “虚墙”)在品高云内的部署情况;

测试条件:已在品高云平台中预置了 360 虚墙的镜像;

预期结果:可通过品高云虚拟机 IP 访问 360 虚墙管理界面;

测试过程:

  1. 登录品高云测试云平台;
  2. 在【基础服务】【网络与安全】【云网络】里创建一个网关在外云网络 vpc-basic,网段是 10.202.0.0/16,创建其子网网段为 10.202.80.0/24;           
  3. 创建网关在内的私有云网络 vpc-360-test,网段是 172.16.0.0/16,在这个 VPC 下创建一个子网 subnet-test 网段为 172.16.1.0/24;
  4. 创建 360 虚拟化防火墙虚机 (虚拟防火墙镜像已经提前导入);
  5. 网络配置选择已经配置好的云网络;
  6. 选择虚机的基本配置,360 防火墙的最低配置为 2 核 2G;
  7. 配置虚拟防火墙虚机网络,可在【基础服务】->【计算】->【实例】->【详情】->【设备】->【添加网卡】;
  8. 添加网卡时需要关闭【启用源/目标检查】这个选项,否则 SDN 会对流量做限制导致网络不通;
  9. 在浏览器上访问 IP 可以登录 360 虚拟化防火墙管理页面;

 

用例二:虚拟防火墙的访问控制功能

测试目的:验证 360 虚拟化下一代防火墙系统(以下统称 “虚墙”)对品高云 VPC 内的实例主机实现访问控制;

测试条件:虚墙成功部署在品高云环境中;

预期结果:能够成功阻断或放行相关的访问行为;

测试拓扑

测试过程:

  1. 需要创建三台虚机,172.16.1.6 充当 Web 服务器的 CentOS7 系统的虚机,10.202.80.52 为 360 虚墙(Fw-360), 10.202.80.20 装有 Windows 系统的 PC 机;
  2. 对虚墙所在外网 IP 的子网做路由设置,在品高云【基础服务】【网络与安全】【云网络】详情里的路由表中针对子网设置路由规则, 访问目标类别选择网卡,实例选择 360 虚墙实例(Fw-360), 访问目标地址填写后排 web 虚拟机地址;
  3. 虚墙上配置安全策略为禁止,使用 PC 进行访问后排 web 虚拟机;
  4. 访问失败并且可在日志中查看结果为拒绝;
  5. 在虚墙上配置安全策略为允许,使用 PC 进行访问,结果访问成功;

 

用例三:虚拟防火墙的 DNAT 功能

测试目的:验证 360 虚拟化下一代防火墙系统(以下统称 “虚墙”)对品高云 VPC 内的实例主机实现访问控制;

测试条件:虚墙成功部署在品高云环境中;

预期结果:能够成功访问内部 Web 服务器;

测试拓扑

测试过程:

  1. 按照拓扑图创建对应的虚拟机,配置网络路由规则;
  2. 在虚墙上配置访问策略为全部允许;
  3. 在虚墙配配置 DNAT 转换规则,将 10.202.80.52 作为 web 服务器转换后的 IP;
  4. 使用公网 IP10.202.80.52 在浏览器进行访问,可以直接访问私有地址 172.16.1.7(私有地址默认不可有公网访问);

用例四:虚拟防火墙的 IPSec VPN 功能

测试目的:验证虚墙的 IPSec VPN 功能是否生效,能够通过 IPSec VPN 实现安全访问;

测试条件:虚墙成功部署在品高云环境中;

预期结果:能够成功访问内部 Web 服务器(ping 通即可);

测试拓扑

测试过程:

  1. 按照拓扑图创建对应的虚拟机,配置网络路由规则;
  2. 在虚墙上配置 IPSec VPN 隧道;
  3. 在虚墙上配置防火墙策略,需要配置两条,一条是将外出的流量引到防火墙,另一条是设置来自隧道的报文通过;
  4. 进行远程访问端操作,从 PC 上直接 ping web-server,显示可达证明测试通过。

用例五:虚拟防火墙 IPS 防护功能

测试目的:验证虚墙的 IPS 功能效果,能够通过 IPS 实现漏洞防护;

测试条件:虚墙成功部署在品高云环境中;

预期结果:该次攻击被成功拦截,并记录日志;

测试拓扑

测试过程:

  1. 按照拓扑图创建对应的虚拟机,配置网络路由规则;
  2. 在虚墙上进行配置,添加一条入侵防护策略 IPS,将各个类别均启用;
  3. 创建一条安全策略,引用上述的入侵防护策略;
  4. 在攻击机上运行脚本,模拟 CVE-2017-5638 漏洞攻击方式,发送攻击报文;
  5. 在防火墙上查看攻击日志;

用例六:虚拟防火墙 AV 病毒过滤功能

测试目的:验证虚墙的 AV 功能效果,能够通过 AV 实现漏洞防护;

测试条件:虚墙成功部署在品高云环境中;

预期结果:该次病毒攻击被成功拦截,并记录日志;

测试拓扑

测试过程:

  1. 按照拓扑图创建对应的虚拟机,配置网络路由规则;
  2. 在虚墙上创建一条病毒检测策略,将各个类别设置为均启用;
  3. 在虚墙创建一条安全策略,引用上述的病毒检测策略;
  4. 记录日志模块选取 AV
  5. 在 pc 上安装一个 3CDeamen 程序,开启 ftp 服务器功能,将已准备好的病毒文件放到共享文件夹,在在 web 服务器端下载该病毒文件;
  6. 病毒下载被防火墙拦截,并且产生日志;

效果分析

本次联合测试总体效果良好,360 下一代防火墙能在品高云内实现快速部署,基于 VPC 做南北向流量的细粒度管控和安全防护,帮助云用户实现云环境下的边界安全,无需在被保护的虚拟主机或虚拟服务器上安装任何软件便能实现网络安全的攻击防御,极大提高了子网的安全防护效率和效果,提升了虚拟化、云计算的投资回报率。

优点

部署的便捷性,通过在品高云上运行 360 下一代防火墙的安装镜像,能够快速构建防火墙环境,并且虚拟化的部署在保证功能的同时极大降低对资源的占用率;能够实现访问控制、DNAT、VPN、IPS、AV 病毒过滤等多种项目的安全防护;无需安装插件与代理,效率大大提升。

视频展示