增值服务方案

安全产品托管服务 MDS

背景

随着网络安全环境的日益严峻，用户通过搭配不同的安全产品来保障业务安全的稳定性，但由于部分用户对安全产品的功能不熟悉，无法推进漏洞的处理和通过合理的配置实现安全产品最大化的防护效果；安全产品托管服务（Managed Security Device Service）正是为了帮助用户解决这一问题。

多面魔方安全服务团队推出的安全产品托管服务是通过咨询服务+技术支持的方式来为企业用户提供的高级专家服务，发挥安全产品的最佳防护效果。同时帮助用户解决漏洞闭环的难题，消除潜在风险保障用户业务安全。

适用场景

• 安全漏洞较多导致攻击风险较高

安全产品托管服务提供日常的安全巡检服务及时发现业务中存在的漏洞风险，并通过漏洞修复、策略配置、补丁升级等安全加固方式，消除业务中的潜在风险，并且在出现安全事件时快速启动应急响应。

• 缺少专业技术人员，对云安全产品不熟悉

安全产品托管服务提供了针对下一代防火墙产品/入侵防护产品/Web应用防火墙/终端安全防护/数据库安全类等产品的5*8的在线安全咨询服务，及时解决用户在使用过程中遇到的各类问题，协助客户完成产品的接入及策略的配置，根据业务情况制定产品防护策略，保障安全产品的最大防护效果。

服务内容

2021-11-23 54

云安全服务 SecAAS

近年来传统硬件设备采购不断，升级，巡检，策略调整，日志分析…每一个环节都不敢放松，企业信息安全压力层层叠加，管理人员疲惫不堪。

每逢节假日、重大活动，安全设备离不开人，管理人员不眠不休，轮岗值守；安全状况无法实时掌握，单位领导心里打鼓，寝食难安。

作为一家从事金融期货、商品期货经纪代理及结算业务的期货公司，西部期货网上交易等核心业务一直暴露在互联网上，是整个IT系统里面容易受到攻击的部分，为确保互联网业务的信息安全，西部期货承担着很大的安全压力。 而未来的攻击只会越来越复杂，继续增加设备？维护压力增大！ 未来的安全只会越来越碎片，继续增岗设编？人员投入成本增加！ 面临这样的现状，西部期货CIO采用怎样的解决方案，才能既减轻压力，又让业务更加安全？

观看视频，了解西部期货解决业务风险的探索过程：

快速部署、轻松维护的托管式安全防护

轻轻松松把互联网业务的风险问题、恶意攻击和安全事件全部托管给专业的团队； 持续的风险评估，及时发现业务风险，避免被黑客利用； 有效的融合防护，精准拦截攻击流量，实时对抗恶意入侵；实时的事件监测，保证安全事件及时获得安全专家主动响应。

近100天用户端没有监测到任何威胁流量

安全事件：0次

风险暴露：0个

推送报告：121次

专家值守服务：162次

持续的安全服务，为用户拦截了73W+次攻击，攻击拦截分布情况如下图：

微信、邮件和web端，随时随地掌握业务安全状况

日报、月报、事件报告、值守报告、风险评估报告等丰富的安全报告，详细展示业务安全状况，随时随地掌握新情况。

2019-06-03 55

安全应急响应服务 MSRS

安全应急响应服务 MSRS（Managed Security Response Services）

“安全是相对的，没有绝对的安全”。任何管理和技术上的疏忽都有可能导致运营中断、数据泄漏、声誉受损以及监管并发问题。因此，在信息网络系统中，无法避免安全紧急事件的产生，对突发事件应做到忙而不乱，需要建立有序高效的汇报机制以及事件分析处理的制度，以最短时间，快速从事件中恢复、使影响降至最低，并避免再次发生。

安全应急响应服务是依靠多面魔方多年的安全攻防实战技术能力和管理经验，参照国家信息安全事件响应处理相关标准，在发生安全事件后，按照预防、情报信息收集、遏制、根除、恢复流程，提供专业的7＊24远程紧急响应处理服务，帮助用户快速响应和处理信息安全事件并从中恢复业务，同时事后帮助您规划和设计最佳的企业安全管理方案，从根本上遏制安全事件的发生，降低业务影响。

服务参考依据

安全管家应急服务参考了国家标准，从服务内容上和服务流程上保障服务规范性和服务质量：

• 《信息安全技术-信息安全事件管理指南》-GB/Z 20985-2007

• 《信息安全技术-信息安全事件分类分级指南》-GB/Z 20986-2007

• 《信息安全技术-信息系统应急响应规范》-GB/T 20988-2007

• 《信息安全技术-信息安全应急响应计划规范》-GB/T 24364-2009

安全事件定义

安全应急响应服务针对客户业务出现以下安全问题时，提供远程的安全技术支持服务，协助客户处理安全事件。

本事件分类依据GB/Z 20986—2007《信息安全技术信息安全事件分类分级指南》。

服务人员与职责

安全应急响应服务由在多面魔方具有3年以上的安全攻防实战经验的T2级别安全专家为客户提供一对一专业的安全应急响应服务，整个服务过程中使用规范的服务流程和项目管理流程，帮助客户用最短的时间和成本解决遇到的紧急问题。同时在整个服务过程中，结合提供的安全产品为客户制定完整的安全解决方案，为客户从根源上解决安全问题，帮助客户搭建安全防御体系。

服务内容

XDR威胁响应产品提供的安全应急响应服务内容包括以下包括两个方面：

• 安全事件入侵分析和业务恢复当入侵事件正在发生或已经发生，多面魔方安全服务团队安全专家协助客户进行事件调查、保存证据、查找后门、恢复业务、协助取证等内容，同时提供事件处理报告以及后续的安全状况跟踪。

• 其他紧急安全事件分析与处理只有出现了上述严重影响网络、主机正常运行的安全事件才启用紧急响应服务，其他日常安全事件均属于安全咨询及日常安全事件处理服务范围。

2019-05-29 54

企业智能组网 SD-WAN

方案介绍

随着企业新兴业务的爆发、迅速增长。传统以昂贵MPLS专线为主的传统广域网互联难以支撑企业WAN的流量激增，SD-WAN逐渐成为企业总部分支互联在云时代的首选。SD-WAN为企业总部多分支提供基于专线/Internet/4G等混合链路广域网互联接入服务，基于阿里云全球高质量传输网络优势，进一步平衡并优化企业应用，从而提高企业WAN网络的可靠性、灵活性和运维效率。

本方案以某企业各机构上云为例，介绍如何通过部署智能接入网关SAG（专线+互联网）将该企业的分支机构，上海分支、深圳IDC、北京门店和北京移动办公区就近接入POP点并与企业总部互通，为该企业快速构建总部与分支互联的网络，并且通过云企业网CEN实现全球跨境跨地域高速互联。

部署结构图

本方案涉及的产品说明：

• 智能接入网关SAG

  通过Internet就近加密接入，智能、可靠、安全的一站式上云服务。

• 高速通道

  帮助不同网络环境间实现高速、稳定、安全的私网通信。物理专线连接实现云下IDC专线接入云上，提高网络拓扑灵活性和跨网通信质量。

• 云企业网CEN

  提供全球网互联能力，帮助用户打造一张具有企业级规模和通信能力的云上网络。

业务规划

本方案企业各机构上云规划如下：

• 云上网络：已经部署了阿里云北京VPC、阿里云美西VPC。

• 上海总部：已经部署了上云物理专线。

• 上海分支：将通过智能接入网关双机旁挂模式接入阿里云。智能接入网关采用宽带和4G双链路上云方式。

• 深圳IDC：将通过物理专线和智能接入网关接入阿里云。智能接入网关采用单机旁挂，宽带和4G双链路上云方式，作为物理专线的备份链路接入阿里云。

• 北京门店：将通过智能接入网关直挂模式接入阿里云。智能接入网关采用宽带和4G双链路上云方式。

• 北京移动办公区：将通过智能接入网关APP接入阿里云。

本方案企业各机构购买智能接入网关规格说明：

网段规划

以下为本方案网段规划示例值，如您需要自行规划网段，请确保各个网段地址不冲突。

部署流程

本方案部署流程如下：

步骤一：购买智能接入网关

您在阿里云控制台购买智能接入网关后，阿里云会将智能接入网关设备寄送给您，并创建一个智能接入网关实例方便您管理网络配置。

请根据企业各分支规划，完成以下操作，购买智能接入网关。

1. 登录智能接入网关管理控制台。

2. 在智能接入网关页面，单击创建智能接入网关。

3. 配置智能接入网关，然后单击立即购买，确认配置信息后，选择《智能接入网关设备服务协议》，然后单击确认购买。

4. 在弹出的收货地址对话框，填写网关设备的收货地址，然后单击立即购买并完成支付。

步骤二：北京门店接入智能接入网关

北京门店收到网关设备后，请按照SAG-100WM检查配件。

1. 激活绑定智能接入网关设备。

1. 登录智能接入网关管理控制台。

2. 在智能接入网关页面，找到北京门店网关实例ID。

3. 单击操作列下的激活。

4. 单击北京门店网关实例ID，在智能接入网关实例页面，单击设备管理页签，输入北京门店智能接入网关设备序列号。

5. 单击添加设备。

2. 连接网关设备。

1. 启动网关设备后，将WAN口和Modem相连，LAN口和本地客户端相连。

2. 北京门店本地客户端可直接通过网关设备接入，使用默认的网关配置即可。如果需要配置WAN口和LAN口，请参见步骤3 配置WAN口和步骤4 配置LAN口。

3. 配置网络路由。

1. 登录智能接入网关管理控制台。

2. 在左侧导航栏，单击智能接入网关，在智能接入网关页面，单击需要进行网络配置的网关实例操作列下的网络配置。

3. 单击线下路由同步方式。

4. 选择静态路由，然后单击添加静态路由。

   本操作输入192.168.10.0/24。因为北京门店智能接入网关设备使用了默认网关配置，所以本地客户端的IP地址从192.168.10.0/24中分配。

   

5. 单击确定。

步骤三：上海分支接入智能接入网关

上海分支收到网关设备后，请按照SAG-1000简介检查配件。

在执行此操作前，请保持网关设备启动且4G信号正常，已经连接到阿里云。本操作以智能接入网关1为例进行配置，请根据同样的步骤和网络规划配置智能接入网关2。

1. 激活智能接入网关实例，将两台智能接入网关绑定到同一智能接入网关实例。详细步骤请参见1。

2. 连接网关设备。

1. 在智能接入网关实例页面，单击设备管理页签，选择目标主设备。

2. 在左侧页签栏，单击端口角色分配。

3. 在端口角色分配，单击目标端口的操作列下的修改，修改端口角色。

   上海分支使用WAN（端口5），LAN（端口4）。

4. 通过网线，将智能接入网关的WAN（端口5）连接到三层交换机的G11端口上。

5. 通过网线，将智能接入网关的LAN（端口4）连接到三层交换机的G12端口上。

3. 端口配置。

1. 在智能接入网关实例页面，单击设备管理页签。

2. 在左侧页签栏，单击LAN口管理。

3. 在LAN（端口4）区域，单击编辑。

4. 在LAN（端口4）配置页面，连接类型选择静态IP，输入规划好的IP地址信息，然后单击确定。

5. 在左侧页签栏，单击WAN口管理。

6. 在WAN（端口5）区域，单击编辑。

7. 在WAN（端口5）配置页面，连接类型选择静态IP，输入规划好的IP地址信息，然后单击确定。

4. 配置路由。

1. 在智能接入网关实例页面，单击设备管理页签。

2. 在左侧页签栏，单击路由管理。

3. 在OSPF协议配置区域，单击编辑。

4. 在配置OSPF路由协议页面，输入规划好的配置信息，然后单击确定。

   参数	说明
   Area ID	主设备区域ID：1 备设备区域ID：1
   Hello_time	两台设备Hello_time时间均为3秒。
   Dead_time	两台设备Dead_time时间均为10秒。
   认证方式	两台设备均选择不认证。
   Router ID	主设备路由器ID：192.168.100.1 备设备路由器ID：192.168.200.1
   Area Type	区域类型默认为NSSA。

5. 在WAN/LAN动态路由配置详情区域，选择启用OSPF协议。

6. 单击目标端口端口4（LAN）的操作列的编辑，选择启用OSPF，单击确定。

5. 配置线下路由同步方式。

1. 登录智能接入网关管理控制台。

2. 在智能接入网关页面，单击需要进行网络配置的网关实例操作列下的网络配置。

3. 在线下路由同步方式页签下，选择动态路由。

6. 配置三层交换机和出口路由器。

   由于不同厂商的交换机配置命令有所区别，具体请参考厂商的配置手册。本文仅以某厂商交换机和路由器举例说明。

• 配置端口IP及OSPF参数：

  说明 同一个智能接入网关设备运行OSPF协议接口的网络类型需要配置为p2p，否则不能正确地计算路由。

  interface GigabitEthernet 0/11 no switchport ip address 192.168.100.2 255.255.255.252 智能接入网关1对端交换机的端口IPinterface GigabitEthernet 0/12 no switchport ip ospf network point-to-point 网络类型必须为p2p ip ospf hello-interval 3 ip ospf dead-interval 10 ip address 192.168.50.2 255.255.255.252智能接入网关1对端交换机的端口IP interface GigabitEthernet 0/13 no switchport ip address 192.168.200.2 255.255.255.252 智能接入网关2对端交换机的端口IP!interface GigabitEthernet 0/14 no switchport ip address 192.168.60.2 255.255.255.252 智能接入网关2对端交换机的端口IP ip ospf network point-to-point 网络类型必须为p2p ip ospf dead-interval 10 ip ospf hello-interval 3!

• 配置交换机的Loopback地址及路由通告信息：

  说明 OSPF需要配置为NSSA区域，且自动产生默认路由发布给智能接入网关。

  interface Loopback 0ip address 192.168.100.3 255.255.255.255 交换机的loopback地址!router ospf 1 router-id 192.168.100.3 交换机的routerID network 172.16.0.0 0.15.255.255 area 0 本地服务器网段 network 192.168.50.0 0.0.0.4 area 1 交换机连接智能接入网关1的接口网段 network 192.168.100.3 0.0.0.0 area 0 交换机本身的loopback地址 network 192.168.60.0 0.0.0.4 area 1 交换机连接智能接入网关2的接口网段 area 1 nssa default-information-originate no-summary!

• 交换机配置

• 出口路由器路由配置

  配置静态路由ip route 192.168.100.1 255.255.255.252 192.168.80.2 出口路由器去往智能接入网关1的路由ip route 192.168.200.1 255.255.255.252 192.168.80.2 出口路由器去往智能接入网关2的路由

步骤四：深圳IDC接入智能接入网关和物理专线

深圳IDC收到网关设备后，请按照SAG-1000简介检查配件。

在执行此操作前，请保持网关设备启动且4G信号正常，已经连接到阿里云。

1. 激活绑定智能接入网关实例。详细步骤请参见1。

2. 连接网关设备。

1. 在智能接入网关实例页面，单击设备管理页签。

2. 在左侧页签栏，单击端口角色分配。

3. 在端口角色分配，单击目标端口的操作列下的修改，修改端口角色。

   深圳IDC使用WAN（端口3）。

4. 通过网线，将智能接入网关的WAN（端口3）连接到三层交换机的G11端口上。

3. 端口配置。

1. 在智能接入网关实例页面，单击设备管理页签。

2. 单击WAN口管理页签。

3. 在WAN（端口3）区域，单击编辑。

4. 在WAN（端口3）配置页面，连接类型选择静态IP，输入规划好的IP地址信息，然后单击确定。

4. 配置路由。

1. 配置线下路由同步方式。详情请参见3。

   深圳IDC选择添加静态路由172.32.0.0/12。

2. 保持在该智能接入网关实例页面，单击设备管理页签。

3. 在左侧导航栏，单击路由管理，然后单击添加静态路由。

4. 在添加静态路由页面，添加去往本地机构的静态路由。

5. 配置三层交换机和出口路由器

   由于不同厂商的交换机配置命令有所区别，具体请参考厂商的配置手册。本文仅以某厂商交换机和路由器举例说明。

   互联交换机的路由配置。

   三层交换机：interface GigabitEthernet 0/11no switchportip address 192.168.110.2 255.255.255.252 智能接入网关对端交换机的端口IPip route 10.0.0.0 255.255.0.0 192.168.110.1 255 交换机去往阿里云北京VPC的路由ip route 10.10.0.0 255.255.0.0 192.168.110.1 255 交换机去往阿里云美西VPC的路由ip route 192.168.30.0 255.255.255.0 192.168.110.1 255 交换机去往上海总部的路由ip route 0.0.0.0 0.0.0.0 192.168.90.1 交换机去往公网路由。

   出口路由器的路由配置。

   出口路由器：ip route 192.168.110.1 255.255.255.252192.168.90.2 出口路由器去往智能接入网关的路由

6. 搭建物理专线。

• 账号类型：当前账号。

• 名称：深圳VBR。

• 物理专线接口：选择申请的物理专线接口。

• VLANID：0。

• 阿里云侧互联IP：192.168.150.2/30。

• 客户侧互联IP：192.168.150.1/30。

• 子网掩码：255.255.255.252。

1. 在自主申请专线接入前，您需要完成接入点确认、运营商工勘等准备工作。详细信息，请参见准备工作。

2. 开通上云物理专线。详情请参见步骤二：开通物理专线接口。

3. 登录高速通道管理控制台。

4. 在左侧导航栏，单击边界路由器（VBR） > 边界路由器（VBR）。

5. 在顶部状态栏处，选择要创建的边界路由器的地域。

   深圳IDC选择华南1（深圳）地域。

6. 在边界路由器（VBR）页面，单击创建边界路由器。

7. 在创建边界路由器对话框，根据以下信息配置边界路由器，然后单击确定。

7. 在深圳IDC和边界路由器之间分别建立起BGP邻居并宣告相应路由。深圳IDC配置请咨询相应厂商，阿里云上配置请参见配置BGP。

8. 智能接入网关绑定边界路由器。

   说明 云企业网对相同网段的专线路由和智能接入网关路由处理优先级是：专线路由优先处理。

1. 登录智能接入网关管理控制台。

2. 在智能接入网关页面，单击需要进行网络配置的网关实例操作列下的网络配置。

3. 在绑定网络详情页签下，单击添加网络，选择刚刚创建的边界路由器网络实例，单击确定。

步骤五：北京移动办公区接入智能接入网关APP

1. 购买智能接入网关APP。详情请参见购买智能接入网关APP。

2. 在智能接入网关控制台添加要进行云上访问的私网网段。详情请参见网络配置。

   北京移动办公区添加私网网段192.168.20.0/24。

3. 在智能接入网关控制台为移动用户添加账号。详情请参见账号管理。

• 用户名：非必填参数，默认为邮箱账号。此处输入test。

• 邮箱地址：此参数必填。普通用户的邮箱地址，此处输入test@example.com。

• 设置带宽峰值：当前账号可以使用的带宽峰值。此处保持默认值。

  可设置带宽范围为1Kbps-2Mbps，默认为2Mbps。

• 设置密码：非必填参数。此处不输入。

4. 移动用户安装客户端。详情请参见安装客户端。

5. 移动用户可通过下发的账户信息连接内网。详情请参见连接内网。

步骤六：绑定智能接入网关到云连接网

要将智能接入网关实例所连接的线下分支接入阿里云，您必须先创建一个云连接网，然后将智能接入网关实例添加到云连接网内，为实现线下分支和云上网络资源互通做准备。

1. 登录智能接入网关管理控制台。

2. 在左侧导航栏，单击云连接网。

3. 在云连接网，单击创建云连接网。

4. 在创建云连接网页面，配置云连接网名称，然后单击确定。

   云连接网名称长度为2~100个字符，以大小写字母或中文开头，可包含数字、下划线（_）或短横线（-）。

5. 在云连接网页面，单击刚刚创建的云连接网实例ID。

6. 在云连接网实例页面，单击绑定智能接入网关。

7. 在绑定智能接入网关页面，选择同账号页签。

8. 选择北京门户智能接入网关实例，单击确定。

9. 请重复上述步骤，将深圳IDC、上海分支和北京移动办公区APP实例绑定同一个云连接网。

   

   您可以在云连接网实例页面查看已经绑定的智能接入网关实例。

步骤七：添加网络实例到云企业网

在智能接入网关绑定到云连接网后，您还需要创建一个云企业网，将云连接网CCN、专有网络VPC和边界路由器VBR绑定到该云企业网内，为企业分支机构、阿里云上VPC网络和企业总部互通做准备。

1. 登录云企业网控制台。

2. 在云企业网实例页面，单击创建云企业网实例。

3. 在创建云企业网实例页面，将之前步骤中创建的云连接网CCN直接加载到该云企业网实例中。

   说明 创建云企业网实例详情请参见创建云企业网实例。

   

4. 登录智能接入网关管理控制台。

5. 在左侧导航栏，选择快捷连接 > 云企业网，选择之前创建的云企业网实例ID。

6. 在网络实例管理页签，单击加载网络实例。

7. 单击同账号页签，添加网络实例。

   将之前创建的阿里云北京VPC、阿里云美西VPC、上海总部边界路由器VBR和深圳IDC边界路由器VBR绑定到该云企业网内。

• 实例类型：选择要加载的实例类型。

• 地域：选择所选实例类型的所属地域。

• 网络实例：选择要加载的网络实例。

步骤八：购买带宽包

要实现跨地域网络实例互通，您必须购买带宽包并设置跨地域互通带宽。同地域互通不需要购买带宽包。带宽包购买说明请参见购买带宽包。

本方案中需要同时购买跨境和非跨境带宽包，以实现云上网络资源互通。

1. 登录智能接入网关管理控制台。

2. 在左侧导航栏，选择快捷连接 > 云企业网，选择之前创建的云企业网实例ID。

3. 在云企业网实例页面，单击带宽包管理页签，此处以单击购买带宽包（预付费）。

4. 在云企业网（预付费）页面，在跨境页签下配置带宽包信息，然后单击立即购买。

   

• 云企业网：选择VPC、VBR和云连接网所加入的云企业网。

• 区域A和区域B：选择本次购买带宽包需要互通的网络实例所在的区域。

  此处选择中国内地和北美。

• 带宽值：根据业务需要，选择跨区域互通的带宽。

• 带宽包名称：输入该带宽包的名称。

5. 在云企业网实例页面，单击跨地域互通带宽管理页签，然后单击设置跨地域带宽。

6. 设置跨境互通带宽，每个带宽包下的跨地域互通带宽的总和不能大于该带宽包的带宽值。

• 带宽包：选择已绑定至云企业网实例的带宽包，此处选择中国内地⇋北美。

• 互通地域：选择需要互通的地域，此处选择中国内地云连接网和美国（硅谷）。请以同样的方式创建华北2（北京）和美国（硅谷）、华南1（深圳）和美国（硅谷）、华东2（上海）和美国（硅谷）的互通带宽包。

• 带宽：根据业务需要，输入带宽值。

  说明 每个带宽包下的跨地域互通带宽的总和不能大于该带宽包的带宽值。

7. 购买中国内地互通带宽包。在云企业网（预付费）页面，单击非跨境页签，然后完成以下配置。

• 云企业网：选择VPC、VBR和云连接网所加入的云企业网。

• 区域A和区域B：选择本次购买带宽包需要互通的网络实例所在的区域。

  此处选择中国内地和中国内地。

• 带宽值：根据业务需要，选择跨区域互通的带宽。

• 带宽包名称：输入该带宽包的名称。

8. 设置跨地域互通带宽，然后单击确定。

• 带宽包：选择已绑定至云企业网实例的带宽包，此处选择中国内地⇋中国内地。

• 互通地域：选择需要互通的地域，此处选择中国内地云连接网和华北2（北京）。请以同样的方式创建中国内地云连接网和华南1（深圳）、中国内地云连接网和华东2（上海）、华北2（北京）和华南1（深圳）、华北2（北京）和华东2（上海）、华东2（上海）和华南1（深圳）的互通带宽包。

• 带宽：根据业务需要，输入带宽值。

步骤九：配置安全组

您需要在阿里云北京VPC、阿里云美西VPC内分别为上海分支、深圳IDC、北京门户和北京移动办公区进行访问授权，以便分支机构访问云上资源。

本操作以阿里云北京VPC为例为上海分支进行访问授权，请以同样的操作为其余分支授权。

1. 登录ECS管理控制台。

2. 在左侧导航栏，单击实例。

3. 找到阿里云北京VPC内的ECS实例，然后单击更多 > 网络和安全组 > 安全组配置。

4. 单击配置规则，然后单击添加安全组规则。

5. 配置一条允许上海分支访问阿里云北京VPC的安全组规则。

   

步骤十：访问测试

完成上述配置后，您可以通过在各个分支的客户端访问已连接的VPC中部署的云资源验证配置是否生效。

2019-05-29 152