ixiainlinesecuritypocppt课件

Inline Security Agenda 1. 传统网络分析 2. 网络优化方案介绍 3. iBypass 40-10介绍 4. iBypass VHD介绍 5. V1 vs xStream 6. Gigamon Inline Data Center Traditional or “Classic” Deployment Packet parsing, brute force security policy and load balancing is traditionally inline. Policy is simple and parsing does not require an extended lookup. IPS/IDS, DDoS mitigation and Forensics require a longer processing time for variable payload and pattern analysis. Traditionally out of band for extended latency and drops due to false positives. Valid event detection triggers an event that will typically re-route or “black hole” the offending connection. SSL decrypt may be integrated into security appliance. This device represents large proxy to support web services. 原网络拓补 IPS设备部署在PE前端，成为整个网 络的单点故障点，大幅降低了整个 网络的可靠性。一旦IPS设备出现故 障，会造成整个网络业务中断 IPS设备容易成为整个网络的性能瓶 颈 如果需要增加新的安全网关设备， 需要中断业务，割接工作量大，割 接风险高 网络优化方案一 网络优化方案一 IPS设备部署在PE和交换机之间， 位置更为合理 在每条线路上各部署一台智能 bypass交换机，通过heatbeat报文 实时监测IPS的状态，确保IPS设 备出现故障时把流量bypass，防止 业务中断。 可以考虑新增一台IPS设备，由网 络负载均衡器实现两台IPS设备的 负载均衡，解决IPS设备的性能瓶 颈问题。 当其中一台IPS设备出现故障，网 络负载均衡器可将所有流量引向另 一台IPS设备。 网络负载均衡器能够确保同一个应 用会话中的所有数据包由同一台 IPS处理，避免非对称路由模式下 IPS设备无法分析会话内容的问 题。 方案一工作原理详解 方案一工作原理详解负载均衡 未经过滤的流量 过滤后的流量 网络的流量由两台IPS共同分担 ，避免出现性能瓶颈！ 10G 5G5G 方案一工作原理详解负载均衡 未经过滤的流量 过滤后的流量 IPS不用关心流量来自哪条路由 ，工作状态完全一样！ 10G 5G5G 方案一工作原理详解IPS互为备份 未经过滤的流量 过滤后的流量 其中一台IPS出现故障 10G 5G5G 10G 网络负载均衡器将流量引向另一 台IPS 业务不会中断！ 方案一工作原理详解IPS全部出现故障 未经过滤的流量 过滤后的流量 如果两台IPS出现故障 10G 5G5G 智能Bypass设备会把流量bypass 业务不会中断！ 方案一工作原理详解网络负载均衡器无法工作 未经过滤的流量 过滤后的流量 如果网络负载均衡器断电 10G 5G5G 智能Bypass设备会把流量bypass 业务不会中断！ 方案一工作原理详解如果需要新增一台安全网关 如果需要增加一台安全网关，如 APT攻击过滤网关，只需要把新设 备接入到负载均衡器即可。 10G 5G5G10G 新增APT 安全网关 网络负载均衡器会将流量先交给 IPS设备过滤 IPS过滤后再由APT网关过滤 在网络中增加任何一台新 的安全设备，割接变得异 常简单！ 任何一台安全设备出现故 障，业务永远不会中断， 网络变得非常可靠！ 网络优化方案二 更为完美的解决方案 网络优化方案二 在方案一的基础上，增加一台网络 负载均衡器，实现两台网络负载均 衡器热备份。 此方案拥有方案一的全部功能 与方案一不同的是，当其中一台网 络负载均衡器无法工作时，流量仍 然能够由备份网络负载均衡器送达 IPS设备进行过滤 方案二工作原理详解 网络的流量由两台IPS共同分担 ，避免出现性能瓶颈！ 方案二工作原理详解负载均衡 10G 5G 5G IPS不用关心流量来自哪条路由 ，工作状态完全一样！ 方案二工作原理详解负载均衡 10G 5G 5G 方案二工作原理详解网络负载均衡器HA 10G 5G 5G 两台网络负载均衡器配置相同且实 时同步状态。如果一台网络负载均 衡器无法工作。 智能Bypass设备会将流量引向备 份网络负载均衡器。 备份网络负载均衡器的工作 状态和原先保持完全一致 和方案一相比，即使一台网络 负载均衡器无法工作，整个网 络的安全过滤功能仍然能够工 作，增加了网络安全性 业务仍然不会中断，网络变得 非常安全可靠！ 5G 该方案的优点 优优化前优优化后 IPS部署在PE路由器前端，位置不合理IPS设备部署在PE路由器和三层交换机 之间，位置更加合理 IPS容易成为整个网络的性能瓶颈如果单台IPS性能不足，可以增加一台 IPS实现负载 均衡（两台IPS可以是不同 品牌不同型号），网络可以随着业务增 长动态 平滑横向扩展 IPS容易造成整个网络的单点故障即使IPS出现故障，整个网络的业务不 会中断 线路中串接新的安全设备，需要进行流 量切换，割接所需时间长 ，操作复杂， 风险高，需要中断业务 新增安全设备可直接接入到网络负载 均 衡器的端口上，割接简单快捷，风险低 ，无需切换路由，不会中断业务 所有流量都要流经所有设备： 1.增加不必要的包时延 2. 浪费不必要的设备带宽资 源（WAF) 不是所有流量都经过所有安全设备， 1. 非WEB流量不经过WAF，这样就不 会增加这些包的时延 2. 安全设备只专注于处理自己关心的业 务流量，有效降低安全设备负载 和提高 业务处 理效率（如WAF只处理WEB业 务） iBypass 40-10 iBypass 40-10 多种工作模式 iBypass40-10通过Breakout线，最多可以提供4对网络端口（每对端口分别用A和B 表示），4对监测端口（每对端口我们用1和2表示），故总共可提供4路通道，即4 个Segments. iBypass40-10总共提供10种模式的高可靠性模式： standAlone activeActive1 activeActive2 activeActive3 activeActive4 activeActive5 activeActive6 activeStandby1 activeStandby2 activeStandby3 activeStandby2 工作原理 本次测试中使用的是activeStandby2模式，4个Segments分2对HA pairs。以 下图为例，网络侧我们只使用1个Segment，监测侧使用了2个Segments，当Tool3 出故障时，流量会自动切换到Tool4。当Tool3和Tool4都出故障时，A和B直通。 activeStandby2 工作原理 1.正常状态：Segment2为Standby 2. Segment1 Fail后，Segment2切成Active 3. Segment1和Segment2的Monitor Port都Fail后， Segment1的Network Port 直接Bypass iBypass VHD Overview 1. Tap、Bypass、aggregation、 regeneration (All in One) 2. Inline or Out of band deployment 3. Preconfigured Heartbeats: only vendor integrated security tool heartbeats 3. Central Management Support: Indigo Pro 4. Active-standby/ Active-Active mode: Only vendor 5. Easy-to-Use Web Interface: 6. Fail-Safe: even in case of power failure 7. Module Design: up to 3 modules ( each module supports 16 SFP+ Ports = 4 Bypass Switchs) iBypass VHD GUI Inline and copy traffic to 2 OOB tools (regeneration) Ordering Information Inline Security HA (Active-Active) 测试拓扑 测试报告目录 Features: xStream vs VisionOne xStream配置过于复杂：学习曲线会很陡的 xStream Filters可视化和可读性不好，配置后，想改动，牵一发而动全身，在现网中应该没人 敢轻易动配置 VisionOne可视化和可操作性都做得相当好,这才是客户想要的 V1 Demo Emulator GigaHC2 with bypass modules Gigamon n x 1/10G based inline solution SKUGigamon, GigaVUE H Series product familyList Price Product GVS-HC201GigaVUE-HC2 base unit w/ chassis, Control Card, 1 Fan Tray, CLI, 2 power supplies, AC power $ 27,000.00 GVS-HC202GigaVUE-HC2 base unit w/ chassis, Control Card, 1 Fan Tray, CLI, 2 power supplies, DC power $ 29,000.00 BPS-HC0-D25A4GBypass Combo Module, HC Series, 4 SX/SR 50/125 BPS pairs, 16 10G cages $ 29,995.00 BPS-HC0-D25B4GBypass Combo Module, HC Series, 4 SX/SR 62.5/125 BPS pairs, 16 10G cages $ 31,995.00 BPS-HC0-D35C4GBypass Combo Module, HC Series, 4 LX/LR BPS pairs, 16 10G cages $ 34,995.00 TAP-HC0-G100C0TAP and Bypass module, HC Series, Copper, 12 TAPs or BPS pairs $ 21,000.00 SMT-HC0-X16GigaSMART, HC Series, Front Module, 16 10G cages (includes Slicing, Masking, Source Port & GigaVUE Tunneling De-Encapsulation) $ 28,995.00 Gigamon的inline Solution： 内部Bypass模块 + Active-Standby GigaBPS模块： 右边白色4对就是Physical Bypass port pairs, 左边16个可作 network/tool/Stacking/logical ports 2种Bypass mode: 1. Physical : 支持断电时Bypass, 不断流 2. Logical : 使用HeartBeat，用于监测inline tool failure NPB有可能断电，故只能使用Physical mode， Ixia Solution advantages IXIA: 支持external