《安全技术发展趋势》PPT课件.ppt

安全技术发展趋势 2 自我介绍 孙晓明 杭州迪普科技有限公司 解决方案部部长 MobileE-mail： 3 提纲 n 应用的变化 n 现有安全技术 n 安全技术趋势 4 应用的变化 从web 2.0到云计算 物联网的兴起 5 从web 2.0到云计算 用户创造内容 应用放在云端 应用的新挑战 Web 2.0代表的新应用走向企业 云计算代表的新架构改变企业基础设施 6 Cloud：What？ Infrastructure (SaaS) Platform (PaaS) Software (SaaS) SaleForce Microsoft NetSuite Google AppEngine Bungee Labs Heroku Amazon EC2 GoGrid Mosso Public Cloude Virtual Private Cloud Private Cloude 7 Cloud：How？Phase 打破硬件界限，将数据中心整合为统一的资源池。IaaS CPU资源池 虚拟资 源池 物理服 务器 虚拟业 务主机 内存资源池存储资源池 8 Cloud：How？Phase 将全部系统服务与业务应用都纳入云中。PaaS & SaaS CPU资源池 系统服 务云 基础架 构云 业务应 用云 内存资源池存储资源池 SQLSQL中间件中间件WWWWWW 程序接口程序接口 9 物联网的核心是对信息数据的采集和处理物联网的核心是对信息数据的采集和处理 物联网(The Internet of things)，把新一代IT技术充 分运用在各行业中，如能源 、交通、建筑、家庭、市政 系统等，然后与现有通信网 结合，实现人类社会与物理 系统的整合。 人类可以更加精细和动态 的方式管理生产和生活，达 到“智慧”状态，提高资源 利用率和生产力水平，改善 人与自然间的关系。 物联网的兴起 10 物联网的应用 车载应用 工控应用对讲应用 消防远程监控 11 新应用带来的安全挑战 n 新应用带来的新威胁 n 应用越来越集中，越来越重要带来的管理压力 n 网络流量的快速增长，网络复杂性的增加 12 现有安全技术 常见信息安全技术图谱 常见安全威胁与安全产品 13 信息信息 安全安全 连接 管理 数据 还原 识别 技术 重定 向 加密 状态检测态检测 Syn Proxy DNS重定向 代理 透明代理 HTTP重定向 反向代理 数字签签名 流量异常 行为识别为识别 内容加密 报报文正规规化 通信加密 身份认证认证 数字签签名/水印 PKI体系 IP碎片重组组 加密技 术 加密应 用技术 对对称加密算法 TCP流恢复 非对对称加密算法 哈希算法 编码还编码还 原 常见信息安全技术图谱 14 基本技术基于状态表转发 如收到的数据包为新 建TCP连接的数据包 ，则根据预定义规则 决定是否转发。 如确定需要转发则在 状态表中增加相关表 项，并开始跟踪TCP 握手信息。 如收到的数据包为非 新建连接，则检查状 态表表项。 如有相关表项则根据 表项进行转发，否则 丢弃该数据包。 如该数据包为TCP FIN 包，则转发后删除相 关表项。 状态表中的表项都有 预定义的老化时间。 如超过老化时间仍没 有新的数据包通过， 则删除该条记录。 无老化时间的记录称 为长连接，用于某些 特殊应用 ？ 新建连接新建连接非新建连接非新建连接状态表老化状态表老化 15 基本技术特征匹配技术 特征特征库库库库 * * 8/script s/%c0%af/winnt/syste m32/cmd.exe?/c+dir+c: X5O!P%AP4PZX54( P)7CC)7$EICAR- STANDARD- ANTIVIRUS-TEST- FILE!$H+H* * * * * 数据数据报报报报文文 以太网帧头帧头 IP头头 TCP头头 应应用层层数据 对比对比 16 1.基于攻击工具、或漏洞 利用的特征进行检测。 2.基于协议交互的异常进 行检测。 3.基于流量统计的异常进 行检测。 4.基于病毒样本特征进行 检测。 5.攻击事件智能关联分析 。 6.网络行为自学习、流量 基线自学习。 7.反向认证。 检测方法 1.报文正规化。 2.IP重组。 3.TCP流恢复。 4.TCP会话状态跟踪。 5.协议解码。 6.基于应用层协议的状态 跟踪。 7.可信报文处理。 报文处理方式 基于特征匹配的多种检测方法 17 网络安全设备部署模式 旁路部署在线部署 交换机上设置镜像端口，安全设备 旁路进行抓包和特征匹配。 某些网关类安全设备（如VPN）的 单臂部署模式在拓扑形式上与此类 似，但是数据包需要进行转发的。 网关类安全设备大多采用此种将设 备串入链路中的在线部署方式。 透明模式 向网线一样工作 桥模式 相当于交换机 路由模式 相当于路由器 混合模式 既有路由模式也 有桥模式 18 安全技术趋势 重新认识信息安全 技术上的挑战与应对 19 目录 n 应用带来的挑战 n 高性能与集成化 n 虚拟化与强组网 20 组网模型正在发生变化 组网扁平化，安全成为事实上的核心组网扁平化，安全成为事实上的核心 服务器区 业务终端 接入层 汇聚层 核心层 服务器区 21 超大型数据中心组网 22 终端迁入云中后 怎样保证终端安全策略的一致性？ 终端不在管理员的直接控制下，统一部署策略难度大。 终端用户有意或无意的违反安全策略，难发现难处理。 终端应该怎样进行归属？ 终端往往会处理多个业务，造成归属不清。 终端在不同网络位置接入，难以精确归属。 怎样找到问题终端？ 终端众多，当出现安全事件时，快速 定位问题终端困难。 传统的终端安全问题，都将不复存在 23 网络流量的变化一 云计算使得设备 利用率大幅提升 24 网络流量变化二 数据中心内部流量增加并变得更加复杂 25 对安全产品的挑战高性能 40G100G 10G10G10G 如何实现40G 100G的线速？ 26 流量变化使得安全边界消失 边界在哪里？ 27 从网络访问控制到内容访问控制 IP/端口是否合法 ？ 应用是否合法？ 行为是否合法？ 需要多大性能？ 28 云的虚拟化要求网络虚拟化 N=1 VLAN 1 VLAN 2 VLAN n 1=N 跨设备链 路聚合 业务迁移 的自适应 29 物联网带来的IPv6需求 奥运“龙形水系” 景观照明控制 系统采用IPv6网络，让上万支可 调亮度灯及LED灯实现多种变化 的景观效果，成为北京市夜间的 城市新地标。 物联网只有IPv6才能够支撑 30 目录 n 应用带来的挑战 n 高性能与集成化 n 虚拟化与强组网 31 安全产品的发展方向 集成化高性能 FPGA FPGA FPGA FPGA 控制流交 换网 GE总线 XG总线 业务流 交换网 主控引擎 32 功能融合的基础通用的实现 Session 报文正规化处理及应用层数据恢复 协议分析 特征匹配 防火墙 流量控制 IPS 防毒墙 Web防火墙 33 集成化举例：特征库整合 n卡巴斯基专业防病毒特征库 拥有20万种病毒特征 n漏洞库 漏洞特征库数量3000+ n协议库 可实时检测和识别近千种应用层协议 漏洞库 协议库病毒库 综合防御 业界最全面 34 高性能的前提硬件的发展 业务能力 L3 L4 L7 适应各种业务处理 分布式并行硬件体系 通用CPU 缺少硬件搜索 软件处理性能低 ASIC 缺乏灵活性，不支 持L4L7业务 转发性能 网络处理器 指令空间有限， 4到7层业务处理 能力弱。 嵌入式CPU 有限的报文处理 多核CPU+FPGA 35 现有实践：单板万兆的技术实现 n 主：多核CPU n 协：FPGA/ASIC n 协：网络处理器 n 辅：高速总线 36 多核CPU的未来发展 n 更高的内核集成度 n 引入CrossBar架构 n 多CPU的级联技术 n 更高速度的总线接口 37 软件硬件化、硬件软件化的FPGA FPGA是一种高密度PLD芯片。它由三个可编程模块组成，编程的结果存放在一 个SRAM中，所以需要上电时下载编程数据。 38 现有实现：整机高性能的技术实现 FPGA FPGA FPGA FPGA 控制流交换网 GE总线 XG总线 主控引擎 业务流交换网 n CrossBar交换架构 n 控制总线与数据总线分离 n 控制与转发分离的软件架构 n 基于Session的分布式转发 39 高性能设计举例 FPGA-based HW Engine Session management Packets processing fast path DPtech uniform signatures Kaspersky AV signatures Multi-Core Security Processor High density processing for flexible security functionality (Policy mgmt., PCRE, etc.) Protocols decoding Traffic Shaping 10Gbps Fast Path RAM RAM RAM RAM CPU 0 RAM RAM HDD 72 Gig Network Processing ASIC Front-end network processing offloads Hardware accelerated Hashing and Scheduling 10Gbps Control PlaneData Plane CPU 7 . . PolicyPCRE Traffic Shaping CPU 1 CPU 2 RAM RAM CPU 3 Packet header checking Signature Match Session Mgmt. HW Hash & Scheduling 48G Switch Fabric Dedicated Control Plane Highly available mgmt High speed logging updates Analysis and reports 40 未来发展 40G100G 10G10G10G n通用并行计算方法研究 n更大规模FPGA 的应用 n设备内高性能负载均衡 n跨物理设备的性能聚合 41 目录 n 应用带来的挑战 n 高性能与集成化 n 虚拟化与强组网 42 网络虚拟化已经成为常态 生产分区 物理资源 办公分区Internet分区 虚拟化分区 n在一套物理资源上，采用虚拟化分区方法为多个业务系统虚拟出隔离的IT环境 n虚拟化分区具有独立的逻辑资源：带宽、计算、策略数、管理员、QoS 数据中心 广域网 数据中心 广域网 数据中心 广域网 数据中心 广域网 43 我们常用的局域网虚拟化VLAN Trunk Link 研发部 局域网 工程部 局域网 市场部 局域网 虚拟拟网VLAN端口 工程部1011、2、9 研发发部1023、5、7 市场场部1034、6、8 虚拟拟网VLAN端口 工程部1012、3、4 研发发部1021、5、9 市场场部1036、7、8 44 我们不太常用的广域网虚拟化MPLS 汇聚交换机 虚拟网络VPN1 VPN1 RD：100:100 Export RT：100:100 Import RT：100:100 VRF_VPN1 Route Table: /24 Local /24 VPN2 RD：100:200 Export RT：100:200 Import RT：100:200 VRF_VPN2 Route Table: /24 Local /24 VPN2 RD：100:200 Export RT：100:200 Import RT：100:200 VRF_VPN2 Route Table: /24 Local /24 VPN1 RD：100:100 Export RT：100:100 Import RT：100:100 VRF_VPN1 Route Table: /24 Local /24 虚拟网络VPN2 接入交换机 核心交换机 汇聚交换机 /24/24 /24 /24 VLAN10VLAN20 VLAN10VLAN20 接入交换机 虚拟网络VPN1虚拟网络VPN2 标签转发通道 45 MPLS VPN典范：电子政务网 省政府 市政府 区县政府 省工商局 市工商局 区县工商局 省劳动厅 市劳动局 区县劳动局 纵向网络结构 横向网络结构 横向网络：信息共享，跨部门协作 纵向网络： 业务运作，行业管理与指导 政务网 MPLS VPN 横向网络结构 实体政务网 虚拟业务网 46 安全虚拟化（N=1) 当网络已经虚拟化，安全也必须得支持虚拟化 PEMCE VLANMPLS 路由表NAT状态表访问策略 路由表NAT状态表访问策略 路由表NAT状态表访问策略 虚拟IPS 虚拟FW 状态表安全策略 状态表安全策略 状态表安全策略 响应表 响应表 响应表 DPtech防火墙、IPS 等全线安全产品全部 支持虚拟化技术。 47 网关类安全产品其它组网要求 n静态路由协议/RIPv1/2/OSPF/BGP/策略路由 n流量监管/拥塞检测及避免/流量整形 nMPLS VPN/VLAN/QinQ/虚拟防火墙/多播 虚拟防火墙组网示意安全域1安全域2安全域3 虚拟防火墙 DPtechFW1000 虚拟防火墙虚拟防火墙 48 BGP Peer /24 NextHop /32 NextHop 城域网 发布路由 /32 NextHop No-Advertise BGP路由引流 策略路由回注 VLAN偷传回注 MPLS VPN回注 流量清洗设备的组网能力要求 49 网络层 路由 接口 交换 ACL/NAT 网络层 路由 接口 交换 ACL/NAT 网络产品硬件平台 ASICNPASICNP 强组网能力的软件平台 网络产品 围绕23层交换，实时性高 缺乏处理47层业务能力 安全产品 与23层的转发缺乏融合 性能、业务扩展性上瓶颈明显 网络层安全 防火墙 VPN/NAT DDoS ARP攻击 应用层安全 防病毒 木马 网页窜改 防垃圾邮件 URL过滤 安全产品硬件平台 X86、ASIC、NP、多核 APP-X NP + 多核 + FPGA ConPlat Layer27安全平台 防病毒 间谍软件 DDoS ARP攻击 NAT 路由 防垃圾邮件 防网页篡改 带宽滥用 防火墙 ACL 交换 防漏洞攻击 非法扫描 木马 VPN VoIP ConPlat是业界第一个实现高实时性、真正理解网络与应用的安全平台 50 迪普公司简介 51 公司简介 我们们的机构：总部位于杭州，在全国设有分支机构 我们们的方向：专注于网络内容及网络安全，为用户 提供深度安全检测与防御、深度内容识别与加速的 整体解决方案 我们们的能力：拥有自主知识产权 的高性能内容识别 与加速芯片及内容交付软件平台 我们们的服务务：依托各地的分支机构与合作伙伴，提 供全国7x24支持 在网络安全领域集研发、生产、销售于一体的高科技企业 52 DPtech