Crossbeam_增值安全服务解决方案.ppt

crossbeam 增值安全服务解决方案,张玉山,idc用户的安全需求,idc业务特征 -开放性：直接面向客户 -多样性：网络形态多样，客户层次多样 -不可控：非信任模型，用户行为不可控 -扩展性：不断扩充新业务 易遭受黑客攻击和病毒威胁 易遭受由恶意竞争引起的攻击,idc用户所需的安全应用,防火墙 - 通过安全策略，只允许用户访问开放的服务端口 入侵检测和防护 - 防止黑客利用开放的服务端口发起攻击 - 防止蠕虫病毒的传播 防病毒/防间谍软件 - 阻止病毒文件和间谍软件的上传和下载,增值安全服务面临的问题,如何实现设备共享，降低设备开支 如何降低管理开支，集中管理 不影响现网用户 如何保证系统的高可用性/高可靠性 如何实现全面的安全防护 未来如何扩展（性能/功能/端口）,路由器,网络交换机,安全区域,internet,防毒墙,ips,防火墙,传统方式下的增值安全架构,结构复杂 非冗余架构 无法实现分级服务，所有用户只能定制相同的安全服务 安全效率低，所有数据流必须通过所有安全设备 难以扩展,路由器,网络交换机,安全区域,internet,防毒墙,ips,防火墙,传统方式下的增值安全架构（冗余架构）,结构更加复杂 无法实现分级服务 安全效率低 难以扩展,crossbeam x 系列产品简介,1:n 冗余电源，分离供电,1:1 冗余风扇,1:1 冗余控制处理模块,冗余网络处理模块 最多可配4块npm 每个网络端口可定 义备份端口,冗余应用处理模块 同时运行多种安全应用 安全应用负载均衡 安全应用n+1备份 自愈合自保护技术,confidential,crossbeam x系列运营商级安全平台,9,crossbeam x系列架构,无源背板，全交叉总线 npm是数据流的出入口，负责数据流的分类和调度,apm是安全应用的执行者，每个apm是一个独立的子系统 cpm是设备的集中管理点，监控设备所有模块的状态,网络处理模块 npm,数据流的调度者 基于np+fpga：网络处理器+可编程逻辑门阵列 高速数据包分类及分发及智能数据流处理 根据源/目的地址、端口、协议、vlan等调度数据流 在同一安全应用组内实现负载均衡 以串行或并行方式在多种安全应用之间进行数据流调度 支持各种常用网络交换设备的功能 多链路聚合 (ieee 802.3ad lacp) vlan：802.1q 支持常见路由功能：rip/ospf/bgp/pim等 网络接口 npm2：8个千兆端口或16个百兆端口 npm6：10个千兆端口2个10g端口 支持rj-45、多模光纤、单模光纤等接口类型 可扩展性：每个crossbeam x系列设备机架可安装1-4块npm,应用处理模块apm,安全应用的执行者 每块apm是一个独立的子系统，均有独立cpu、独立总线、独立存储等 多块apm运行一种应用，实现性能的线性增长（负载均衡） 虚拟应用处理器：实现板卡与应用之间的独立 apm模块热插拔：热插拔不需要重新配置，配置将自动灌入。 支持n+1备份功能，备份模块不需要license 性能 单模块最高8gbps的防火墙吞吐量,控制处理模块cpm,设备的管理者 所有设备部件的监控：包括硬件、应用进程等，其cpu、内存等状态的监控 ha monitoring and failover 实时轮询apm的负载状况，使npm实现动态负载均衡 设备的集中控制管理点 带外管理 安全引擎均预装在cpm上 专用带外管理端口 专用日志端口 (千兆) 专用ha端口 (for dual-box ha) 管理与业务的分离 cpm的故障仅会影响设备的管理，对当前承载的安全应用没有影响,业界最佳安全应用的整合,crossbeam 提供综合的多层次安全保护，可同时支持的安全应用包括: 防火墙/vpn/ssl vpn check point 虚拟防火墙 通过 check point vsx 提供虚拟防火墙解决方案 ids/ips ibm iss，ids/ips市场占有率第一 内容安全：防病毒/防间谍软件/网站过滤 趋势科技/websense 其他安全应用 数据库保护、xml安全等,ibeam!,crossbeam 增值安全解决方案,接入交换机,核心交换机,核心路由器,x80安全交换机,托管服务器群组,托管服务器群组,crossbeam 增值安全解决方案,在核心交换机上通过策略路由方式或vlan透传方式将定制了安全业务的数据流引到x80上 未定制安全业务用户的数据流仍然沿原有路径传递 原有网络架构不受影响,接入交换机,核心交换机,核心路由器,x80安全交换机,托管服务器群组,托管服务器群组,定制了安全业务用户的数据流向,接入交换机,核心交换机,核心路由器,x80安全交换机,托管服务器群组,托管服务器群组,未定制安全业务用户的数据流向,crossbeam解决方案的扩展性,crossbeam x系列设备具有非常好的可扩展性，包括性能、安全功能及端口密度等均可随着需求灵活扩展 安全应用的扩展：通过增加apm板卡和相应安全应用许可证的方式实现功能的扩展。（sourcefire/trend micro /websense等） 性能的扩展：通过在原有安全应用组中增加新的apm板卡实现性能线性扩展 端口扩展：通过增加npm板卡实现端口扩展 未来的扩展：crossbeam未来新研发出的模块仍可安装在现有x设备机架内，可简单的提升现有设备的性能、端口密度、功能等到新的高度。,crossbeam x系列的性能扩展,通过npm/cpm自然实现 cpm监控每个apm的健康及负载状况，并将信息及时通知npm，npm根据这些信息自动调整流量分配 与apm运行的安全应用无关，即使该应用本身不支持负载均衡。 防火墙、av、内网安全、邮件安全、ids/ips等均可实现负载均衡 性能线性扩展/成本更低/网络结构更简单,ips负载均衡组,防火墙负载均衡组,crossbeam方案的高可靠性高可用性,专用性 专用硬件平台：np+fpga 专用操作系统：xos，智能实时数据流调度系统 设备级高可靠性高可用性 无源背板总线 全冗余设计 电源/npm/apm/cpm/网络端口，均可冗余。 设备无单一故障点 所有板卡可热插拔 99.9999%高可靠性,sbha 单机高可用性,sbha：single box high availability 冗余数据交换(多npm) 冗余控制管理(双cpm) 冗余网络处理器（网络端口-端口备份） 冗余安全应用处理模块(1-10个apm) 模块的n+1备份 冗余电源（可提供4个独立电源）,网络/端口/npm模块的高可用性 redundant links from x-series to a network service provider, internet, corporate etc. 2层连接的高可用性：active/standby 主链接故障时， 备份连接将自动被激活 ip将被重新映射到备份端口 备份端口将接管原有端口mac地址 同时保有其自身mac地址 同时向对端网络交换机发arp更新mac地址表,单机ha 端口冗余和cpm冗余,cpm 高可靠性/高可用性 cpm 工作于active/standby模式 当活动的cpm故障时， 备份cpm自动接管任务,layer 2 or 3 network connections,单机ha -负载均衡和n+1备份,负载均衡和n+1备份 ids应用组的一块板卡故障 npm 瞬时将流量切换到正常板卡上 备用板卡加载ids安全策略 npm 重新进行负载均衡 防火墙应用组的一块板卡故障 npm 瞬时将流量切换到正常板卡上 一个ids板卡将自动切换为防火墙板卡 npm 重新进行负载均衡 发生故障的防火墙板卡在线更换 该板卡将自动作为ids板卡运行 发生故障的ids板卡在线更换 该板卡自动作为备份板卡运行,vaps firewall standby ids failed,100% load 0%,23,24,2008 crossbeam systems, inc.,安全业务的分级定制,防火墙,防病毒,ips,用户1,用户3,用户2,用户1 ：防火墙 用户2：防火墙+ips 用户3：防火墙+ips+防病毒,数据流的安全调度 安全效率的提高,不同的用户有不同的安全需求，需要定制不同的安全服务 不同的数据流类型需要进行不同的安全检测，例如http应该进行病毒检测，而视频数据流就没有必要通过防毒模块 crossbeam专利的x-stream数据流可以根据不同的数据类型、应用、网段、用户进行数据流的调度，实现安全业务的分级定制，提高安全效率。,虚拟系统的优越性,可以为不同用户分配独立的虚拟防火墙 每个用户拥有独立的安全策略 为虚墙分配固定的系统资源 支持虚墙的负载均衡和切换 单台设备最大支持500个虚墙,运行虚拟防火墙的apm模块,虚拟防火墙,虚拟路由器,用户1,用户2,用户3,针对漏洞的防护 ibm iss proventia,传统的ips是针对攻击特征的防护 针对同一个漏洞，黑客可以开发多种攻击工具，攻击特征不断变化 漏洞的发现远早于攻击特征的发现。基于攻击特征的防护只能在攻击发生后才能进行，无法实现零日防护 ibm iss实现了真正基于漏洞的防护，是目前市场占有率最高的ips产品。,国内管理安全服务 成功案例,河北网通,河北网通在城域网二期扩容项目中引入增值安全服务，提供给城域网的接入用户 要求： -局端部署 -支持虚拟系统 -高可靠性，全冗余结构 -可以灵活增加新的安全服务,解决方案提供,采用 crossbeam x80/checkpoint vsx虚拟防火墙 24台x80分布在河北省11个城市 采用checkpoint vsx ，在一台x80上虚拟出多套防火墙，每个企业vip用户拥有独立的防火墙，独立的安全策略。 x80并联在汇聚层交换机旁 通过策略路由的方式或vlan透传方式将vip用户的流量转移到x80上 采用全冗余结构：网络模块冗余，应用模块冗余、主控模块冗余 准备二期扩容，增加防病毒/网站过滤模块,部署方式,与汇聚层设备并联 对用户的当前的接入方式不做修改 用户地址不需要做任何修改,部署方式,其他案例,广东电信 - 对中小企业和宽带用户提供服务 - 以惠州为试点 - 提供防火墙/防病毒/网站过滤服务 上海电信 - 针对idc托管主机 - 提供防火墙/ips/防病毒服务,crossbeam 公司介绍,关于crossbeam,成立于2000年3月 总部位于美国波士顿，在全球几十个国家设有办事机构或分公司，包括北美、emea、亚太。 美国成长最快的新技术公司之一，近3年销售额每年增长接近100% 2005年美国100家最好新技术公司之一 2006/2007年美国最热门公司之一,crossbeam is “transformational”,number one in high-end utm,enterprise & service provider class over 65% market shar