安全技术发展趋势.ppt

安全技术发展趋势 自我介绍 孙晓明杭州迪普科技有限公司解决方案部部长Mobile mail sunxiaoming 提纲 应用的变化现有安全技术安全技术趋势 应用的变化 从web2 0到云计算物联网的兴起 从web2 0到云计算 用户创造内容 应用放在云端 应用的新挑战Web2 0代表的新应用走向企业云计算代表的新架构改变企业基础设施 Cloud What Infrastructure SaaS Platform PaaS Software SaaS SaleForceMicrosoftNetSuite GoogleAppEngineBungeeLabsHeroku AmazonEC2GoGridMosso PublicCloude VirtualPrivateCloud PrivateCloude Cloud How Phase 打破硬件界限 将数据中心整合为统一的资源池 IaaS CPU资源池 虚拟资源池 物理服务器 虚拟业务主机 内存资源池 存储资源池 Cloud How Phase 将全部系统服务与业务应用都纳入云中 PaaS SaaS CPU资源池 系统服务云 基础架构云 业务应用云 内存资源池 存储资源池 物联网的核心是对信息数据的采集和处理 物联网 TheInternetofthings 把新一代IT技术充分运用在各行业中 如能源 交通 建筑 家庭 市政系统等 然后与现有通信网结合 实现人类社会与物理系统的整合 人类可以更加精细和动态的方式管理生产和生活 达到 智慧 状态 提高资源利用率和生产力水平 改善人与自然间的关系 物联网的兴起 物联网的应用 车载应用 工控应用 对讲应用 消防远程监控 新应用带来的安全挑战 新应用带来的新威胁应用越来越集中 越来越重要带来的管理压力网络流量的快速增长 网络复杂性的增加 现有安全技术 常见信息安全技术图谱常见安全威胁与安全产品 信息安全 连接管理 数据还原 识别技术 重定向 加密 加密技术 加密应用技术 常见信息安全技术图谱 基本技术 基于状态表转发 如收到的数据包为新建TCP连接的数据包 则根据预定义规则决定是否转发 如确定需要转发则在状态表中增加相关表项 并开始跟踪TCP握手信息 如收到的数据包为非新建连接 则检查状态表表项 如有相关表项则根据表项进行转发 否则丢弃该数据包 如该数据包为TCPFIN包 则转发后删除相关表项 状态表中的表项都有预定义的老化时间 如超过老化时间仍没有新的数据包通过 则删除该条记录 无老化时间的记录称为长连接 用于某些特殊应用 新建连接 非新建连接 状态表老化 基本技术 特征匹配技术 对比 基于攻击工具 或漏洞利用的特征进行检测 基于协议交互的异常进行检测 基于流量统计的异常进行检测 基于病毒样本特征进行检测 攻击事件智能关联分析 网络行为自学习 流量基线自学习 反向认证 报文正规化 IP重组 TCP流恢复 TCP会话状态跟踪 协议解码 基于应用层协议的状态跟踪 可信报文处理 基于特征匹配的多种检测方法 网络安全设备部署模式 旁路部署 在线部署 交换机上设置镜像端口 安全设备旁路进行抓包和特征匹配 某些网关类安全设备 如VPN 的单臂部署模式在拓扑形式上与此类似 但是数据包需要进行转发的 网关类安全设备大多采用此种将设备串入链路中的在线部署方式 透明模式向网线一样工作 桥模式相当于交换机 路由模式相当于路由器 混合模式既有路由模式也有桥模式 安全技术趋势 重新认识信息安全技术上的挑战与应对 目录 应用带来的挑战高性能与集成化虚拟化与强组网 组网模型正在发生变化 组网扁平化 安全成为事实上的核心 服务器区 业务终端 接入层 汇聚层 核心层 服务器区 超大型数据中心组网 终端迁入云中后 怎样保证终端安全策略的一致性 终端不在管理员的直接控制下 统一部署策略难度大 终端用户有意或无意的违反安全策略 难发现难处理 终端应该怎样进行归属 终端往往会处理多个业务 造成归属不清 终端在不同网络位置接入 难以精确归属 怎样找到问题终端 终端众多 当出现安全事件时 快速定位问题终端困难 传统的终端安全问题 都将不复存在 网络流量的变化一 云计算使得设备利用率大幅提升 网络流量变化二 数据中心内部流量增加并变得更加复杂 对安全产品的挑战 高性能 40G 100G 10G 10G 10G 如何实现40G 100G的线速 流量变化使得安全边界消失 边界在哪里 从网络访问控制到内容访问控制 IP 端口是否合法 应用是否合法 行为是否合法 需要多大性能 云的虚拟化要求网络虚拟化 N 1 VLAN1 VLAN2 VLANn 1 N 跨设备链路聚合 业务迁移的自适应 物联网带来的IPv6需求 奥运 龙形水系 景观照明控制系统采用IPv6网络 让上万支可调亮度灯及LED灯实现多种变化的景观效果 成为北京市夜间的城市新地标 物联网只有IPv6才能够支撑 目录 应用带来的挑战高性能与集成化虚拟化与强组网 安全产品的发展方向 集成化 高性能 控制流交换网 GE总线 XG总线 业务流交换网 主控引擎 功能融合的基础 通用的实现 Session 报文正规化处理及应用层数据恢复 协议分析 特征匹配 防火墙 流量控制 IPS 防毒墙 Web防火墙 集成化举例 特征库整合 卡巴斯基专业防病毒特征库拥有20万种病毒特征漏洞库漏洞特征库数量3000 协议库可实时检测和识别近千种应用层协议 漏洞库 协议库 病毒库 综合防御 业界最全面 高性能的前提 硬件的发展 适应各种业务处理分布式并行硬件体系 通用CPU缺少硬件搜索软件处理性能低 ASIC缺乏灵活性 不支持L4 L7业务 网络处理器指令空间有限 4到7层业务处理能力弱 嵌入式CPU有限的报文处理 多核CPU FPGA 现有实践 单板万兆的技术实现 主 多核CPU协 FPGA ASIC协 网络处理器辅 高速总线 多核CPU的未来发展 更高的内核集成度引入CrossBar架构多CPU的级联技术更高速度的总线接口 软件硬件化 硬件软件化的FPGA FPGA是一种高密度PLD芯片 它由三个可编程模块组成 编程的结果存放在一个SRAM中 所以需要上电时下载编程数据 现有实现 整机高性能的技术实现 控制流交换网 GE总线 XG总线 主控引擎 业务流交换网 CrossBar交换架构控制总线与数据总线分离控制与转发分离的软件架构基于Session的分布式转发 高性能设计举例 FPGA basedHWEngineSessionmanagementPacketsprocessingfastpathDPtechuniformsignaturesKasperskyAVsignatures Multi CoreSecurityProcessorHighdensityprocessingforflexiblesecurityfunctionality Policymgmt PCRE etc ProtocolsdecodingTrafficShaping 10Gbps CPU0 RAM RAM HDD 72GigNetworkProcessingASICFront endnetworkprocessingoffloadsHardwareacceleratedHashingandScheduling 10Gbps ControlPlane DataPlane Packetheaderchecking SignatureMatch SessionMgmt HWHash Scheduling 48GSwitchFabric DedicatedControlPlaneHighlyavailablemgmtHighspeedloggingupdatesAnalysisandreports 未来发展 40G 100G 10G 10G 10G 通用并行计算方法研究更大规模FPGA的应用设备内高性能负载均衡跨物理设备的性能聚合 目录 应用带来的挑战高性能与集成化虚拟化与强组网 网络虚拟化已经成为常态 生产分区 物理资源 办公分区 Internet分区 虚拟化分区 在一套物理资源上 采用虚拟化分区方法为多个业务系统虚拟出隔离的IT环境虚拟化分区具有独立的逻辑资源 带宽 计算 策略数 管理员 QoS 我们常用的局域网虚拟化 VLAN TrunkLink 研发部局域网 工程部局域网 市场部局域网 我们不太常用的广域网虚拟化 MPLS 汇聚交换机 虚拟网络VPN1 VPN1RD 100 100ExportRT 100 100ImportRT 100 100VRF VPN1RouteTable 10 10 1 0 24Local10 10 2 0 24172 10 1 2 VPN2RD 100 200ExportRT 100 200ImportRT 100 200VRF VPN2RouteTable 10 20 1 0 24Local10 20 2 0 24172 10 1 3 VPN2RD 100 200ExportRT 100 200ImportRT 100 200VRF VPN2RouteTable 10 20 2 0 24Local10 20 1 0 24172 10 1 1 VPN1RD 100 100ExportRT 100 100ImportRT 100 100VRF VPN1RouteTable 10 10 2 0 24Local10 10 1 0 24172 10 1 1 虚拟网络VPN2 接入交换机 核心交换机 汇聚交换机 10 10 1 1 24 10 20 1 1 24 10 10 2 1 24 10 20 2 1 24 172 10 1 1 172 10 1 2 172 10 1 3 VLAN10 VLAN20 VLAN10 VLAN20 接入交换机 虚拟网络VPN1 虚拟网络VPN2 标签转发通道 MPLSVPN典范 电子政务网 省政府 市政府 区县政府 省工商局 市工商局 区县工商局 省劳动厅 市劳动局 区县劳动局 纵向网络结构 横向网络结构 横向网络 信息共享 跨部门协作 纵向网络 业务运作 行业管理与指导 横向网络结构 实体政务网虚拟业务网 安全虚拟化 N 1 当网络已经虚拟化 安全也必须得支持虚拟化 PE MCE VLAN MPLS 路由表 NAT 状态表 访问策略 路由表 NAT 状态表 访问策略 路由表 NAT 状态表 访问策略 虚拟IPS 虚拟FW 状态表 安全策略 状态表 安全策略 状态表 安全策略 响应表 响应表 响应表 DPtech防火墙 IPS等全线安全产品全部支持虚拟化技术 网关类安全产品其它组网要求 静态路由协议 RIPv1 2 OSPF BGP 策略路由流量监管 拥塞检测及避免 流量整形MPLSVPN VLAN QinQ 虚拟防火墙 多播 虚拟防火墙组网示意 安全域1 安全域2 安全域3 虚拟防火墙 DPtechFW1000 虚拟防火墙 虚拟防火墙 BGPPeer 20 20 20 1 20 20 20 0 24NextHop4 4 4 2 20 20 20 1 32NextHop3 3 3 2 城域网 发布路由 20 20 20 1 32NextHop3 3 3 2No Advertise 3 3 3 2 BGP路由引流策略路由回注VLAN偷传回注MPLSVPN回注 流量清洗设备的组网能力要求 强组网能力的软件平台 网络产品围绕2 3层交换 实时性高缺乏处理4 7层业务能力 安全产品与2 3层的转发缺乏融合性能 业务扩展性上瓶颈明显 ConPlat是业界第一个实现高实时性 真正理解网络与应用的安全平台 迪普公司简介 公司简介 在网络安全领域集研发 生产 销售于一体的高科技企业 DPtech产品的核心竞争力 高性能硬件引擎基于硬件的包分析引擎基于硬件的包转发引擎基于硬件的检测引擎基于硬件的状态表处理实时内容分析引擎 专业的网络安全操作系统实时网络安全操作系统高性能操作系统高鲁棒性与高可靠控制与转发分离的软件架构基于多核CPU的并行处理系统 核心技术 FPGA basedContentProcessor ConPlat OperatingSystem FPGAContentProcessor DPtech全线产品基于的高性能软硬件平台 53 FW1000 GA N 防火墙 FW1000 GM N FW1000 ME N FW1000 MS N FW1000 GS N FW1000 MA N UTM IPS FW1000 GC N 防毒墙 UAG UAG3000 MC UAG3000 TS UAG3000 MM UAG3000 GS UAG3000 GE UAG3000 ME 软件 TAC终端访问控制 UMC统一管理中心 FW1000 GE N UAG3000 MS UAG3000 MA UAG3000 GA UTM2000 ME N UTM2000 MS N UTM2000 MA N UTM2000 GA N UTM20