安全技术发展趋势

1、安全技术发展趋势自我介绍孙晓明杭州迪普科技有限公司解决方案部部长Mobile：E-mail：提纲应用的变化现有安全技术安全技术趋势应用的变化从web 2.0到云计算物联网的兴起从web 2.0到云计算用户创造内容应用放在云端应用的新挑战Web 2.0代表的新应用走向企业云计算代表的新架构改变企业基础设施Cloud：What？Infrastructure(SaaS)Platform(PaaS)Software(SaaS)SaleForceMicrosoftNetSuiteGoogle AppEngineBungee LabsHerokuAmazon EC2GoGridMossoPublicClo

2、udeVirtual Private CloudPrivate CloudeCloud：How？Phase 打破硬件界限，将数据中心整合为统一的资源池。IaaSCPU资源池虚拟资源池物理服务器虚拟业务主机内存资源池存储资源池Cloud：How？Phase 将全部系统服务与业务应用都纳入云中。PaaS & SaaSCPU资源池系统服务云基础架构云业务应用云内存资源池存储资源池SQL中间件WWW程序接口物联网的核心是对信息数据的采集和处理 物联网(The Internet of things)，把新一代IT技术充分运用在各行业中，如能源、交通、建筑、家庭、市政系统等，然后与现有通信网结合，实现人类

3、社会与物理系统的整合。 人类可以更加精细和动态的方式管理生产和生活，达到“智慧”状态，提高资源利用率和生产力水平，改善人与自然间的关系。 物联网的兴起物联网的应用车载应用工控应用对讲应用消防远程监控新应用带来的安全挑战新应用带来的新威胁应用越来越集中，越来越重要带来的管理压力网络流量的快速增长，网络复杂性的增加现有安全技术常见信息安全技术图谱常见安全威胁与安全产品信息安全连接管理数据还原识别技术重定向加密状态检测Syn ProxyDNS重定向代理透明代理HTTP重定向反向代理数字签名流量异常行为识别内容加密报文正规化通信加密身份认证数字签名/水印PKI体系IP碎片重组加密技术加密应用技术对称加

4、密算法TCP流恢复非对称加密算法哈希算法编码还原常见信息安全技术图谱基本技术基于状态表转发如收到的数据包为新建TCP连接的数据包，则根据预定义规则决定是否转发。如确定需要转发则在状态表中增加相关表项，并开始跟踪TCP握手信息。如收到的数据包为非新建连接，则检查状态表表项。如有相关表项则根据表项进行转发，否则丢弃该数据包。如该数据包为TCP FIN包，则转发后删除相关表项。状态表中的表项都有预定义的老化时间。如超过老化时间仍没有新的数据包通过，则删除该条记录。无老化时间的记录称为长连接，用于某些特殊应用？新建连接非新建连接状态表老化基本技术特征匹配技术特征库*:X5O!P%AP4PZX54(P)

5、7CC)7$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*数据报文以太网帧头IP头TCP头应用层数据对比基于攻击工具、或漏洞利用的特征进行检测。基于协议交互的异常进行检测。基于流量统计的异常进行检测。基于病毒样本特征进行检测。攻击事件智能关联分析。网络行为自学习、流量基线自学习。反向认证。检测方法报文正规化。IP重组。TCP流恢复。TCP会话状态跟踪。协议解码。基于应用层协议的状态跟踪。可信报文处理。报文处理方式基于特征匹配的多种检测方法网络安全设备部署模式旁路部署在线部署交换机上设置镜像端口，安全设备旁路进行抓包和特征匹配。某些网关类安全设备（如VPN）的单

6、臂部署模式在拓扑形式上与此类似，但是数据包需要进行转发的。网关类安全设备大多采用此种将设备串入链路中的在线部署方式。透明模式向网线一样工作桥模式相当于交换机路由模式相当于路由器混合模式既有路由模式也有桥模式安全技术趋势重新认识信息安全技术上的挑战与应对目录应用带来的挑战高性能与集成化虚拟化与强组网组网模型正在发生变化组网扁平化，安全成为事实上的核心服务器区业务终端接入层汇聚层核心层服务器区超大型数据中心组网终端迁入云中后?怎样保证终端安全策略的一致性？终端不在管理员的直接控制下，统一部署策略难度大。终端用户有意或无意的违反安全策略，难发现难处理。终端应该怎样进行归属？终端往往会处理多个业务，造

7、成归属不清。终端在不同网络位置接入，难以精确归属。怎样找到问题终端？终端众多，当出现安全事件时，快速定位问题终端困难。传统的终端安全问题，都将不复存在网络流量的变化一云计算使得设备利用率大幅提升网络流量变化二数据中心内部流量增加并变得更加复杂对安全产品的挑战高性能40G100G10G10G10G如何实现40G100G的线速？流量变化使得安全边界消失边界在哪里？从网络访问控制到内容访问控制IP/端口是否合法？应用是否合法？行为是否合法？需要多大性能？云的虚拟化要求网络虚拟化N=1VLAN 1VLAN 2VLAN n1=N跨设备链路聚合业务迁移的自适应物联网带来的IPv6需求奥运“龙形水系” 景观

8、照明控制系统采用IPv6网络，让上万支可调亮度灯及LED灯实现多种变化的景观效果，成为北京市夜间的城市新地标。物联网只有IPv6才能够支撑目录应用带来的挑战高性能与集成化虚拟化与强组网安全产品的发展方向集成化高性能FPGAFPGAFPGAFPGA控制流交换网GE总线XG总线业务流交换网 主控引擎功能融合的基础通用的实现Session报文正规化处理及应用层数据恢复协议分析特征匹配防火墙流量控制IPS防毒墙Web防火墙集成化举例：特征库整合卡巴斯基专业防病毒特征库拥有20万种病毒特征漏洞库漏洞特征库数量3000+协议库可实时检测和识别近千种应用层协议漏洞库协议库病毒库综合防御业界最全面高性能的前提

9、硬件的发展业务能力L3 L4 L7适应各种业务处理分布式并行硬件体系通用CPU缺少硬件搜索软件处理性能低ASIC缺乏灵活性，不支持L4L7业务转发性能网络处理器指令空间有限，4到7层业务处理能力弱。嵌入式CPU有限的报文处理多核CPU+FPGA现有实践：单板万兆的技术实现主：多核CPU协：FPGA/ASIC协：网络处理器辅：高速总线多核CPU的未来发展更高的内核集成度引入CrossBar架构多CPU的级联技术更高速度的总线接口软件硬件化、硬件软件化的FPGAFPGA是一种高密度PLD芯片。它由三个可编程模块组成，编程的结果存放在一个SRAM中，所以需要上电时下载编程数据。现有实现：整机高性能的

10、技术实现FPGAFPGAFPGAFPGA控制流交换网GE总线XG总线主控引擎业务流交换网 CrossBar交换架构控制总线与数据总线分离控制与转发分离的软件架构基于Session的分布式转发高性能设计举例FPGA-based HW EngineSession managementPackets processing fast pathDPtech uniform signaturesKaspersky AV signaturesMulti-Core Security ProcessorHigh density processing for flexible security functiona

11、lity (Policy mgmt., PCRE, etc.)Protocols decodingTraffic Shaping10GbpsFast PathRAMRAMRAMRAMCPU0RAMRAMHDD72 Gig Network Processing ASICFront-end network processing offloadsHardware accelerated Hashing and Scheduling10GbpsControl PlaneData PlaneCPU7. .PolicyPCRETraffic ShapingCPU1CPU2RAMRAMCPU3Packet

12、header checkingSignature MatchSession Mgmt.HW Hash & Scheduling48G Switch FabricDedicated Control PlaneHighly available mgmtHigh speed logging updatesAnalysis and reports未来发展40G100G10G10G10G通用并行计算方法研究更大规模FPGA 的应用设备内高性能负载均衡跨物理设备的性能聚合目录应用带来的挑战高性能与集成化虚拟化与强组网网络虚拟化已经成为常态生产分区物理资源办公分区Internet分区虚拟化分区在一套物理资源

13、上，采用虚拟化分区方法为多个业务系统虚拟出隔离的IT环境虚拟化分区具有独立的逻辑资源：带宽、计算、策略数、管理员、QoS数据中心广域网数据中心广域网数据中心广域网数据中心广域网我们常用的局域网虚拟化VLANTrunk Link研发部局域网工程部局域网市场部局域网虚拟网VLAN端口工程部1011、2、9研发部1023、5、7市场部1034、6、8虚拟网VLAN端口工程部1012、3、4研发部1021、5、9市场部1036、7、8我们不太常用的广域网虚拟化MPLS汇聚交换机虚拟网络VPN1VPN1RD：100:100Export RT：100:100Import RT：100:100VRF_VPN

14、1Route Table:/24 Local/24 VPN2RD：100:200Export RT：100:200Import RT：100:200VRF_VPN2Route Table:/24 Local/24 VPN2RD：100:200Export RT：100:200Import RT：100:200VRF_VPN2Route Table:/24 Local/24 VPN1RD：100:100Export RT：100:100Import RT：100:100VRF_VPN1Route Table:/24 Local/24 虚拟网络VPN2接入交换机核心交换机汇聚交换机/24/24/2

15、4/24VLAN10VLAN20VLAN10VLAN20接入交换机虚拟网络VPN1虚拟网络VPN2标签转发通道MPLS VPN典范：电子政务网省政府市政府区县政府省工商局市工商局区县工商局省劳动厅市劳动局区县劳动局纵向网络结构横向网络结构横向网络：信息共享，跨部门协作纵向网络：业务运作，行业管理与指导 政务网 MPLS VPN 横向网络结构实体政务网虚拟业务网安全虚拟化（N=1)当网络已经虚拟化，安全也必须得支持虚拟化PEMCEVLANMPLS路由表NAT状态表访问策略路由表NAT状态表访问策略路由表NAT状态表访问策略虚拟IPS虚拟FW状态表安全策略状态表安全策略状态表安全策略响应表响应表响

16、应表DPtech防火墙、IPS等全线安全产品全部支持虚拟化技术。网关类安全产品其它组网要求静态路由协议/RIPv1/2/OSPF/BGP/策略路由流量监管/拥塞检测及避免/流量整形MPLS VPN/VLAN/QinQ/虚拟防火墙/多播虚拟防火墙组网示意安全域1安全域2安全域3虚拟防火墙DPtechFW1000虚拟防火墙虚拟防火墙BGP Peer/24NextHop /32NextHop 城域网发布路由/32NextHop No-AdvertiseBGP路由引流策略路由回注VLAN偷传回注MPLS VPN回注流量清洗设备的组网能力要求网络层路由接口交换ACL/NAT.网络层路由接口交换ACL/N

17、AT.网络产品硬件平台ASICNPASICNP强组网能力的软件平台网络产品围绕23层交换，实时性高缺乏处理47层业务能力安全产品与23层的转发缺乏融合性能、业务扩展性上瓶颈明显网络层安全防火墙VPN/NATDDoSARP攻击应用层安全防病毒木马网页窜改防垃圾邮件URL过滤安全产品硬件平台X86、ASIC、NP、多核APP-XNP + 多核 + FPGA ConPlat Layer27安全平台防病毒间谍软件DDoSARP攻击NAT路由防垃圾邮件防网页篡改带宽滥用防火墙ACL交换防漏洞攻击非法扫描木马VPNVoIPConPlat是业界第一个实现高实时性、真正理解网络与应用的安全平台迪普公司简介公司

18、简介我们的机构：总部位于杭州，在全国设有分支机构我们的方向：专注于网络内容及网络安全，为用户提供深度安全检测与防御、深度内容识别与加速的整体解决方案我们的能力：拥有自主知识产权的高性能内容识别与加速芯片及内容交付软件平台 我们的服务：依托各地的分支机构与合作伙伴，提供全国7x24支持在网络安全领域集研发、生产、销售于一体的高科技企业DPtech 产品的核心竞争力高性能硬件引擎基于硬件的包分析引擎基于硬件的包转发引擎基于硬件的检测引擎基于硬件的状态表处理实时内容分析引擎专业的网络安全操作系统实时网络安全操作系统高性能操作系统高鲁棒性与高可靠控制与转发分离的软件架构基于多核CPU的并行处理系统核心技术FPGA-basedContent Processo