安全技术发展趋势课件

安全技术发展趋势安全技术发展趋势自我介绍孙晓明杭州迪普科技有限公司解决方案部部长Mobile-mail：sunxiaoming@自我介绍孙晓明提纲应用的变化现有安全技术安全技术趋势提纲应用的变化应用的变化从web2.0到云计算物联网的兴起应用的变化从web2.0到云计算从web2.0到云计算用户创造内容应用放在云端应用的新挑战Web2.0代表的新应用走向企业云计算代表的新架构改变企业基础设施从web2.0到云计算用户创造内容应用放在云端应用的新挑战Cloud：What？Infrastructure(SaaS)Platform(PaaS)Software(SaaS)SaleForceMicrosoftNetSuiteGoogleAppEngineBungeeLabsHerokuAmazonEC2GoGridMossoPublicCloudeVirtualPrivateCloudPrivateCloudeCloud：What？InfrastructurePlatfCloud：How？——PhaseⅠ打破硬件界限，将数据中心整合为统一的资源池。——IaaSCPU资源池虚拟资源池物理服务器虚拟业务主机内存资源池存储资源池Cloud：How？——PhaseⅠ打破硬件界限，将数据中Cloud：How？——PhaseⅡ将全部系统服务与业务应用都纳入云中。——PaaS&SaaSCPU资源池系统服务云基础架构云业务应用云内存资源池存储资源池SQL中间件WWW程序接口Cloud：How？——PhaseⅡ将全部系统服务与业务应物联网的核心是对信息数据的采集和处理物联网(TheInternetofthings)，把新一代IT技术充分运用在各行业中，如能源、交通、建筑、家庭、市政系统等，然后与现有通信网结合，实现人类社会与物理系统的整合。人类可以更加精细和动态的方式管理生产和生活，达到“智慧”状态，提高资源利用率和生产力水平，改善人与自然间的关系。

物联网的兴起物联网的核心是对信息数据的采集和处理物联网(The物联网的应用车载应用工控应用对讲应用消防远程监控物联网的应用车载应用工控应用对讲应用消防远程监控新应用带来的安全挑战新应用带来的新威胁应用越来越集中，越来越重要带来的管理压力网络流量的快速增长，网络复杂性的增加新应用带来的安全挑战新应用带来的新威胁现有安全技术常见信息安全技术图谱常见安全威胁与安全产品现有安全技术常见信息安全技术图谱信息安全连接管理数据还原识别技术重定向加密状态检测SynProxyDNS重定向代理透明代理HTTP重定向反向代理数字签名流量异常行为识别内容加密报文正规化通信加密身份认证数字签名/水印PKI体系IP碎片重组加密技术加密应用技术对称加密算法TCP流恢复非对称加密算法哈希算法编码还原常见信息安全技术图谱信息安全连接管理数据还原识别技术重定向加密状态检测SynP基本技术——基于状态表转发如收到的数据包为新建TCP连接的数据包，则根据预定义规则决定是否转发。如确定需要转发则在状态表中增加相关表项，并开始跟踪TCP握手信息。如收到的数据包为非新建连接，则检查状态表表项。如有相关表项则根据表项进行转发，否则丢弃该数据包。如该数据包为TCPFIN包，则转发后删除相关表项。状态表中的表项都有预定义的老化时间。如超过老化时间仍没有新的数据包通过，则删除该条记录。无老化时间的记录称为长连接，用于某些特殊应用？新建连接非新建连接状态表老化基本技术——基于状态表转发？新建连接非新建连接状态表老化基本技术——特征匹配技术特征库***************************************8/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*******************************************************************************数据报文以太网帧头IP头TCP头应用层数据对比基本技术——特征匹配技术特征库***************基于攻击工具、或漏洞利用的特征进行检测。基于协议交互的异常进行检测。基于流量统计的异常进行检测。基于病毒样本特征进行检测。攻击事件智能关联分析。网络行为自学习、流量基线自学习。反向认证。检测方法报文正规化。IP重组。TCP流恢复。TCP会话状态跟踪。协议解码。基于应用层协议的状态跟踪。可信报文处理。报文处理方式基于特征匹配的多种检测方法检测方法报文处理方式基于特征匹配的多种检测方法网络安全设备部署模式旁路部署在线部署交换机上设置镜像端口，安全设备旁路进行抓包和特征匹配。某些网关类安全设备（如VPN）的单臂部署模式在拓扑形式上与此类似，但是数据包需要进行转发的。网关类安全设备大多采用此种将设备串入链路中的在线部署方式。透明模式向网线一样工作桥模式相当于交换机路由模式相当于路由器混合模式既有路由模式也有桥模式网络安全设备部署模式旁路部署在线部署交换机上设置镜像端口，安安全技术趋势重新认识信息安全技术上的挑战与应对安全技术趋势重新认识信息安全目录应用带来的挑战高性能与集成化虚拟化与强组网目录应用带来的挑战组网模型正在发生变化组网扁平化，安全成为事实上的核心服务器区业务终端接入层汇聚层核心层服务器区组网模型正在发生变化组网扁平化，安全成为事实上的核心服务器区超大型数据中心组网超大型数据中心组网终端迁入云中后???怎样保证终端安全策略的一致性？终端不在管理员的直接控制下，统一部署策略难度大。终端用户有意或无意的违反安全策略，难发现难处理。终端应该怎样进行归属？终端往往会处理多个业务，造成归属不清。终端在不同网络位置接入，难以精确归属。怎样找到问题终端？终端众多，当出现安全事件时，快速定位问题终端困难。传统的终端安全问题，都将不复存在终端迁入云中后???怎样保证终端安全策略的一致性？终端不在管网络流量的变化一云计算使得设备利用率大幅提升网络流量的变化一云计算使得设备利用率大幅提升网络流量变化二数据中心内部流量增加并变得更加复杂网络流量变化二数据中心内部流量增加并变得更加复杂对安全产品的挑战——高性能40G~100G10G10G10G如何实现40G～100G的线速？对安全产品的挑战——高性能40G~100G10G10G10G流量变化使得安全边界消失边界在哪里？流量变化使得安全边界消失边界在哪里？从网络访问控制到内容访问控制IP/端口是否合法？应用是否合法？行为是否合法？需要多大性能？从网络访问控制到内容访问控制IP/端口是否合法？应用是否合法云的虚拟化要求网络虚拟化N=>1VLAN1VLAN2VLANn1=>N跨设备链路聚合业务迁移的自适应云的虚拟化要求网络虚拟化N=>1VLAN1VLAN2VL物联网带来的IPv6需求奥运“龙形水系”景观照明控制系统采用IPv6网络，让上万支可调亮度灯及LED灯实现多种变化的景观效果，成为北京市夜间的城市新地标。物联网只有IPv6才能够支撑物联网带来的IPv6需求奥运“龙形水系”景观照明控制系统采目录应用带来的挑战高性能与集成化虚拟化与强组网目录应用带来的挑战安全产品的发展方向集成化高性能FPGAFPGAFPGAFPGA控制流交换网GE总线XG总线业务流交换网主控引擎安全产品的发展方向集成化高性能FPGAFPGAFPGAFPG功能融合的基础－通用的实现Session报文正规化处理及应用层数据恢复协议分析特征匹配防火墙流量控制IPS防毒墙Web防火墙功能融合的基础－通用的实现Session报文正规化处理及应用集成化举例：特征库整合卡巴斯基专业防病毒特征库拥有20万种病毒特征漏洞库漏洞特征库数量3000+协议库可实时检测和识别近千种应用层协议漏洞库协议库病毒库综合防御业界最全面集成化举例：特征库整合卡巴斯基专业防病毒特征库漏洞库协议库病高性能的前提－硬件的发展业务能力L3L4L7适应各种业务处理分布式并行硬件体系通用CPU缺少硬件搜索软件处理性能低ASIC缺乏灵活性，不支持L4~L7业务转发性能网络处理器指令空间有限，4到7层业务处理能力弱。嵌入式CPU有限的报文处理多核CPU+FPGA高性能的前提－硬件的发展业务能力L3L4L7适应各种业务现有实践：单板万兆的技术实现主：多核CPU协：FPGA/ASIC协：网络处理器辅：高速总线现有实践：单板万兆的技术实现主：多核CPU多核CPU的未来发展更高的内核集成度引入CrossBar架构多CPU的级联技术更高速度的总线接口多核CPU的未来发展更高的内核集成度软件硬件化、硬件软件化的FPGAFPGA是一种高密度PLD芯片。它由三个可编程模块组成，编程的结果存放在一个SRAM中，所以需要上电时下载编程数据。软件硬件化、硬件软件化的FPGAFPGA是一种高密度PLD芯现有实现：整机高性能的技术实现FPGAFPGAFPGAFPGA控制流交换网GE总线XG总线主控引擎业务流交换网CrossBar交换架构控制总线与数据总线分离控制与转发分离的软件架构基于Session的分布式转发现有实现：整机高性能的技术实现FPGAFPGAFPGAFPG高性能设计举例FPGA-basedHWEngineSessionmanagementPacketsprocessingfastpathDPtechuniformsignaturesKasperskyAVsignaturesMulti-CoreSecurityProcessorHighdensityprocessingforflexiblesecurityfunctionality(Policymgmt.,PCRE,etc.)ProtocolsdecodingTrafficShaping10GbpsFastPathRAMRAMRAMRAMCPU0RAMRAMHDD72GigNetworkProcessingASICFront-endnetworkprocessingoffloadsHardwareacceleratedHashingandScheduling10GbpsControlPlaneDataPlaneCPU7..PolicyPCRETrafficShapingCPU1CPU2RAMRAMCPU3PacketheadercheckingSignatureMatchSessionMgmt.HWHash&Scheduling48GSwitchFabricDedicatedControlPlaneHighlyavailablemgmtHighspeedloggingupdatesAnalysisandreports高性能设计举例FPGA-basedHWEngineMul未来发展40G~100G10G10G10G通用并行计算方法研究更大规模FPGA的应用设备内高性能负载均衡跨物理设备的性能聚合未来发展40G~100G10G10G10G通用并行计算方法研目录应用带来的挑战高性能与集成化虚拟化与强组网目录应用带来的挑战网络虚拟化已经成为常态生产分区物理资源办公分区Internet分区虚拟化分区在一套物理资源上，采用虚拟化分区方法为多个业务系统虚拟出隔离的IT环境虚拟化分区具有独立的逻辑资源：带宽、计算、策略数、管理员、QoS数据中心广域网数据中心广域网数据中心广域网数据中心广域网网络虚拟化已经成为常态生产分区物理资源办公分区Interne我们常用的局域网虚拟化——VLANTrunkLink研发部局域网工程部局域网市场部局域网虚拟网VLAN端口工程部1011、2、9…研发部1023、5、7…市场部1034、6、8…虚拟网VLAN端口工程部1012、3、4…研发部1021、5、9…市场部1036、7、8…我们常用的局域网虚拟化——VLANTrunkLink研发部我们不太常用的广域网虚拟化——MPLS汇聚交换机虚拟网络VPN1VPN1RD：100:100ExportRT：100:100ImportRT：100:100VRF_VPN1RouteTable:/24Local/24VPN2RD：100:200ExportRT：100:200ImportRT：100:200VRF_VPN2RouteTable:/24Local/24VPN2RD：100:200ExportRT：100:200ImportRT：100:200VRF_VPN2RouteTable:/24Local/24VPN1RD：100:100ExportRT：100:100ImportRT：100:100VRF_VPN1RouteTable:/24Local/24虚拟网络VPN2接入交换机核心交换机汇聚交换机/24/24/24/24VLAN10VLAN20VLAN10VLAN20接入交换机虚拟网络VPN1虚拟网络VPN2标签转发通道我们不太常用的广域网虚拟化——MPLS汇聚交换机虚拟网络VPMPLSVPN典范：电子政务网省政府市政府区县政府省工商局市工商局区县工商局省劳动厅市劳动局区县劳动局纵向网络结构横向网络结构横向网络：信息共享，跨部门协作纵向网络：

业务运作，行业管理与指导政务网MPLSVPN横向网络结构实体政务网虚拟业务网MPLSVPN典范：电子政务网省政府市政府区县政府省工商局安全虚拟化（N=>1)当网络已经虚拟化，安全也必须得支持虚拟化PEMCEVLANMPLS路由表NAT状态表访问策略路由表NAT状态表访问策略路由表NAT状态表访问策略虚拟IPS虚拟FW状态表安全策略状态表安全策略状态表安全策略响应表响应表响应表DPtech防火墙、IPS等全线安全产品全部支持虚拟化技术。安全虚拟化（N=>1)当网络已经虚拟化，安全也必须得支持虚拟网关类安全产品其它组网要求静态路由协议/RIPv1/2/OSPF/BGP/策略路由流量监管/拥塞检测及避免/流量整形MPLSVPN/VLAN/QinQ/虚拟防火墙/多播虚拟防火墙组网示意安全域1安全域2安全域3虚拟防火墙DPtechFW1000虚拟防火墙虚拟防火墙网关类安全产品其它组网要求静态路由协议/RIPv1/2/OSBGPPeer/24NextHop/32NextHop城域网发布路由/32NextHopNo-AdvertiseBGP路由引流策略路由回注VLAN偷传回注MPLSVPN回注流量清洗设备的组网能力要求BGPPeer/2网络层路由接口交换ACL/NAT..网络层路由接口交换ACL/NAT..网络产品硬件平台ASIC＋NPASIC＋NP强组网能力的软件平台网络产品围绕2~3层交换，实时性高缺乏处理4~7层业务能力安全产品与2~3层的转发缺乏融合性能、业务扩展性上瓶颈明显网络层安全防火墙VPN/NATDDoSARP攻击…应用层安全防病毒木马网页窜改防垃圾邮件URL过滤…安全产品硬件平台X86、ASIC、NP、多核APP-XNP+多核+FPGAConPlatLayer2~7安全平台防病毒间谍软件DDoSARP攻击NAT路由防垃圾邮件防网页篡改带宽滥用防火墙ACL交换防漏洞攻击非法扫描木马VPNVoIP…ConPlat是业界第一个实现高实时性、真正理解网络与应用的安全平台网络层路由交换网络层路由交换网络产品硬件平台ASIC＋NPA迪普公司简介迪普公司简介公司简介我们的机构：总部位于杭州，在全国设有分支机构我们的方向：专注于网络内容及网络安全，为用户提供深度安全检测与防御、深度内容识别与加速的整体解决方案我们的能力：拥有自主知识产权的高性能内容识别与加速芯片及内容交付软件平台我们的服务：依托各地的分支机构与合作伙伴，提供全国7x24支持在网络安全领域集研发、生产、销售于一体的高科技企业公司简介我们的机构：总部位于杭州，在全国设有分支机构我们的方DPtech产品的核心竞争力高性能硬件引擎基于硬件的包分析引擎基于硬件的包转发引擎基于硬件的检测引擎基于硬件的状态表处理实时内容分析引擎专业的网络