云安全解决方案

anninglxx
2 ℃
2019-09-30

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

迪普科技云安全解决方案提纲2云计算发展趋势迪普公司介绍4迪普云安全技术典型部署及案例公司情况及全产品杭州迪普科技有限公司是一家在网络安全领域及应用交付领域集研发、生产、销售于一体的高科技企业我们的机构：总部位于杭州，在北京和杭州设有研发中心，全国所有省级单位均设有分支机构我们的方向：专注于网络安全与应用交付领域，为用户提供深度安全检测与防御、深度内容识别与控制、以及负载均衡及应用加速的整体解决方案我们的能力：具有一支业界领先的开发团队，拥有自主开发的高性能硬件平台、核心软件平台以及全面的应用与威胁特征库。我们的服务：依托各地的分支机构与合作伙伴，提供全国7x24支持公司愿景——成为网络安全及应用交付领域领先的解决方案提供商公司简介用户管理(用户接入/准入控制/行为审计/认证计费)业务管理(安全/加速/可用/应用业务)UMC统一管理中心资源管理(网络/QoS/ACL/VLAN/配置/报表)应用即网络ApplicationAsNetwork应用安全应用交付IPS/防毒墙Probe/GuradWAF/Scanner/WebShield流控及审计应用交付平台基础安全应用防火墙UTMSRG基础网络DPXTAC商业/工业交换机全系列产品提纲2云计算发展趋势迪普公司介绍4迪普云安全技术典型部署及案例云计算的概念和分类云计算的核心思想是通过共享软硬件资源，可以按需的向用户提供IT服务。SaaSCPU资源池内存资源池存储资源池OAERPCRMMIS数据库中间件★注：IaaS、PaaS、SaaS三者不是包含或者演进的关系，尽管三者的软硬件抽象层次不同，但是三者之间是完全并列的技术，互不统属和交叉。IT的演进和技术变革•固化流程•优化流程流程工具•信息互通•数据共享协作工具•大数据分析•大数据挖掘决策工具海量数据处理Scale-Out扩展中少量数据处理Scale-Up式扩展流程工具的IT架构以关系型数据库为核心组织数据B/S或C/S架构专用服务器专用存储设备网络分割，弱QoS协作工具的IT架构以关系型数据库为核心组织数据SOA架构X86服务器群集专用存储设备网络互通，弱QoS流程工具的IT架构以非关系型数据库为核心组织数据SOA架构超大X86服务器群集，无专用存储网络互通，强QoSIT模型的变化HardwareHardwareHardwareAPPV-OSAPPCloudHypervisor软硬件的彻底分离通过引入虚拟化层（Hypervisor），可实现操作系统与硬件的解耦，降低复杂度通过引入云层，可实现应用与操作系统的解耦，彻底实现应用与硬件的无关性APPAPPAPPAPPAPPAPPV-OSHardwareHardwareHardwareAPPOSHardwareAPPOSHardwareAPPOSHardwareAPPOSHardwareAPPOSHardwareAPPOSHardwareIT硬件基础架构发展趋势IaaSPaaSSaaS计算廉价硬件Scale-Out虚拟化与云化的支持高性能的大数据处理去IOE!存储廉价硬件Scale-Out简单可靠的失效管理高性能的大数据存取通信数据中心大二层网络虚拟化互联与业务承载基于应用的业务支撑管新IT基础架构云IaaSPaaSSaaS公有混合私有视频会议终端PC/终端IP语音终端移动终端端局域网广域网数据中心智能管理智能调度虚拟化承载智能接入应用加速应用可控应用可用应用识别应用支持智能管道云计算的变与不变改变不变建设方式运维方式流量模型应用可用云计算对网络的影响InternetRTRTPod0Pod1Pod2Podn核心交换机核心交换机汇聚交换机汇聚交换机出口路由器出口路由器FCoE等带来的全以太网组网扁平组网引起三层集中部署全二层扁平化组网业务迁移业务迁移引起的接入动态化虚拟化对安全的影响Page.13针对众多业务系统不同的安全需求，安全策略如何部署虚拟机迁移时，安全策略如何迁移如何隔离同一物理服务器上的虚拟机如何控制虚拟机之间的相互访问如何控制不同业务之间的调用虚拟化系统自身的漏洞会带来新的风险内存遗迹带来的风险新系统引入新威胁虚拟机之间的隔离与访问控制问题安全策略的部署与迁移如何在虚拟化环境中应用安全能力？提纲2云计算发展趋势迪普公司介绍4迪普云安全技术典型部署及案例云安全技术分类PaaSSaaSIaaSSaaS层云安全主要集中在解决应用层安全★注：云安全涉及范围广，IaaS、PaaS、SaaS三者不是包含或者演进的关系，尽管三者的软硬件抽象层次不同，但是三者之间是完全并列的技术，互不统属和交叉。云杀毒邮件安全网页安全PaaS层云安全集中在解决平台层安全IaaS层云安全主要集中在解决基础架构层安全防火墙资源池IPS资源池应用交付资源池数据恢复/备份虚拟化安全存储安全AppAPPAPP迪普科技的目标：成为“云”的一种能力FW池计算资源池存储资源池APP1APP2APP3APP4SQL中间件池……优化策略流安全策略流APP5网络是支撑，L4~L7能力是云的一部分运营商数据中心发展历程RTRT互联网业务区对外业务区负载均衡负载均衡互联网业务对外业务1内部业务区负载均衡内部业务1负载均衡内部业务2负载均衡对外业务2IPSFWFWFWFWFWIPSIPS最初的数据中心具备一个大服务器区，所有应用都放置在同一个服务器区域，各业务没有隔离，统一部署边界安全措施；由于每个应用的安全级别不同，应用人员类型不同等因素，运营商业务系统都趋向于演进到边界清晰、安全域划分清晰的规范结构RTRTApp2AppN从服务器区融合的部署到安全域划分清晰的规范网络App1应用从从物理主机迁移到虚拟化主机安全域划分清晰的数据中心虚拟化数据中心服务器大融合的数据中心云安全核心思路：以不变的网关应万变二层归网络平台，三层以上归安全与应用交付平台。APP基于VLAN的安全分区VLAN1.1001VLAN2.1001VLANn.xVLAN自适应业务迁移APP1APP2APP3VLAN1001VLANxVLAN1VLAN2VLAN3VLANn网关及L4~7层策略流IP及MAC规划分布式网关部署迪普向云演进的云计算中心安全解决方案云计算中心虚拟负载均衡互联网业务虚拟IPS虚拟FWRTRT防火墙资源池入侵防御资源池负载均衡资源池流量清洗资源池网流分析/控制资源池DPX8000DPX8000对外业务对内业务1对内业务2根据不同应用需求分配不同性能的安全业务各虚拟安全业务拥有独立的管理、状态表，由各业务负责人管理虚拟负载均衡虚拟IPS虚拟FW虚拟负载均衡虚拟FW虚拟负载均衡虚拟FW防火墙资源池入侵防御资源池负载均衡资源池流量清洗资源池网流分析/控制资源池部署方案一：网关式边界防火墙迪普向云演进的云计算中心安全解决方案数据中心DPtechDPX8000交换机路由器城域网DPtechDPX8000交换机路由器虚拟应用N虚拟应用1……防火墙资源池入侵防御资源池负载均衡资源池流量清洗资源池网流分析/控制资源池防火墙资源池入侵防御资源池负载均衡资源池流量清洗资源池网流分析/控制资源池旁挂、扁平、一体化的虚拟防火墙部署，极大简化网络部署，降低TCO成功应用：中国电信集团云计算中心上海电信节点、四川电信节点部署方案二：单臂式核心思路：基于虚拟化网关的策略流APP2可用APP1可用APP3可用大二层以太网FCoEAPP1APP2APP3每个网关引导对应应用所需的策略流。应用间互访要通过网关进行。DPX是最适应此部署模式的平台，以虚拟防火墙形成分布式网关，通过自定义网络流量的流向，通过不同的功能板卡形成策略流。扩展应用：公有云服务中，提供安全和应用交付业务的租赁应用即网络的技术演进2能力云阶段虚拟化阶段网络化阶段..............................App-1App-2App-3App-4App-5Group-1Group-2Group-N多合一：物理设备性能聚合一分多：面向业务定制40~100GInternet从“ApplicationatNetwork”向“ApplicationasNetwork”的演进实现集成网络的安全与应用交付，不成为网络瓶颈；整机最大400G处理能力，5亿并发连接，1500万新建连接；实现安全与应用交付的全面虚拟化，颗粒化资源；能创建防火墙、IPS、应用交付、流量控制、行为审计、流量清洗等多业务资源池；实现虚拟化能力池的动态调度，为应用提供云化服务；云安全的承载：DPX8000深度业务交换网关DPX8000-A3DPX8000-A5DPX8000-A12•高性能：大交换容量，最多支持480*GE/80*10GE接口线速转发•业务丰富：负载均衡、应用加速、防火墙、IPS、异常流量清洗、流量控制、行为审计等功能按需扩展，最大400G深度业务线速处理能力•虚拟化：端到端的从网络层到应用层的虚拟化能力•高可用性：丰富网络协议，支持48GE电/光、4*10GE/8*10GE光、2.5G/10G/40GPOS等高密接入交换板：•48GE接口•4*10GE/8*10GE接口•4*2.5G/4*10GPOS接口，1*40GPOS接口•全线速交换业务板：•单板业务处理能力40G，整机最大400G•单板并发连接数5000万，新建连接数150万/秒•最大支持24端口聚合高性能APP-X硬件平台创新的控制、业务、数据的三平面结构数据平面：基于CLOS/CrossBar架构的分布式转发，基于SessionFPGA的应用层快转业务平面：基于多核CPU与内容FPGA的业务处理控制平面：基于多核CPU的高性能控制平面控制平面业务平面数据平面•路由计算•转发表管理•……•分布式转发•业务快转•……•应用识别•应用控制•……NPNP交换芯片交换芯片SessionFPGASeesionFPGACore1Core2CorenBUSRAMMultiCoreCPURAMBUSFilterProcesserContentFPGACore1Core2CorenBUSRAMMultiCoreCPUCLOS/CrossBarConPlat软件平台APP-XCore1Core2CorenBUSRAMMultiCoreCPURAMBUSFilterProcesserContentFPGACLOS/CrossBarSwitchNPFPGAConPlat硬件虚拟化管理进程调度内存管理磁盘管理总线控制控制平面业务管理业务管理业务管理CLITelnet/SSHWebUISNMP日志管理员鉴权控制平面控制平面IPv4路由IPv6路由MPLS转发平面转发平面转发平面路由转发Session转发二层转发业务平面业务平面业务平面应用识别应用加速异常管理应用控制应用审计应用可用性网流分析APP-ID应用特征库协议库特征库模式库特征采集特征分析特征生成业内独创三库合一，一次解析，多次匹配，效率最优。支持多框级联，灵活扩展端口密度和处理能力单框内部支持主备板倒换，VSM内部支持主备框倒换，同时支持跨框端口聚合，最大限度提高可靠性支持集中配置与管理，简化部署虚拟交换矩阵（VSM）板卡资源虚拟化资源化将多块板卡虚拟成一块板卡进行配置和使用，简化配置处理性能和端口密度同步扩展负载平均分担，出现故障时自动切换，实现N+1备份技术创新——N:M虚拟化VSM跨设备虚拟化将多个机框虚拟成为为一个机框，可统一配置管理业务虚拟化聚合业内唯一可将多个同类业务板卡虚拟成为一个业务板卡，结合VSM，可实现跨机框业务整合1：M业务虚拟化业务板卡支持1：M虚拟化，可虚拟成为多个同类型虚拟设备业务跨板卡虚拟化VSM跨机框虚拟化业务资源池…1：M虚拟化可控可用加速同类业务卡同类业务卡同类业务卡操作系统及虚拟化操作系统虚拟化每个虚拟系统由相应管理员自主管理，各个虚拟系统之间互不可见每个虚拟系统运行独立的协议进程，各进程间互不干扰每