Panabit产品交流(毛工)

Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.网关的终极未来北京派网软件有限公司Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.公司大事记Page2创立崛起辉煌涅磐Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.目录Page3Q&A？典型案例客户价值点点卓越网关乱弹Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.网关编年史CiscoFortinetPanabit永不能被业界忘记的2600路由器和PIX防火墙统一威胁管理产品的缔造者，一体化应用安全领袖互联网打造的中国产品神话，应用路由的提出和实践者RouterFirewallUTMNGFWAppRouterNetscreenPaloalto3个ID打天下，应用识别管控成为核心，IPS和AV走下神坛ASIC防火墙产品的创造者，华人工程师的硅谷传奇Page4Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.向互联网致敬Page5Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.网关核心需求定位Page6接入审计管理优化安全管理-防火墙-入侵检测与防御-防病毒-访问控制应用管理-识别与阻断-流量整形-连接管理性能管理行为审计内容审计路由地址转换VPN应用路由负载均衡缓存广域网加速协议定向优化数据挖掘与运营Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.黄金功能组合Page7应用识别引擎App虚拟化引擎快速IP协议栈控制整形引擎WAFAPM缓存广域网加速App开放平台应用路由应用负载均衡应用防火墙应用流量管理Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.目录Page8Q&A？典型案例客户价值点点卓越网关乱弹Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.点点卓越是我们不变的梦想客户对产品的信任如同一张白纸，一旦揉皱就再也无法回到原来的样子。Page9Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.Page10技术路线图Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.国内网关类产品一直停留在使用Linux/FreeBSD等通用操作系统直接修改内核充当数据平面，致使产品的稳定性、性能和可扩展性一直不能满足高层次需求。因此，低层次重复无法从根本上解决这些关键矛盾。PANAOS-专用数据面操作系统Page11PANAOS解决的核心问题驱动、内存管理等OS要素全部自行完成，专为数据面功能定制；数据面与控制面完全分离，数据面采用独立快速IP协议栈和驱动，提供超乎寻常的性能；双OS系统备份，提供超高的稳定性；路由、NAT、负载均衡、应用识别与控制等关键基础设施内置，提供一体化解决方案；为扩展第三方应用，提供App虚拟化引擎，可内嵌第三方模块。Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.Intel所不知道的IntelPage12001CC4CF0747202.104.21.57BT、电驴、迅雷、超级旋风、优酷、爱奇艺、Skype等HTTP、SMTP、QQ、MSN、POP3、IMAP、Oracle等LinkLayerIPTCP/UDP静态端口动态端口Applications路由器防火墙专业七层设备UTM/NGFW状态检测与ALG明文模式匹配加密分析、节点跟踪、主动探测X86/多核/协处理器硬匹配ASIC/NPASIC/NP/X86/多核X86/多核/协处理器网关类设备数据面的变化Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.PANAOS是专用数据面操作系统，在DPDK之前就解决了X86吞吐问题，在打开七层功能情况下，可以顺畅工作在40G网络环境。Intel已经意识到X86的相关问题，投入研发力量开发DPDK，弥补数据面的不足，转发能力有了相当提高，64字节小包转发能力超过20G，并积极发展合作软件厂商提供协议栈和应用软件。Intel所不知道的IntelPage13与Cavium/RMI等多核方案相比，Intel的短板是无专用数据面操作系统，造成IO能力弱。Intel用DPDK结合CaveCreek，推出新一代的网络设备解决方案，试图夺回被Cavium/RMI蚕食的通信市场，PANAOS比Intel更了解自己的芯片如何用在七层网络设备。Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.网关性能的一些典型误区-转发性能不能混同业务性能-256字节包做吞吐指标标识-性能瓶颈：CPU、网卡、驱动、业务软件PANAOS究竟可以跑多快？Page14双向20G，并发1500万环境C206I72600双向吞吐1G，并发100万环境AtomD525双向吞吐6G，并发400万环境G41Q8400我们在哪里？-吞吐量双向40Gbps-最大并发连接数1500万-最大并发IP数50万-新建会话数大于65万/秒-业务转发处理时延小于100微秒Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.应用识别引擎关键技术Page15L2-L4L7IPTCPUDP网络视频P2PP2P即时通信网页浏览游戏网络电话网络视频基于签名的深度包检测DPI-最普通最行之有效的识别技术-进一步演进为深度流检测DFI节点跟踪-共享识别信息-提高识别准确率和性能主动探测-探测源目的端状态-辅助分析节点特性加密分析-HTTPS/SSL成为常态-明文签名无法应对-连接相关性分析Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.识别13大类，超过800种应用-不以签名数论英雄现网识别率超过95%-识别准确率相关因素应用识别能力现状Page16Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.在移动某分公司实际测试时，测试对P2P进行每IP限速，客户端迅雷下载限制为每IP90Kb/s，WEB迅雷下载限制为每IP100Kb/s，实际测试精确度是相当高的。众所周知，迅雷、WEB迅雷是最难识别和对它进行限速的协议。（大多数应用层网关产品还无法作到针对应用层协议的每IP限速，精确度就更谈不上了）挑战应用识别与控制精度Page17Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.应用路由Page18Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.问问英雄出处-以网络应用协议为调度实体，将数据流量转发到指定的链路和目标地址-Panabit原始创新，一直被模仿，从未被超越技术壁垒-DPI识别能力：识别早、识别准-应用层协议重建：提高牵引比例-性能：路由是在线设备，而用途大多是在重载线路主要用途-让路由设备配置逻辑易于理解和使用，避免使用者去研究网络协议细节-应用分流：将应用按照特性路由到不同质量的出口，达到保证关键实时应用，降低带宽使用成本的目的-应用牵引：配合不同的应用层优化手段，按照应用把需要的流量导向特殊链路或者目标地址，例如：缓存、审计应用路由Page19Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.应用负载均衡Page20按照连接均分按照源地址目的地址均分按照连接均分各种应用可以拥有独立的均衡策略，互不干扰，以应用为标尺，达到均衡负载，充分利用带宽目标。按照源地址均分Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.应用路由升华之作-以网络应用协议为调度实体，将网络负载按调度策略均衡分布在不同的链路组-Panabit原始创新，欢迎模仿技术壁垒-DPI识别能力、应用层协议重建、性能-协议完整性维护：均衡过程中不破坏协议完整性，保证均衡过的所有业务可以正常使用，做到对终端用户完全透明-不同策略相融共生：均衡组重叠、协议策略交叉主要用途-让负载均衡设备配置逻辑易于理解和使用，避免使用者去研究网络协议细节-应用路由扩展，链路分组调度-低成本链路聚合：将众多低成本链路聚合为一条或多条虚拟的高速链路，节约费用同时做到物尽其用，充分发挥每一条链路的潜力应用负载均衡Page21Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.大家流控和NAT是怎么做的？-Linux：TC+NetFilter-FreeBSD：ALTQ+PacketFilterDummynet+IPFW-出来混，总是要还的性能四大挑战-新建-并发-吞吐-规则数最有中国特色的NAT-性能：单板40G吞吐、1500万并发、新建65万/秒、65535条策略-ALG的中国国情：照搬来的ALG不灵了-应用层特性信息隐藏最平凡的功能是NAT？Page22Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.功能配置以策略和策略调度驱动-简洁如智能手机-强大如变形金刚面向应用的多类对象实体-策略、策略组-IP群组、域名群组、文件类型-协议组、自定义协议组-流量代理、数据镜像三个维度，多级策略嵌套-不同应用总带宽分配-每用户总带宽分配-同一用户不同应用带宽分配时间与用户数二维策略调度简洁与强大并重的策略引擎Page23Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.智能DNSPage24重定向丢弃劫持DNS是最脆弱的互联网基础设施-缺乏基础认证校验机制-节点分散，难于管理-对HTTP影响巨大镜像缓存-无需另外增加DNS服务器-对客户完全透明多IP服务器-多运营商入口地址智能解析负载均衡-缓解DNS服务器压力-形成类CDN机制-无需修改用户客户端配置应急恢复网络规范DNS设置信息推送封锁域名保护服务器安全Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.检测目标-IPID检测：内网终端数量-应用层复合检测：内网IP地址应对动作-通断：允许、阻断-限制：流量、连接数-提示：Web提示、重定向一拖N检测Page25NAT特性信息隐藏与一拖N检测的战斗-运营商利益与用户利益冲突点-矛与盾-答案已经明确，一拖N检测必胜Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.就像斯诺登所描述的一样，它游走在政府和民间的博弈中间，没人会承认，但是没人能拒绝它的存在。虚拟身份定位Page26+防火墙日志+虚拟身份信息库+IP位置信息库=（张三在某酒店某房间登录了某种应用）