安全技術(shù)發(fā)展趨勢(shì)課件

1、安全技術(shù)發(fā)展趨勢(shì)1 安全技術(shù)發(fā)展趨勢(shì) 安全技術(shù)發(fā)展趨勢(shì)2 自我介紹自我介紹 孫曉明孫曉明 杭州迪普科技有限公司解決方案部部長(zhǎng)杭州迪普科技有限公司解決方案部部長(zhǎng) Mobile： E-mail： 安全技術(shù)發(fā)展趨勢(shì)3 提綱提綱 n 應(yīng)用的變化應(yīng)用的變化 n 現(xiàn)有安全技術(shù)現(xiàn)有安全技術(shù) n 安全技術(shù)趨勢(shì)安全技術(shù)趨勢(shì) 安全技術(shù)發(fā)展趨勢(shì)4 應(yīng)用的變化應(yīng)用的變化 從從web 2.0到云計(jì)算到云計(jì)算 物聯(lián)網(wǎng)的興起物聯(lián)網(wǎng)的興起 安全技術(shù)發(fā)展趨勢(shì)5 從從web 2.0到云計(jì)算到云計(jì)算 用戶創(chuàng)造內(nèi)容用戶創(chuàng)造內(nèi)容 應(yīng)用放在云端應(yīng)用放在云端 應(yīng)用的新挑戰(zhàn)應(yīng)用的新挑戰(zhàn) Web 2.0代表的新應(yīng)用走向企業(yè) 云計(jì)算代表的新架構(gòu)

2、改變企業(yè)基礎(chǔ)設(shè)施 安全技術(shù)發(fā)展趨勢(shì)6 Cloud：What？ Infrastructure (SaaS) Platform (PaaS) Software (SaaS) SaleForce Microsoft NetSuite Google AppEngine Bungee Labs Heroku Amazon EC2 GoGrid Mosso Public Cloude Virtual Private Cloud Private Cloude 安全技術(shù)發(fā)展趨勢(shì)7 Cloud：How？Phase 打破硬件界限，將數(shù)據(jù)中心整合為統(tǒng)一的資源池。打破硬件界限，將數(shù)據(jù)中心整合為統(tǒng)一的資源池。IaaSI

3、aaS CPUCPU資源池資源池 虛擬資虛擬資 源池源池 物理服物理服 務(wù)器務(wù)器 虛擬業(yè)虛擬業(yè) 務(wù)主機(jī)務(wù)主機(jī) 內(nèi)存資源池內(nèi)存資源池存儲(chǔ)資源池存儲(chǔ)資源池 安全技術(shù)發(fā)展趨勢(shì)8 Cloud：How？Phase 將全部系統(tǒng)服務(wù)與業(yè)務(wù)應(yīng)用都納入云中。將全部系統(tǒng)服務(wù)與業(yè)務(wù)應(yīng)用都納入云中。PaaS & SaaSPaaS & SaaS CPUCPU資源池資源池 系統(tǒng)服系統(tǒng)服 務(wù)云務(wù)云 基礎(chǔ)架基礎(chǔ)架 構(gòu)云構(gòu)云 業(yè)務(wù)應(yīng)業(yè)務(wù)應(yīng) 用云用云 內(nèi)存資源池內(nèi)存資源池存儲(chǔ)資源池存儲(chǔ)資源池 安全技術(shù)發(fā)展趨勢(shì)9 物聯(lián)網(wǎng)物聯(lián)網(wǎng)(The Internet of (The Internet of things)things)，把新一代

4、，把新一代IT IT技術(shù)充技術(shù)充 分運(yùn)用在各行業(yè)中，如能源、分運(yùn)用在各行業(yè)中，如能源、 交通、建筑、家庭、市政系交通、建筑、家庭、市政系 統(tǒng)等，然后與現(xiàn)有通信網(wǎng)結(jié)統(tǒng)等，然后與現(xiàn)有通信網(wǎng)結(jié) 合，實(shí)現(xiàn)人類社會(huì)與物理系合，實(shí)現(xiàn)人類社會(huì)與物理系 統(tǒng)的整合。統(tǒng)的整合。 人類可以更加精細(xì)和動(dòng)態(tài)人類可以更加精細(xì)和動(dòng)態(tài) 的方式管理生產(chǎn)和生活，達(dá)的方式管理生產(chǎn)和生活，達(dá) 到到“智慧智慧”狀態(tài)，提高資源狀態(tài)，提高資源 利用率和生產(chǎn)力水平，改善利用率和生產(chǎn)力水平，改善 人與自然間的關(guān)系。人與自然間的關(guān)系。 物聯(lián)網(wǎng)的興起物聯(lián)網(wǎng)的興起 安全技術(shù)發(fā)展趨勢(shì)10 物聯(lián)網(wǎng)的應(yīng)用物聯(lián)網(wǎng)的應(yīng)用 車載應(yīng)用車載應(yīng)用 工控應(yīng)用工控應(yīng)用對(duì)

5、講應(yīng)用對(duì)講應(yīng)用 消防遠(yuǎn)程監(jiān)控消防遠(yuǎn)程監(jiān)控 安全技術(shù)發(fā)展趨勢(shì)11 新應(yīng)用帶來(lái)的安全挑戰(zhàn)新應(yīng)用帶來(lái)的安全挑戰(zhàn) n 新應(yīng)用帶來(lái)的新威脅新應(yīng)用帶來(lái)的新威脅 n 應(yīng)用越來(lái)越集中，越來(lái)越重要帶來(lái)的管理壓力應(yīng)用越來(lái)越集中，越來(lái)越重要帶來(lái)的管理壓力 n 網(wǎng)絡(luò)流量的快速增長(zhǎng)，網(wǎng)絡(luò)復(fù)雜性的增加網(wǎng)絡(luò)流量的快速增長(zhǎng)，網(wǎng)絡(luò)復(fù)雜性的增加 安全技術(shù)發(fā)展趨勢(shì)12 現(xiàn)有安全技術(shù)現(xiàn)有安全技術(shù) 常見信息安全技術(shù)圖譜常見信息安全技術(shù)圖譜 常見安全威脅與安全產(chǎn)品常見安全威脅與安全產(chǎn)品 安全技術(shù)發(fā)展趨勢(shì)13 連接連接 管理管理 數(shù)據(jù)數(shù)據(jù) 還原還原 識(shí)別識(shí)別 技術(shù)技術(shù) 重定重定 向向 加密加密 狀態(tài)檢測(cè)狀態(tài)檢測(cè) Syn Proxy DNS

6、重定向重定向 代理代理 透明代理透明代理 HTTP重定向重定向 反向代理反向代理 數(shù)字簽名數(shù)字簽名 流量異常流量異常 行為識(shí)別行為識(shí)別 內(nèi)容加密內(nèi)容加密 報(bào)文正規(guī)化報(bào)文正規(guī)化 通信加密通信加密 身份認(rèn)證身份認(rèn)證 數(shù)字簽名數(shù)字簽名/水印水印 PKI體系體系 IP碎片重組碎片重組 加密技加密技 術(shù)術(shù) 加密應(yīng)加密應(yīng) 用技術(shù)用技術(shù) 對(duì)稱加密算法對(duì)稱加密算法 TCP流恢復(fù)流恢復(fù) 非對(duì)稱加密算法非對(duì)稱加密算法 哈希算法哈希算法 編碼還原編碼還原 常見信息安全技術(shù)圖譜常見信息安全技術(shù)圖譜 安全技術(shù)發(fā)展趨勢(shì)14 基本技術(shù)基本技術(shù)基于狀態(tài)表轉(zhuǎn)發(fā)基于狀態(tài)表轉(zhuǎn)發(fā) 如收到的數(shù)據(jù)包為新如收到的數(shù)據(jù)包為新 建建TCP連接

7、的數(shù)據(jù)包，連接的數(shù)據(jù)包， 則根據(jù)預(yù)定義規(guī)則決則根據(jù)預(yù)定義規(guī)則決 定是否轉(zhuǎn)發(fā)。定是否轉(zhuǎn)發(fā)。 如確定需要轉(zhuǎn)發(fā)則在如確定需要轉(zhuǎn)發(fā)則在 狀態(tài)表中增加相關(guān)表狀態(tài)表中增加相關(guān)表 項(xiàng)，并開始跟蹤項(xiàng)，并開始跟蹤TCP 握手信息。握手信息。 如收到的數(shù)據(jù)包為非如收到的數(shù)據(jù)包為非 新建連接，則檢查狀新建連接，則檢查狀 態(tài)表表項(xiàng)。態(tài)表表項(xiàng)。 如有相關(guān)表項(xiàng)則根據(jù)如有相關(guān)表項(xiàng)則根據(jù) 表項(xiàng)進(jìn)行轉(zhuǎn)發(fā)，否則表項(xiàng)進(jìn)行轉(zhuǎn)發(fā)，否則 丟棄該數(shù)據(jù)包。丟棄該數(shù)據(jù)包。 如該數(shù)據(jù)包為如該數(shù)據(jù)包為TCP FIN 包，則轉(zhuǎn)發(fā)后刪除相包，則轉(zhuǎn)發(fā)后刪除相 關(guān)表項(xiàng)。關(guān)表項(xiàng)。 狀態(tài)表中的表項(xiàng)都有狀態(tài)表中的表項(xiàng)都有 預(yù)定義的老化時(shí)間。預(yù)定義的老化時(shí)間。

8、如超過(guò)老化時(shí)間仍沒(méi)如超過(guò)老化時(shí)間仍沒(méi) 有新的數(shù)據(jù)包通過(guò)，有新的數(shù)據(jù)包通過(guò)， 則刪除該條記錄。則刪除該條記錄。 無(wú)老化時(shí)間的記錄稱無(wú)老化時(shí)間的記錄稱 為長(zhǎng)連接，用于某些為長(zhǎng)連接，用于某些 特殊應(yīng)用特殊應(yīng)用 安全技術(shù)發(fā)展趨勢(shì)15 基本技術(shù)基本技術(shù)特征匹配技術(shù)特征匹配技術(shù) * * : X5O!P%AP4PZX54(P)7CC)7 $EICAR-STANDARD- ANTIVIRUS-TEST-FILE!$H+H* * * * * 以太網(wǎng)幀頭以太網(wǎng)幀頭 IP頭頭 TCP頭頭 應(yīng)用層數(shù)據(jù)應(yīng)用層數(shù)據(jù) 安全技術(shù)發(fā)展趨勢(shì)16 基于攻擊工具、或漏洞 利用的特征進(jìn)行檢測(cè)。 基于協(xié)議交互的異常進(jìn) 行檢測(cè)。 基于流量

9、統(tǒng)計(jì)的異常進(jìn) 行檢測(cè)。 基于病毒樣本特征進(jìn)行 檢測(cè)。 攻擊事件智能關(guān)聯(lián)分析。 網(wǎng)絡(luò)行為自學(xué)習(xí)、流量 基線自學(xué)習(xí)。 反向認(rèn)證。 檢測(cè)方法檢測(cè)方法 報(bào)文正規(guī)化。 IP重組。 TCP流恢復(fù)。 TCP會(huì)話狀態(tài)跟蹤。 協(xié)議解碼。 基于應(yīng)用層協(xié)議的狀態(tài) 跟蹤。 可信報(bào)文處理。 報(bào)文處理方式報(bào)文處理方式 基于特征匹配的多種檢測(cè)方法基于特征匹配的多種檢測(cè)方法 安全技術(shù)發(fā)展趨勢(shì)17 網(wǎng)絡(luò)安全設(shè)備部署模式網(wǎng)絡(luò)安全設(shè)備部署模式 旁路部署旁路部署在線部署在線部署 交換機(jī)上設(shè)置鏡像端口，安全設(shè)備交換機(jī)上設(shè)置鏡像端口，安全設(shè)備 旁路進(jìn)行抓包和特征匹配。旁路進(jìn)行抓包和特征匹配。 某些網(wǎng)關(guān)類安全設(shè)備（如某些網(wǎng)關(guān)類安全設(shè)備（如

10、VPN）的）的 單臂部署模式在拓?fù)湫问缴吓c此類單臂部署模式在拓?fù)湫问缴吓c此類 似，但是數(shù)據(jù)包需要進(jìn)行轉(zhuǎn)發(fā)的。似，但是數(shù)據(jù)包需要進(jìn)行轉(zhuǎn)發(fā)的。 網(wǎng)關(guān)類安全設(shè)備大多采用此種將設(shè)網(wǎng)關(guān)類安全設(shè)備大多采用此種將設(shè) 備串入鏈路中的在線部署方式。備串入鏈路中的在線部署方式。 透明模式透明模式 向網(wǎng)線一樣工作向網(wǎng)線一樣工作 橋模式橋模式 相當(dāng)于交換機(jī)相當(dāng)于交換機(jī) 路由模式路由模式 相當(dāng)于路由器相當(dāng)于路由器 混合模式混合模式 既有路由模式也既有路由模式也 有橋模式有橋模式 安全技術(shù)發(fā)展趨勢(shì)18 安全技術(shù)趨勢(shì)安全技術(shù)趨勢(shì) 重新認(rèn)識(shí)信息安全重新認(rèn)識(shí)信息安全 技術(shù)上的挑戰(zhàn)與應(yīng)對(duì)技術(shù)上的挑戰(zhàn)與應(yīng)對(duì) 安全技術(shù)發(fā)展趨勢(shì)19

11、目錄目錄 n 應(yīng)用帶來(lái)的挑戰(zhàn)應(yīng)用帶來(lái)的挑戰(zhàn) n 高性能與集成化高性能與集成化 n 虛擬化與強(qiáng)組網(wǎng)虛擬化與強(qiáng)組網(wǎng) 安全技術(shù)發(fā)展趨勢(shì)20 組網(wǎng)模型正在發(fā)生變化組網(wǎng)模型正在發(fā)生變化 服務(wù)器區(qū)服務(wù)器區(qū) 業(yè)務(wù)終端業(yè)務(wù)終端 接入層接入層 匯聚層匯聚層 核心層核心層 服務(wù)器區(qū)服務(wù)器區(qū) 安全技術(shù)發(fā)展趨勢(shì)21 超大型數(shù)據(jù)中心組網(wǎng)超大型數(shù)據(jù)中心組網(wǎng) 安全技術(shù)發(fā)展趨勢(shì)22 終端遷入云中后終端遷入云中后 ? ? ? ? ? ? 怎樣保證終端安全策略的一致性？怎樣保證終端安全策略的一致性？ 終端不在管理員的直接控制下，統(tǒng)一部署策略難度大。終端不在管理員的直接控制下，統(tǒng)一部署策略難度大。 終端用戶有意或無(wú)意的違反安全策略

12、，難發(fā)現(xiàn)難處理。終端用戶有意或無(wú)意的違反安全策略，難發(fā)現(xiàn)難處理。 終端應(yīng)該怎樣進(jìn)行歸屬？終端應(yīng)該怎樣進(jìn)行歸屬？ 終端往往會(huì)處理多個(gè)業(yè)務(wù)，造成歸屬不清。終端往往會(huì)處理多個(gè)業(yè)務(wù)，造成歸屬不清。 終端在不同網(wǎng)絡(luò)位置接入，難以精確歸屬。終端在不同網(wǎng)絡(luò)位置接入，難以精確歸屬。 怎樣找到問(wèn)題終端？怎樣找到問(wèn)題終端？ 終端眾多，當(dāng)出現(xiàn)安全事件時(shí)，快速終端眾多，當(dāng)出現(xiàn)安全事件時(shí)，快速 定位問(wèn)題終端困難。定位問(wèn)題終端困難。 傳統(tǒng)的終端安全問(wèn)題，都將不復(fù)存在傳統(tǒng)的終端安全問(wèn)題，都將不復(fù)存在 安全技術(shù)發(fā)展趨勢(shì)23 網(wǎng)絡(luò)流量的變化一網(wǎng)絡(luò)流量的變化一 0% 10% 20% 30% 40% 50% 60% 70% 之前之

13、后 CPU利用率變化 10% 60% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 之前之后 網(wǎng)絡(luò)利用率變化 5% 40% 云計(jì)算使得設(shè)備云計(jì)算使得設(shè)備 利用率大幅提升利用率大幅提升 安全技術(shù)發(fā)展趨勢(shì)24 網(wǎng)絡(luò)流量變化二網(wǎng)絡(luò)流量變化二 數(shù)據(jù)中心內(nèi)部流量增加并變得更加復(fù)雜數(shù)據(jù)中心內(nèi)部流量增加并變得更加復(fù)雜 安全技術(shù)發(fā)展趨勢(shì)25 對(duì)安全產(chǎn)品的挑戰(zhàn)對(duì)安全產(chǎn)品的挑戰(zhàn)高性能高性能 40G100G 10G10G10G 如何實(shí)現(xiàn)如何實(shí)現(xiàn)40G 100G的線速？的線速？ 安全技術(shù)發(fā)展趨勢(shì)26 流量變化使得安全邊界消失流量變化使得安全邊界消失 邊界在哪里？邊界在哪里？ 安全技術(shù)發(fā)展

14、趨勢(shì)27 從網(wǎng)絡(luò)訪問(wèn)控制到內(nèi)容訪問(wèn)控制從網(wǎng)絡(luò)訪問(wèn)控制到內(nèi)容訪問(wèn)控制 IP/端口是否合法？端口是否合法？ 應(yīng)用是否合法？應(yīng)用是否合法？ 行為是否合法？行為是否合法？ 需要多大性能？需要多大性能？ 安全技術(shù)發(fā)展趨勢(shì)28 云的虛擬化要求網(wǎng)絡(luò)虛擬化云的虛擬化要求網(wǎng)絡(luò)虛擬化 N=1 VLAN 1 VLAN 2 VLAN n 1=N 跨設(shè)備鏈跨設(shè)備鏈 路聚合路聚合 業(yè)務(wù)遷移業(yè)務(wù)遷移 的自適應(yīng)的自適應(yīng) 安全技術(shù)發(fā)展趨勢(shì)29 物聯(lián)網(wǎng)帶來(lái)的物聯(lián)網(wǎng)帶來(lái)的IPv6需求需求 奧運(yùn)奧運(yùn)“龍形水系龍形水系” ” 景觀照明控景觀照明控 制系統(tǒng)采用制系統(tǒng)采用IPv6IPv6網(wǎng)絡(luò)，讓上萬(wàn)支網(wǎng)絡(luò)，讓上萬(wàn)支 可調(diào)亮度燈及可調(diào)亮度燈

15、及LEDLED燈實(shí)現(xiàn)多種變燈實(shí)現(xiàn)多種變 化的景觀效果，成為北京市夜間化的景觀效果，成為北京市夜間 的城市新地標(biāo)。的城市新地標(biāo)。 物聯(lián)網(wǎng)只有物聯(lián)網(wǎng)只有IPv6IPv6才能夠支撐才能夠支撐 安全技術(shù)發(fā)展趨勢(shì)30 目錄目錄 n 應(yīng)用帶來(lái)的挑戰(zhàn)應(yīng)用帶來(lái)的挑戰(zhàn) n 高性能與集成化高性能與集成化 n 虛擬化與強(qiáng)組網(wǎng)虛擬化與強(qiáng)組網(wǎng) 安全技術(shù)發(fā)展趨勢(shì)31 安全產(chǎn)品的發(fā)展方向安全產(chǎn)品的發(fā)展方向 集成化集成化高性能高性能 FPGA FPGA FPGA FPGA 控制流交 換網(wǎng) GE總線 XG總線 業(yè)務(wù)流 交換網(wǎng) 主控引擎 安全技術(shù)發(fā)展趨勢(shì)32 功能融合的基礎(chǔ)通用的實(shí)現(xiàn)功能融合的基礎(chǔ)通用的實(shí)現(xiàn) Session 報(bào)文

16、正規(guī)化處理及應(yīng)用層數(shù)據(jù)恢復(fù)報(bào)文正規(guī)化處理及應(yīng)用層數(shù)據(jù)恢復(fù) 協(xié)議分析協(xié)議分析 特征匹配特征匹配 防火墻防火墻 流量控制流量控制 IPS 防毒墻防毒墻 Web防火墻防火墻 安全技術(shù)發(fā)展趨勢(shì)33 集成化舉例：特征庫(kù)整合集成化舉例：特征庫(kù)整合 n卡巴斯基專業(yè)防病毒特征庫(kù)卡巴斯基專業(yè)防病毒特征庫(kù) 擁有擁有20萬(wàn)種病毒特征萬(wàn)種病毒特征 n漏洞庫(kù)漏洞庫(kù) 漏洞特征庫(kù)數(shù)量漏洞特征庫(kù)數(shù)量3000+ n協(xié)議庫(kù)協(xié)議庫(kù) 可實(shí)時(shí)檢測(cè)和識(shí)別近千種應(yīng)用層協(xié)議可實(shí)時(shí)檢測(cè)和識(shí)別近千種應(yīng)用層協(xié)議 漏洞庫(kù)漏洞庫(kù) 協(xié)議庫(kù)協(xié)議庫(kù)病毒庫(kù)病毒庫(kù) 綜合防御綜合防御 業(yè)界最全面業(yè)界最全面 安全技術(shù)發(fā)展趨勢(shì)34 高性能的前提硬件的發(fā)展高性能的前提

17、硬件的發(fā)展 業(yè)務(wù)能力業(yè)務(wù)能力 L3L3 L4 L4 L7 L7 適應(yīng)各種業(yè)務(wù)處理適應(yīng)各種業(yè)務(wù)處理 分布式并行硬件體系分布式并行硬件體系 通用CPU 缺少硬件搜索 軟件處理性能低 ASICASIC 缺乏靈活性，不支 持L4L7業(yè)務(wù) 轉(zhuǎn)發(fā)性能轉(zhuǎn)發(fā)性能 網(wǎng)絡(luò)處理器 指令空間有限， 4到7層業(yè)務(wù)處理 能力弱。 嵌入式嵌入式CPUCPU 有限的報(bào)文處理 多核多核CPU+FPGACPU+FPGA 安全技術(shù)發(fā)展趨勢(shì)35 現(xiàn)有實(shí)踐：?jiǎn)伟迦f(wàn)兆的技術(shù)實(shí)現(xiàn)現(xiàn)有實(shí)踐：?jiǎn)伟迦f(wàn)兆的技術(shù)實(shí)現(xiàn) n 主：多核主：多核CPUCPU n 協(xié)：協(xié)：FPGA/ASICFPGA/ASIC n 協(xié)：網(wǎng)絡(luò)處理器協(xié)：網(wǎng)絡(luò)處理器 n 輔：高速總

18、線輔：高速總線 安全技術(shù)發(fā)展趨勢(shì)36 多核多核CPU的未來(lái)發(fā)展的未來(lái)發(fā)展 n 更高的內(nèi)核集成度更高的內(nèi)核集成度 n 引入引入CrossBarCrossBar架構(gòu)架構(gòu) n 多多CPUCPU的級(jí)聯(lián)技術(shù)的級(jí)聯(lián)技術(shù) n 更高速度的總線接口更高速度的總線接口 安全技術(shù)發(fā)展趨勢(shì)37 軟件硬件化、硬件軟件化的軟件硬件化、硬件軟件化的FPGA FPGA是一種高密度是一種高密度PLD芯片。它由三個(gè)可編程模塊組成，編程的結(jié)果存放在一芯片。它由三個(gè)可編程模塊組成，編程的結(jié)果存放在一 個(gè)個(gè)SRAM中，所以需要上電時(shí)下載編程數(shù)據(jù)。中，所以需要上電時(shí)下載編程數(shù)據(jù)。 安全技術(shù)發(fā)展趨勢(shì)38 現(xiàn)有實(shí)現(xiàn)：整機(jī)高性能的技術(shù)實(shí)現(xiàn)現(xiàn)有

19、實(shí)現(xiàn)：整機(jī)高性能的技術(shù)實(shí)現(xiàn) FPGA FPGA FPGA FPGA 控制流交換網(wǎng) GE總線 XG總線 主控引擎 業(yè)務(wù)流交換網(wǎng) n CrossBarCrossBar交換架構(gòu)交換架構(gòu) n 控制總線與數(shù)據(jù)總線分離控制總線與數(shù)據(jù)總線分離 n 控制與轉(zhuǎn)發(fā)分離的軟件架構(gòu)控制與轉(zhuǎn)發(fā)分離的軟件架構(gòu) n 基于基于SessionSession的分布式轉(zhuǎn)發(fā)的分布式轉(zhuǎn)發(fā) 安全技術(shù)發(fā)展趨勢(shì)39 高性能設(shè)計(jì)舉例高性能設(shè)計(jì)舉例 FPGA-based HW Engine Session management Packets processing fast path DPtech uniform signatures Kasp

20、ersky AV signatures Multi-Core Security Processor High density processing for flexible security functionality (Policy mgmt., PCRE, etc.) Protocols decoding Traffic Shaping 10Gbps10Gbps Fast Path RAM RAM RAM RAM CPU 0 RAM RAM HDD 72 Gig Network Processing ASIC Front-end network processing offloads Ha

21、rdware accelerated Hashing and Scheduling 10Gbps10Gbps Control PlaneData Plane CPU 7 . . . PolicyPCRE Traffic Shaping CPU 1 CPU 2 RAM RAM CPU 3 Packet header checking Signature Match Session Mgmt. HW Hash & Scheduling 48G Switch Fabric Dedicated Control Plane Highly available mgmt High speed logging

22、 updates Analysis and reports 安全技術(shù)發(fā)展趨勢(shì)40 未來(lái)發(fā)展未來(lái)發(fā)展 40G100G 10G10G10G n通用并行計(jì)算方法研究通用并行計(jì)算方法研究 n更大規(guī)模更大規(guī)模FPGA FPGA 的應(yīng)用的應(yīng)用 n設(shè)備內(nèi)高性能負(fù)載均衡設(shè)備內(nèi)高性能負(fù)載均衡 n跨物理設(shè)備的性能聚合跨物理設(shè)備的性能聚合 安全技術(shù)發(fā)展趨勢(shì)41 目錄目錄 n 應(yīng)用帶來(lái)的挑戰(zhàn)應(yīng)用帶來(lái)的挑戰(zhàn) n 高性能與集成化高性能與集成化 n 虛擬化與強(qiáng)組網(wǎng)虛擬化與強(qiáng)組網(wǎng) 安全技術(shù)發(fā)展趨勢(shì)42 網(wǎng)絡(luò)虛擬化已經(jīng)成為常態(tài)網(wǎng)絡(luò)虛擬化已經(jīng)成為常態(tài) 生產(chǎn)分區(qū)生產(chǎn)分區(qū) 物理資源物理資源 辦公分區(qū)辦公分區(qū) InternetInte

23、rnet分區(qū)分區(qū) 虛擬化分區(qū)虛擬化分區(qū) n在一套物理資源上，采用虛擬化分區(qū)方法為多個(gè)業(yè)務(wù)系統(tǒng)虛擬出隔離的在一套物理資源上，采用虛擬化分區(qū)方法為多個(gè)業(yè)務(wù)系統(tǒng)虛擬出隔離的IT IT環(huán)境環(huán)境 n虛擬化分區(qū)具有獨(dú)立的邏輯資源：帶寬、計(jì)算、策略數(shù)、管理員、虛擬化分區(qū)具有獨(dú)立的邏輯資源：帶寬、計(jì)算、策略數(shù)、管理員、QoSQoS 數(shù)據(jù)中心 廣域網(wǎng) 數(shù)據(jù)中心 廣域網(wǎng) 數(shù)據(jù)中心 廣域網(wǎng) 數(shù)據(jù)中心 廣域網(wǎng) 安全技術(shù)發(fā)展趨勢(shì)43 我們常用的局域網(wǎng)虛擬化我們常用的局域網(wǎng)虛擬化VLAN Trunk Link 研發(fā)部研發(fā)部 局域網(wǎng)局域網(wǎng) 工程部工程部 局域網(wǎng)局域網(wǎng) 市場(chǎng)部市場(chǎng)部 局域網(wǎng)局域網(wǎng) 虛擬網(wǎng)虛擬網(wǎng)VLAN端口端口

24、 工程部工程部1011、2、9 研發(fā)部研發(fā)部1023、5、7 市場(chǎng)部市場(chǎng)部1034、6、8 虛擬網(wǎng)虛擬網(wǎng)VLAN端口端口 工程部工程部1012、3、4 研發(fā)部研發(fā)部1021、5、9 市場(chǎng)部市場(chǎng)部1036、7、8 安全技術(shù)發(fā)展趨勢(shì)44 我們不太常用的廣域網(wǎng)虛擬化我們不太常用的廣域網(wǎng)虛擬化MPLS 匯聚交換機(jī) 虛擬網(wǎng)絡(luò)虛擬網(wǎng)絡(luò)VPN1 VPN1 RD：100:100 Export RT：100:100 Import RT：100:100 VRF_VPN1 Route Table: /24 Local /24 VPN2 RD：100:200

25、Export RT：100:200 Import RT：100:200 VRF_VPN2 Route Table: /24 Local /24 VPN2 RD：100:200 Export RT：100:200 Import RT：100:200 VRF_VPN2 Route Table: /24 Local /24 VPN1 RD：100:100 Export RT：100:100 Import RT：100:100 VRF_VPN1 Route Table: 10.10.2.

26、0/24 Local /24 虛擬網(wǎng)絡(luò)虛擬網(wǎng)絡(luò)VPN2 接入交換機(jī) 核心交換機(jī) 匯聚交換機(jī) /24/24 /24 /24 VLAN10VLAN20 VLAN10VLAN20 接入交換機(jī) 虛擬網(wǎng)絡(luò)虛擬網(wǎng)絡(luò)VPN1虛擬網(wǎng)絡(luò)虛擬網(wǎng)絡(luò)VPN2 標(biāo)簽轉(zhuǎn)發(fā)通道標(biāo)簽轉(zhuǎn)發(fā)通道 安全技術(shù)發(fā)展趨勢(shì)45 MPLS VPN典范：電子政務(wù)網(wǎng)典范：電子政務(wù)網(wǎng) 省政府省政府 市政府市政府 區(qū)縣政府區(qū)縣政府 省工商局省工商局 市工商局市工商局 區(qū)縣工

27、商局區(qū)縣工商局 省勞動(dòng)廳省勞動(dòng)廳 市勞動(dòng)局市勞動(dòng)局 區(qū)縣勞動(dòng)局區(qū)縣勞動(dòng)局 縱向網(wǎng)絡(luò)結(jié)構(gòu)縱向網(wǎng)絡(luò)結(jié)構(gòu) 橫向網(wǎng)絡(luò)結(jié)構(gòu)橫向網(wǎng)絡(luò)結(jié)構(gòu) 橫向網(wǎng)絡(luò)：信息共享，跨部門協(xié)作橫向網(wǎng)絡(luò)：信息共享，跨部門協(xié)作 縱向網(wǎng)絡(luò)：縱向網(wǎng)絡(luò)： 業(yè)務(wù)運(yùn)作，行業(yè)管理與指導(dǎo)業(yè)務(wù)運(yùn)作，行業(yè)管理與指導(dǎo) 政務(wù)網(wǎng)政務(wù)網(wǎng) MPLS VPN MPLS VPN 橫向網(wǎng)絡(luò)結(jié)構(gòu)橫向網(wǎng)絡(luò)結(jié)構(gòu) 實(shí)體政務(wù)網(wǎng)實(shí)體政務(wù)網(wǎng) 虛擬業(yè)務(wù)網(wǎng)虛擬業(yè)務(wù)網(wǎng) 安全技術(shù)發(fā)展趨勢(shì)46 安全虛擬化（安全虛擬化（N=1) 當(dāng)網(wǎng)絡(luò)已經(jīng)虛擬化，安全也當(dāng)網(wǎng)絡(luò)已經(jīng)虛擬化，安全也必須必須得支持虛擬化得支持虛擬化 PEMCE VLANMPLS 路由表路由表NAT狀態(tài)表狀態(tài)表訪問(wèn)策略訪問(wèn)策略 路由

28、表路由表NAT狀態(tài)表狀態(tài)表訪問(wèn)策略訪問(wèn)策略 路由表路由表NAT狀態(tài)表狀態(tài)表訪問(wèn)策略訪問(wèn)策略 虛擬虛擬IPS 虛擬虛擬FW 狀態(tài)表狀態(tài)表安全策略安全策略 狀態(tài)表狀態(tài)表安全策略安全策略 狀態(tài)表狀態(tài)表安全策略安全策略 響應(yīng)表響應(yīng)表 響應(yīng)表響應(yīng)表 響應(yīng)表響應(yīng)表 DPtech防火墻、防火墻、IPS 等全線安全產(chǎn)品全部等全線安全產(chǎn)品全部 支持虛擬化技術(shù)。支持虛擬化技術(shù)。 安全技術(shù)發(fā)展趨勢(shì)47 網(wǎng)關(guān)類安全產(chǎn)品其它組網(wǎng)要求網(wǎng)關(guān)類安全產(chǎn)品其它組網(wǎng)要求 n 靜態(tài)路由協(xié)議/RIPv1/2/OSPF/BGP/策略路由 n 流量監(jiān)管/擁塞檢測(cè)及避免/流量整形 n MPLS VPN/VLAN/QinQ/虛擬防火墻/多播

29、虛擬防火墻組網(wǎng)示意 安全域1安全域2安全域3 虛擬防火墻 DPtechFW1000 虛擬防火墻虛擬防火墻 安全技術(shù)發(fā)展趨勢(shì)48 BGP Peer /24 NextHop /32 NextHop 城域網(wǎng)城域網(wǎng) 發(fā)布路由 /32 NextHop No-Advertise BGP路由引流路由引流 策略路由回注策略路由回注 VLAN偷傳回注偷傳回注 MPLS VPN回注回注 流量清洗設(shè)備的組網(wǎng)能力要求流量清洗設(shè)備的組網(wǎng)能力要求 安全技術(shù)發(fā)展趨勢(shì)49 網(wǎng)絡(luò)層網(wǎng)

30、絡(luò)層 路由路由 接口接口 交換交換 ACL/NAT. 網(wǎng)絡(luò)層網(wǎng)絡(luò)層 路由路由 接口接口 交換交換 ACL/NAT. 網(wǎng)絡(luò)產(chǎn)品硬件平臺(tái)網(wǎng)絡(luò)產(chǎn)品硬件平臺(tái) ASICNPASICNP 強(qiáng)組網(wǎng)能力的軟件平臺(tái)強(qiáng)組網(wǎng)能力的軟件平臺(tái) 網(wǎng)絡(luò)產(chǎn)品網(wǎng)絡(luò)產(chǎn)品 圍繞圍繞23層交換，實(shí)時(shí)性高層交換，實(shí)時(shí)性高 缺乏處理缺乏處理47層業(yè)務(wù)能力層業(yè)務(wù)能力 安全產(chǎn)品安全產(chǎn)品 與與23層的轉(zhuǎn)發(fā)缺乏融合層的轉(zhuǎn)發(fā)缺乏融合 性能、業(yè)務(wù)擴(kuò)展性上瓶頸明顯性能、業(yè)務(wù)擴(kuò)展性上瓶頸明顯 網(wǎng)絡(luò)層安全網(wǎng)絡(luò)層安全 防火墻防火墻 VPN/NAT DDoS ARP攻擊攻擊 應(yīng)用層安全應(yīng)用層安全 防病毒防病毒 木馬木馬 網(wǎng)頁(yè)竄改網(wǎng)頁(yè)竄改 防垃圾郵件防垃圾郵件

31、 URL過(guò)濾過(guò)濾 安全產(chǎn)品硬件平臺(tái)安全產(chǎn)品硬件平臺(tái) X86、ASIC、NP、多核、多核 APP-X NP + 多核多核 + FPGA ConPlat Layer27安全平臺(tái)安全平臺(tái) 防病毒防病毒 間諜軟件間諜軟件 DDoS ARP攻擊攻擊 NAT 路由路由 防垃圾郵件防垃圾郵件 防網(wǎng)頁(yè)篡改防網(wǎng)頁(yè)篡改 帶寬濫用帶寬濫用 防火墻防火墻 ACL 交換交換 防漏洞攻擊防漏洞攻擊 非法掃描非法掃描 木馬木馬 VPN VoIP ConPlat是業(yè)界第一個(gè)實(shí)現(xiàn)高實(shí)時(shí)性、真正理解網(wǎng)絡(luò)與應(yīng)用的安全平臺(tái)是業(yè)界第一個(gè)實(shí)現(xiàn)高實(shí)時(shí)性、真正理解網(wǎng)絡(luò)與應(yīng)用的安全平臺(tái) 安全技術(shù)發(fā)展趨勢(shì)50 迪普公司簡(jiǎn)介迪普公司簡(jiǎn)介 安全技術(shù)發(fā)展趨勢(shì)51 公司簡(jiǎn)介公司簡(jiǎn)介 我們的機(jī)構(gòu)：我們的機(jī)構(gòu)：總部位于杭州，在全國(guó)設(shè)有分支機(jī)構(gòu) 我們的方向：我們的方向：專注于網(wǎng)絡(luò)內(nèi)容及網(wǎng)絡(luò)安全，為用戶提供深度安全檢測(cè)與 防御、深度內(nèi)容識(shí)別與加速的整體解決方案 我們的能力：我們的能力：擁有自主知識(shí)產(chǎn)權(quán)的高性能內(nèi)容識(shí)別與加速芯片及內(nèi)容交 付軟件平臺(tái) 我們的服務(wù)：我們的服務(wù)：依托各地的分支機(jī)構(gòu)與合作伙伴，提供全國(guó)7x24支持 在網(wǎng)絡(luò)安