云安全解決方案

提綱12云計算發(fā)展趨勢迪普公司介紹34迪普云安全技術典型部署及案例公司情況及全產(chǎn)品第一頁，共39頁。公司愿景——成為網(wǎng)絡安全及應用交付領域領先的解決方案提供商公司簡介第二頁，共39頁。用戶管理(用戶接入/準入控制/行為審計/認證計費)業(yè)務管理(安全/加速/可用/應用業(yè)務)UMC統(tǒng)一管理中心資源管理(網(wǎng)絡/QoS/ACL/VLAN/配置/報表)應用即網(wǎng)絡ApplicationAsNetwork應用安全應用交付IPS/防毒墻Probe/GuradWAF/Scanner/WebShield流控及審計應用交付平臺基礎安全應用防火墻UTMSRG基礎網(wǎng)絡DPXTAC商業(yè)/工業(yè)交換機全系列產(chǎn)品第三頁，共39頁。提綱12云計算發(fā)展趨勢迪普公司介紹34迪普云安全技術典型部署及案例第四頁，共39頁。云計算的概念和分類云計算的核心思想是通過共享軟硬件資源，可以按需的向用戶提供IT服務。SaaSCPU資源池內(nèi)存資源池存儲資源池OAERPCRMMISIaaSPaaS★注：IaaS、PaaS、SaaS三者不是包含或者演進的關系，盡管三者的軟硬件抽象層次不同，但是三者之間是完全并列的技術，互不統(tǒng)屬和交叉。第五頁，共39頁。IT的演進和技術變革海量數(shù)據(jù)處理Scale-Out擴展中少量數(shù)據(jù)處理Scale-Up式擴展流程工具的IT架構以關系型數(shù)據(jù)庫為核心組織數(shù)據(jù)B/S或C/S架構專用服務器專用存儲設備網(wǎng)絡分割，弱QoS協(xié)作工具的IT架構以關系型數(shù)據(jù)庫為核心組織數(shù)據(jù)SOA架構X86服務器群集專用存儲設備網(wǎng)絡互通，弱QoS流程工具的IT架構以非關系型數(shù)據(jù)庫為核心組織數(shù)據(jù)SOA架構超大X86服務器群集，無專用存儲網(wǎng)絡互通，強QoS第六頁，共39頁。IT模型的變化HardwareHardwareHardwareAPPV-OSAPPCloudHypervisor軟硬件的徹底分離通過引入虛擬化層（Hypervisor），可實現(xiàn)操作系統(tǒng)與硬件的解耦，降低復雜度通過引入云層，可實現(xiàn)應用與操作系統(tǒng)的解耦，徹底實現(xiàn)應用與硬件的無關性APPAPPAPPAPPAPPAPPV-OSHardwareHardwareHardwareAPPOSHardwareAPPOSHardwareAPPOSHardwareAPPOSHardwareAPPOSHardwareAPPOSHardware第七頁，共39頁。IT硬件基礎架構發(fā)展趨勢IaaSPaaSSaaS計算廉價硬件Scale-Out虛擬化與云化的支持高性能的大數(shù)據(jù)處理去IOE!存儲廉價硬件Scale-Out簡單可靠的失效管理高性能的大數(shù)據(jù)存取通信數(shù)據(jù)中心大二層網(wǎng)絡虛擬化互聯(lián)與業(yè)務承載基于應用的業(yè)務支撐第八頁，共39頁。管新IT基礎架構云IaaSPaaSSaaS公有混合私有視頻會議終端PC/終端IP語音終端移動終端端局域網(wǎng)廣域網(wǎng)數(shù)據(jù)中心智能管理智能調(diào)度虛擬化承載智能接入應用加速應用可控應用可用應用識別應用支持智能管道第九頁，共39頁。云計算的變與不變V.S.改變不變建設方式運維方式流量模型應用安全加速可用第十頁，共39頁。云計算對網(wǎng)絡的影響InternetPod0Pod1Pod2Podn核心交換機核心交換機匯聚交換機匯聚交換機出口路由器出口路由器FCoE等帶來的全以太網(wǎng)組網(wǎng)扁平組網(wǎng)引起三層集中部署全二層扁平化組網(wǎng)業(yè)務遷移業(yè)務遷移引起的接入動態(tài)化第十一頁，共39頁。虛擬化對安全的影響針對眾多業(yè)務系統(tǒng)不同的安全需求，安全策略如何部署虛擬機遷移時，安全策略如何遷移如何隔離同一物理服務器上的虛擬機如何控制虛擬機之間的相互訪問如何控制不同業(yè)務之間的調(diào)用虛擬化系統(tǒng)自身的漏洞會帶來新的風險內(nèi)存遺跡帶來的風險新系統(tǒng)引入新威脅虛擬機之間的隔離與訪問控制問題安全策略的部署與遷移如何在虛擬化環(huán)境中應用安全能力？12第十二頁，共39頁。提綱12云計算發(fā)展趨勢迪普公司介紹34迪普云安全技術典型部署及案例第十三頁，共39頁。云安全技術分類PaaSSaaSIaaSSaaS層云安全主要集中在解決應用層安全★注：云安全涉及范圍廣，IaaS、PaaS、SaaS三者不是包含或者演進的關系，盡管三者的軟硬件抽象層次不同，但是三者之間是完全并列的技術，互不統(tǒng)屬和交叉。云殺毒郵件安全網(wǎng)頁安全PaaS層云安全集中在解決平臺層安全IaaS層云安全主要集中在解決基礎架構層安全防火墻資源池IPS資源池應用交付資源池數(shù)據(jù)恢復/備份虛擬化安全存儲安全AppAPPAPP第十四頁，共39頁。迪普科技的目標：成為“云”的一種能力FW池計算資源池存儲資源池APP1APP2APP3APP4能力資源池IPS池流控池審計池AV池

抗DoS加速池LB池……優(yōu)化策略流安全策略流APP5網(wǎng)絡是支撐，L4~L7能力是云的一部分第十五頁，共39頁。運營商數(shù)據(jù)中心發(fā)展歷程Internet互聯(lián)網(wǎng)業(yè)務區(qū)對外業(yè)務區(qū)負載均衡負載均衡互聯(lián)網(wǎng)業(yè)務對外業(yè)務1內(nèi)部業(yè)務區(qū)負載均衡內(nèi)部業(yè)務1負載均衡內(nèi)部業(yè)務2負載均衡對外業(yè)務2IPSFWFWFWFWFWIPSIPS最初的數(shù)據(jù)中心具備一個大服務器區(qū)，所有應用都放置在同一個服務器區(qū)域，各業(yè)務沒有隔離，統(tǒng)一部署邊界安全措施；由于每個應用的安全級別不同，應用人員類型不同等因素，運營商業(yè)務系統(tǒng)都趨向于演進到邊界清晰、安全域劃分清晰的規(guī)范結構服務器區(qū)App2InternetAppN從服務器區(qū)融合的部署到安全域劃分清晰的規(guī)范網(wǎng)絡App1云計算中心應用從從物理主機遷移到虛擬化主機安全域劃分清晰的數(shù)據(jù)中心虛擬化數(shù)據(jù)中心服務器大融合的數(shù)據(jù)中心第十六頁，共39頁。云安全核心思路：以不變的網(wǎng)關應萬變二層歸網(wǎng)絡平臺，三層以上歸安全與應用交付平臺。APP基于VLAN的安全分區(qū)VLAN1.1001VLAN2.1001VLANn.xVLAN自適應業(yè)務遷移APP1APP2APP3VLAN1001VLANxVLAN1VLAN2VLAN3VLANn網(wǎng)關及L4~7層策略流IP及MAC規(guī)劃分布式網(wǎng)關部署第十七頁，共39頁。迪普向云演進的云計算中心安全解決方案云計算中心虛擬負載均衡互聯(lián)網(wǎng)業(yè)務虛擬IPS虛擬FWInternet防火墻資源池入侵防御資源池負載均衡資源池流量清洗資源池網(wǎng)流分析/控制資源池DPX8000DPX8000對外業(yè)務對內(nèi)業(yè)務1對內(nèi)業(yè)務2根據(jù)不同應用需求分配不同性能的安全業(yè)務各虛擬安全業(yè)務擁有獨立的管理、狀態(tài)表，由各業(yè)務負責人管理虛擬負載均衡虛擬IPS虛擬FW虛擬負載均衡虛擬FW虛擬負載均衡虛擬FW防火墻資源池入侵防御資源池負載均衡資源池流量清洗資源池網(wǎng)流分析/控制資源池部署方案一：網(wǎng)關式邊界防火墻第十八頁，共39頁。迪普向云演進的云計算中心安全解決方案數(shù)據(jù)中心DPtechDPX8000交換機路由器城域網(wǎng)DPtechDPX8000交換機路由器虛擬應用N虛擬應用1……防火墻資源池入侵防御資源池負載均衡資源池流量清洗資源池網(wǎng)流分析/控制資源池防火墻資源池入侵防御資源池負載均衡資源池流量清洗資源池網(wǎng)流分析/控制資源池旁掛、扁平、一體化的虛擬防火墻部署，極大簡化網(wǎng)絡部署，降低TCO成功應用：中國電信集團云計算中心上海電信節(jié)點、四川電信節(jié)點部署方案二：單臂式第十九頁，共39頁。核心思路：基于虛擬化網(wǎng)關的策略流APP2安全加速可用APP1安全加速可用APP3安全加速可用大二層以太網(wǎng)FCoE每個網(wǎng)關引導對應應用所需的策略流。應用間互訪要通過網(wǎng)關進行。DPX是最適應此部署模式的平臺，以虛擬防火墻形成分布式網(wǎng)關，通過自定義網(wǎng)絡流量的流向，通過不同的功能板卡形成策略流。擴展應用：公有云服務中，提供安全和應用交付業(yè)務的租賃第二十頁，共39頁。應用即網(wǎng)絡的技術演進能力云階段虛擬化階段網(wǎng)絡化階段..............................App-1App-2App-3App-4App-5Group-1Group-2Group-N多合一：物理設備性能聚合一分多：面向業(yè)務定制40~100GInternet從“ApplicationatNetwork”向“ApplicationasNetwork”的演進實現(xiàn)集成網(wǎng)絡的安全與應用交付，不成為網(wǎng)絡瓶頸；整機最大400G處理能力，5億并發(fā)連接，1500萬新建連接；實現(xiàn)安全與應用交付的全面虛擬化，顆粒化資源；能創(chuàng)建防火墻、IPS、應用交付、流量控制、行為審計、流量清洗等多業(yè)務資源池；實現(xiàn)虛擬化能力池的動態(tài)調(diào)度，為應用提供云化服務；21第二十一頁，共39頁。云安全的承載：DPX8000深度業(yè)務交換網(wǎng)關DPX8000-A3DPX8000-A5DPX8000-A12高性能：大交換容量，最多支持480*GE/80*10GE接口線速轉(zhuǎn)發(fā)業(yè)務豐富：負載均衡、應用加速、防火墻、IPS、異常流量清洗、流量控制、行為審計等功能按需擴展，最大400G深度業(yè)務線速處理能力虛擬化：端到端的從網(wǎng)絡層到應用層的虛擬化能力高可用性：豐富網(wǎng)絡協(xié)議，支持48GE電/光、4*10GE/8*10GE光、2.5G/10G/40GPOS等高密接入交換板：48GE接口4*10GE/8*10GE接口4*2.5G/4*10GPOS接口，1*40GPOS接口全線速交換業(yè)務板：單板業(yè)務處理能力40G，整機最大400G單板并發(fā)連接數(shù)5000萬，新建連接數(shù)150萬/秒最大支持24端口聚合第二十二頁，共39頁。高性能APP-X硬件平臺創(chuàng)新的控制、業(yè)務、數(shù)據(jù)的三平面結構數(shù)據(jù)平面：基于CLOS/CrossBar架構的分布式轉(zhuǎn)發(fā)，基于SessionFPGA的應用層快轉(zhuǎn)業(yè)務平面：基于多核CPU與內(nèi)容FPGA的業(yè)務處理控制平面：基于多核CPU的高性能控制平面路由計算轉(zhuǎn)發(fā)表管理……分布式轉(zhuǎn)發(fā)業(yè)務快轉(zhuǎn)……應用識別應用控制……NPNP交換芯片交換芯片SessionFPGASeesionFPGACore1Core2CorenBUSRAMMultiCoreCPURAMBUSFilterProcesserContentFPGACore1Core2CorenBUSRAMMultiCoreCPUCLOS/CrossBar第二十三頁，共39頁。ConPlat軟件平臺APP-XCore1Core2CorenBUSRAMMultiCoreCPURAMBUSFilterProcesserContentFPGACLOS/CrossBarSwitchNPFPGAConPlat硬件虛擬化管理進程調(diào)度內(nèi)存管理磁盤管理總線控制控制平面業(yè)務管理業(yè)務管理業(yè)務管理CLITelnet/SSHWebUISNMP日志管理員鑒權控制平面控制平面IPv4路由IPv6路由MPLS轉(zhuǎn)發(fā)平面轉(zhuǎn)發(fā)平面轉(zhuǎn)發(fā)平面路由轉(zhuǎn)發(fā)Session轉(zhuǎn)發(fā)二層轉(zhuǎn)發(fā)業(yè)務平面業(yè)務平面業(yè)務平面應用識別應用加速異常管理應用控制應用審計應用可用性網(wǎng)流分析第二十四頁，共39頁。APP-ID應用特征庫協(xié)議庫特征庫模式庫特征采集特征分析特征生成業(yè)內(nèi)獨創(chuàng)三庫合一，一次解析，多次匹配，效率最優(yōu)。第二十五頁，共39頁。支持多框級聯(lián)，靈活擴展端口密度和處理能力單框內(nèi)部支持主備板倒換，VSM內(nèi)部支持主備框倒換，同時支持跨框端口聚合，最大限度提高可靠性支持集中配置與管理，簡化部署虛擬交換矩陣（VSM）第二十六頁，共39頁。板卡資源虛擬化資源化將多塊板卡虛擬成一塊板卡進行配置和使用，簡化配置處理性能和端口密度同步擴展負載平均分擔，出現(xiàn)故障時自動切換，實現(xiàn)N+1備份第二十七頁，共39頁。技術創(chuàng)新——N:M虛擬化VSM跨設備虛擬化

將多個機框虛擬成為為一個機框，可統(tǒng)一配置管理業(yè)務虛擬化聚合

業(yè)內(nèi)唯一可將多個同類業(yè)務板卡虛擬成為一個業(yè)務板卡，結合VSM，可實現(xiàn)跨機框業(yè)務整合1：M業(yè)務虛擬化

業(yè)務板卡支持1：M虛擬化，可虛擬成

為多個同類型虛擬設備業(yè)務跨板卡虛擬化VSM跨機框虛擬化業(yè)務資源池…1：M虛擬化可控可用加速同類業(yè)務卡同類業(yè)務卡同類業(yè)務卡第二十八頁，共39頁。操作系統(tǒng)及虛擬化管理虛擬化協(xié)議虛擬化轉(zhuǎn)發(fā)虛擬化資源虛擬化操作系統(tǒng)虛擬化每個虛擬系統(tǒng)由相應管理員自主管理，各個虛擬系統(tǒng)之間互不可見每個虛擬系統(tǒng)運行獨立的協(xié)議進程，各進程間互不干擾每個虛擬系統(tǒng)單獨享有系統(tǒng)管理員預先分配的相關資源，各個虛擬系統(tǒng)之間互不干擾每個虛擬系統(tǒng)擁有獨立的轉(zhuǎn)發(fā)表和會話表，地址空間完全獨立第二十九頁，共39頁。系統(tǒng)高可靠性保障VRRPmasterVRRPbackup4.雙機熱備：主機和備機之間可以同步規(guī)則、路由和Session等信息。當主機出現(xiàn)問題后，互相可以平滑切換6.板間負載均衡及容錯1.雙主控、關鍵部件冗余設計2.接口卡、電源模塊、風扇等關鍵部件熱插拔7.業(yè)務模塊的掉電保護和選擇性二層回退5.操作系統(tǒng)和DigitalPatch的在線業(yè)務無間斷升級分布式架構和多種容錯設計，可以保證在各種復雜網(wǎng)絡流量環(huán)境下的高可靠性和可用性3.N+M電源冗余第三十頁，共39頁。深度業(yè)務交換網(wǎng)關優(yōu)勢一體化高性能網(wǎng)絡適用性虛擬化擴展性深度業(yè)務交換網(wǎng)關高可靠集業(yè)務交換、網(wǎng)絡安全、應用交付三大功能于一體主控冗余、N+1電源、不間斷重啟、熱補丁、數(shù)據(jù)/控制/監(jiān)測平面分離等技術，確保99.999％的電信級可靠性縱向性能擴展。增加同類業(yè)務板卡可實現(xiàn)性能線性擴展；橫向業(yè)務擴展。支持應用防火墻、IPS、流量控制、安全審計、應用交付、異常流量清洗/檢測等深度業(yè)務功能的按需擴展1024G交換容量，滿足現(xiàn)在及未來的網(wǎng)絡性能要求支持IPv4/IPv6、三層/二層MPLSVPN等豐富的網(wǎng)絡特性，提供各類千兆電口、千兆光口、萬兆光口擴展，能滿足各種部署環(huán)境要求多合一、一分多虛擬化，為不同業(yè)務動態(tài)分配不同的虛擬安全資源；VSM跨機框虛擬化，擴展網(wǎng)絡冗余能力。第三十一頁，共39頁。Xware服務器虛擬化DptechXware提供的服務器虛擬化和桌面虛擬化，與迪普科技現(xiàn)有網(wǎng)絡虛擬化、安全虛擬化和應用交付虛擬化結合，可為用戶提供更加全面、靈活的“智能端到端虛擬化”，實現(xiàn)“應用即網(wǎng)絡”的整網(wǎng)融合。虛擬化之前虛擬化之后服務器100050存儲直連分層SAN和NAS網(wǎng)絡3000線纜/端口300線纜/端口設施200機架400電纜線10機架20電纜線大大降低TCO提高運營效率提高服務水平舊硬件和操作系統(tǒng)的投資保護32第三十二頁，共39頁。提綱12云計算發(fā)展趨勢迪普公司介紹34迪普云安全技術典型案例第三十三頁，共39頁。典型應用—中國電信云計算憑借高性能（吞吐量400Gbps、新建會話數(shù)1500萬/秒、并發(fā)會話數(shù)5億）、N:M虛擬化、高可靠等領先技術，迪普云安全防火墻成功應用于中國電信云計算三大節(jié)點中的上海節(jié)點、四川節(jié)點服務器群DPtech防火墻出口路由器匯聚交換機DPtech防火墻匯聚交換機上海節(jié)點四川節(jié)點城域網(wǎng)CN2DPtech防火墻DPtech防火墻34第三十四頁，共39頁。新疆電信云計算資源池項目中國移動中國教育網(wǎng)中國移動公網(wǎng)DCNCN2DPtechFW1000DPtechFW1000LB1LB2核心交換2核心交換1心跳HSRPDPtechFW1000下一代應用防火墻解決了用戶多重網(wǎng)絡隔離問題；解決用戶單源地址同時對不同網(wǎng)絡提供業(yè)務服務；在對不同網(wǎng)絡提供業(yè)務服務的同時，通過安全策略控制訪問權限，增強業(yè)務數(shù)據(jù)安全和可靠性；FW1000靜默熱備功能很好的解決了用戶對于容易方面的需求。第三十五頁，共39頁。世博會-上海電信DPtech防毒墻為世博會IDC提供萬兆性能的蠕蟲、木馬等病毒在線查殺DPtechWebShield確保世博會新聞網(wǎng)站不被篡改、網(wǎng)頁掛馬等DPtech萬兆防毒墻DPtech萬兆防毒墻新聞發(fā)布中心局域網(wǎng)Internet第三十六頁，共39頁。迪普科技運營商八大解決方案定制、融合、創(chuàng)新、領先高性能、虛擬化、一體化數(shù)據(jù)中心安全虛擬化大容量NAT異常流量清洗DNS防護DPI融合網(wǎng)關WLAN流控及審計安全運維管理及加固構建安全、快速、可用的高品質(zhì)運營商網(wǎng)絡數(shù)據(jù)中心應用交付400Gbps，5億并發(fā)業(yè)內(nèi)獨有N:M虛擬化400Gbps，5億并發(fā)精確溯源，無縫擴展400Gbps，3.2億并發(fā)異常流量檢測精確400Gbps，3.2億并發(fā)高可靠，支持業(yè)務豐富2憶QPS，5000萬緩存防護、優(yōu)化一體化200Gbps，3.2億并發(fā)定制化DPI，應用豐富十