安全技術(shù)發(fā)展趨勢(shì)

1、安全技術(shù)發(fā)展趨勢(shì)自我介紹孫曉明杭州迪普科技有限公司解決方案部部長(zhǎng)Mobile：E-mail：提綱應(yīng)用的變化現(xiàn)有安全技術(shù)安全技術(shù)趨勢(shì)應(yīng)用的變化從web 2.0到云計(jì)算物聯(lián)網(wǎng)的興起從web 2.0到云計(jì)算用戶創(chuàng)造內(nèi)容應(yīng)用放在云端應(yīng)用的新挑戰(zhàn)Web 2.0代表的新應(yīng)用走向企業(yè)云計(jì)算代表的新架構(gòu)改變企業(yè)基礎(chǔ)設(shè)施Cloud：What？Infrastructure(SaaS)Platform(PaaS)Software(SaaS)SaleForceMicrosoftNetSuiteGoogle AppEngineBungee LabsHerokuAmazon EC2GoGridMossoPublicClo

2、udeVirtual Private CloudPrivate CloudeCloud：How？Phase 打破硬件界限，將數(shù)據(jù)中心整合為統(tǒng)一的資源池。IaaSCPU資源池虛擬資源池物理服務(wù)器虛擬業(yè)務(wù)主機(jī)內(nèi)存資源池存儲(chǔ)資源池Cloud：How？Phase 將全部系統(tǒng)服務(wù)與業(yè)務(wù)應(yīng)用都納入云中。PaaS & SaaSCPU資源池系統(tǒng)服務(wù)云基礎(chǔ)架構(gòu)云業(yè)務(wù)應(yīng)用云內(nèi)存資源池存儲(chǔ)資源池SQL中間件WWW程序接口物聯(lián)網(wǎng)的核心是對(duì)信息數(shù)據(jù)的采集和處理 物聯(lián)網(wǎng)(The Internet of things)，把新一代IT技術(shù)充分運(yùn)用在各行業(yè)中，如能源、交通、建筑、家庭、市政系統(tǒng)等，然后與現(xiàn)有通信網(wǎng)結(jié)合，實(shí)現(xiàn)人類(lèi)

3、社會(huì)與物理系統(tǒng)的整合。 人類(lèi)可以更加精細(xì)和動(dòng)態(tài)的方式管理生產(chǎn)和生活，達(dá)到“智慧”狀態(tài)，提高資源利用率和生產(chǎn)力水平，改善人與自然間的關(guān)系。 物聯(lián)網(wǎng)的興起物聯(lián)網(wǎng)的應(yīng)用車(chē)載應(yīng)用工控應(yīng)用對(duì)講應(yīng)用消防遠(yuǎn)程監(jiān)控新應(yīng)用帶來(lái)的安全挑戰(zhàn)新應(yīng)用帶來(lái)的新威脅應(yīng)用越來(lái)越集中，越來(lái)越重要帶來(lái)的管理壓力網(wǎng)絡(luò)流量的快速增長(zhǎng)，網(wǎng)絡(luò)復(fù)雜性的增加現(xiàn)有安全技術(shù)常見(jiàn)信息安全技術(shù)圖譜常見(jiàn)安全威脅與安全產(chǎn)品信息安全連接管理數(shù)據(jù)還原識(shí)別技術(shù)重定向加密狀態(tài)檢測(cè)Syn ProxyDNS重定向代理透明代理HTTP重定向反向代理數(shù)字簽名流量異常行為識(shí)別內(nèi)容加密報(bào)文正規(guī)化通信加密身份認(rèn)證數(shù)字簽名/水印PKI體系IP碎片重組加密技術(shù)加密應(yīng)用技術(shù)對(duì)稱加

4、密算法TCP流恢復(fù)非對(duì)稱加密算法哈希算法編碼還原常見(jiàn)信息安全技術(shù)圖譜基本技術(shù)基于狀態(tài)表轉(zhuǎn)發(fā)如收到的數(shù)據(jù)包為新建TCP連接的數(shù)據(jù)包，則根據(jù)預(yù)定義規(guī)則決定是否轉(zhuǎn)發(fā)。如確定需要轉(zhuǎn)發(fā)則在狀態(tài)表中增加相關(guān)表項(xiàng)，并開(kāi)始跟蹤TCP握手信息。如收到的數(shù)據(jù)包為非新建連接，則檢查狀態(tài)表表項(xiàng)。如有相關(guān)表項(xiàng)則根據(jù)表項(xiàng)進(jìn)行轉(zhuǎn)發(fā)，否則丟棄該數(shù)據(jù)包。如該數(shù)據(jù)包為T(mén)CP FIN包，則轉(zhuǎn)發(fā)后刪除相關(guān)表項(xiàng)。狀態(tài)表中的表項(xiàng)都有預(yù)定義的老化時(shí)間。如超過(guò)老化時(shí)間仍沒(méi)有新的數(shù)據(jù)包通過(guò)，則刪除該條記錄。無(wú)老化時(shí)間的記錄稱為長(zhǎng)連接，用于某些特殊應(yīng)用？新建連接非新建連接狀態(tài)表老化基本技術(shù)特征匹配技術(shù)特征庫(kù)*:X5O!P%AP4PZX54(P)

5、7CC)7$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*數(shù)據(jù)報(bào)文以太網(wǎng)幀頭IP頭TCP頭應(yīng)用層數(shù)據(jù)對(duì)比基于攻擊工具、或漏洞利用的特征進(jìn)行檢測(cè)?；趨f(xié)議交互的異常進(jìn)行檢測(cè)?；诹髁拷y(tǒng)計(jì)的異常進(jìn)行檢測(cè)?；诓《緲颖咎卣鬟M(jìn)行檢測(cè)。攻擊事件智能關(guān)聯(lián)分析。網(wǎng)絡(luò)行為自學(xué)習(xí)、流量基線自學(xué)習(xí)。反向認(rèn)證。檢測(cè)方法報(bào)文正規(guī)化。IP重組。TCP流恢復(fù)。TCP會(huì)話狀態(tài)跟蹤。協(xié)議解碼?；趹?yīng)用層協(xié)議的狀態(tài)跟蹤?？尚艌?bào)文處理。報(bào)文處理方式基于特征匹配的多種檢測(cè)方法網(wǎng)絡(luò)安全設(shè)備部署模式旁路部署在線部署交換機(jī)上設(shè)置鏡像端口，安全設(shè)備旁路進(jìn)行抓包和特征匹配。某些網(wǎng)關(guān)類(lèi)安全設(shè)備（如VPN）的單

6、臂部署模式在拓?fù)湫问缴吓c此類(lèi)似，但是數(shù)據(jù)包需要進(jìn)行轉(zhuǎn)發(fā)的。網(wǎng)關(guān)類(lèi)安全設(shè)備大多采用此種將設(shè)備串入鏈路中的在線部署方式。透明模式向網(wǎng)線一樣工作橋模式相當(dāng)于交換機(jī)路由模式相當(dāng)于路由器混合模式既有路由模式也有橋模式安全技術(shù)趨勢(shì)重新認(rèn)識(shí)信息安全技術(shù)上的挑戰(zhàn)與應(yīng)對(duì)目錄應(yīng)用帶來(lái)的挑戰(zhàn)高性能與集成化虛擬化與強(qiáng)組網(wǎng)組網(wǎng)模型正在發(fā)生變化組網(wǎng)扁平化，安全成為事實(shí)上的核心服務(wù)器區(qū)業(yè)務(wù)終端接入層匯聚層核心層服務(wù)器區(qū)超大型數(shù)據(jù)中心組網(wǎng)終端遷入云中后?怎樣保證終端安全策略的一致性？終端不在管理員的直接控制下，統(tǒng)一部署策略難度大。終端用戶有意或無(wú)意的違反安全策略，難發(fā)現(xiàn)難處理。終端應(yīng)該怎樣進(jìn)行歸屬？終端往往會(huì)處理多個(gè)業(yè)務(wù)，造

7、成歸屬不清。終端在不同網(wǎng)絡(luò)位置接入，難以精確歸屬。怎樣找到問(wèn)題終端？終端眾多，當(dāng)出現(xiàn)安全事件時(shí)，快速定位問(wèn)題終端困難。傳統(tǒng)的終端安全問(wèn)題，都將不復(fù)存在網(wǎng)絡(luò)流量的變化一云計(jì)算使得設(shè)備利用率大幅提升網(wǎng)絡(luò)流量變化二數(shù)據(jù)中心內(nèi)部流量增加并變得更加復(fù)雜對(duì)安全產(chǎn)品的挑戰(zhàn)高性能40G100G10G10G10G如何實(shí)現(xiàn)40G100G的線速？流量變化使得安全邊界消失邊界在哪里？從網(wǎng)絡(luò)訪問(wèn)控制到內(nèi)容訪問(wèn)控制IP/端口是否合法？應(yīng)用是否合法？行為是否合法？需要多大性能？云的虛擬化要求網(wǎng)絡(luò)虛擬化N=1VLAN 1VLAN 2VLAN n1=N跨設(shè)備鏈路聚合業(yè)務(wù)遷移的自適應(yīng)物聯(lián)網(wǎng)帶來(lái)的IPv6需求奧運(yùn)“龍形水系” 景觀

8、照明控制系統(tǒng)采用IPv6網(wǎng)絡(luò)，讓上萬(wàn)支可調(diào)亮度燈及LED燈實(shí)現(xiàn)多種變化的景觀效果，成為北京市夜間的城市新地標(biāo)。物聯(lián)網(wǎng)只有IPv6才能夠支撐目錄應(yīng)用帶來(lái)的挑戰(zhàn)高性能與集成化虛擬化與強(qiáng)組網(wǎng)安全產(chǎn)品的發(fā)展方向集成化高性能FPGAFPGAFPGAFPGA控制流交換網(wǎng)GE總線XG總線業(yè)務(wù)流交換網(wǎng) 主控引擎功能融合的基礎(chǔ)通用的實(shí)現(xiàn)Session報(bào)文正規(guī)化處理及應(yīng)用層數(shù)據(jù)恢復(fù)協(xié)議分析特征匹配防火墻流量控制IPS防毒墻Web防火墻集成化舉例：特征庫(kù)整合卡巴斯基專(zhuān)業(yè)防病毒特征庫(kù)擁有20萬(wàn)種病毒特征漏洞庫(kù)漏洞特征庫(kù)數(shù)量3000+協(xié)議庫(kù)可實(shí)時(shí)檢測(cè)和識(shí)別近千種應(yīng)用層協(xié)議漏洞庫(kù)協(xié)議庫(kù)病毒庫(kù)綜合防御業(yè)界最全面高性能的前提

9、硬件的發(fā)展業(yè)務(wù)能力L3 L4 L7適應(yīng)各種業(yè)務(wù)處理分布式并行硬件體系通用CPU缺少硬件搜索軟件處理性能低ASIC缺乏靈活性，不支持L4L7業(yè)務(wù)轉(zhuǎn)發(fā)性能網(wǎng)絡(luò)處理器指令空間有限，4到7層業(yè)務(wù)處理能力弱。嵌入式CPU有限的報(bào)文處理多核CPU+FPGA現(xiàn)有實(shí)踐：?jiǎn)伟迦f(wàn)兆的技術(shù)實(shí)現(xiàn)主：多核CPU協(xié)：FPGA/ASIC協(xié)：網(wǎng)絡(luò)處理器輔：高速總線多核CPU的未來(lái)發(fā)展更高的內(nèi)核集成度引入CrossBar架構(gòu)多CPU的級(jí)聯(lián)技術(shù)更高速度的總線接口軟件硬件化、硬件軟件化的FPGAFPGA是一種高密度PLD芯片。它由三個(gè)可編程模塊組成，編程的結(jié)果存放在一個(gè)SRAM中，所以需要上電時(shí)下載編程數(shù)據(jù)?，F(xiàn)有實(shí)現(xiàn)：整機(jī)高性能的

10、技術(shù)實(shí)現(xiàn)FPGAFPGAFPGAFPGA控制流交換網(wǎng)GE總線XG總線主控引擎業(yè)務(wù)流交換網(wǎng) CrossBar交換架構(gòu)控制總線與數(shù)據(jù)總線分離控制與轉(zhuǎn)發(fā)分離的軟件架構(gòu)基于Session的分布式轉(zhuǎn)發(fā)高性能設(shè)計(jì)舉例FPGA-based HW EngineSession managementPackets processing fast pathDPtech uniform signaturesKaspersky AV signaturesMulti-Core Security ProcessorHigh density processing for flexible security functiona

11、lity (Policy mgmt., PCRE, etc.)Protocols decodingTraffic Shaping10GbpsFast PathRAMRAMRAMRAMCPU0RAMRAMHDD72 Gig Network Processing ASICFront-end network processing offloadsHardware accelerated Hashing and Scheduling10GbpsControl PlaneData PlaneCPU7. .PolicyPCRETraffic ShapingCPU1CPU2RAMRAMCPU3Packet

12、header checkingSignature MatchSession Mgmt.HW Hash & Scheduling48G Switch FabricDedicated Control PlaneHighly available mgmtHigh speed logging updatesAnalysis and reports未來(lái)發(fā)展40G100G10G10G10G通用并行計(jì)算方法研究更大規(guī)模FPGA 的應(yīng)用設(shè)備內(nèi)高性能負(fù)載均衡跨物理設(shè)備的性能聚合目錄應(yīng)用帶來(lái)的挑戰(zhàn)高性能與集成化虛擬化與強(qiáng)組網(wǎng)網(wǎng)絡(luò)虛擬化已經(jīng)成為常態(tài)生產(chǎn)分區(qū)物理資源辦公分區(qū)Internet分區(qū)虛擬化分區(qū)在一套物理資源

13、上，采用虛擬化分區(qū)方法為多個(gè)業(yè)務(wù)系統(tǒng)虛擬出隔離的IT環(huán)境虛擬化分區(qū)具有獨(dú)立的邏輯資源：帶寬、計(jì)算、策略數(shù)、管理員、QoS數(shù)據(jù)中心廣域網(wǎng)數(shù)據(jù)中心廣域網(wǎng)數(shù)據(jù)中心廣域網(wǎng)數(shù)據(jù)中心廣域網(wǎng)我們常用的局域網(wǎng)虛擬化VLANTrunk Link研發(fā)部局域網(wǎng)工程部局域網(wǎng)市場(chǎng)部局域網(wǎng)虛擬網(wǎng)VLAN端口工程部1011、2、9研發(fā)部1023、5、7市場(chǎng)部1034、6、8虛擬網(wǎng)VLAN端口工程部1012、3、4研發(fā)部1021、5、9市場(chǎng)部1036、7、8我們不太常用的廣域網(wǎng)虛擬化MPLS匯聚交換機(jī)虛擬網(wǎng)絡(luò)VPN1VPN1RD：100:100Export RT：100:100Import RT：100:100VRF_VPN

14、1Route Table:/24 Local/24 VPN2RD：100:200Export RT：100:200Import RT：100:200VRF_VPN2Route Table:/24 Local/24 VPN2RD：100:200Export RT：100:200Import RT：100:200VRF_VPN2Route Table:/24 Local/24 VPN1RD：100:100Export RT：100:100Import RT：100:100VRF_VPN1Route Table:/24 Local/24 虛擬網(wǎng)絡(luò)VPN2接入交換機(jī)核心交換機(jī)匯聚交換機(jī)/24/24/2

15、4/24VLAN10VLAN20VLAN10VLAN20接入交換機(jī)虛擬網(wǎng)絡(luò)VPN1虛擬網(wǎng)絡(luò)VPN2標(biāo)簽轉(zhuǎn)發(fā)通道MPLS VPN典范：電子政務(wù)網(wǎng)省政府市政府區(qū)縣政府省工商局市工商局區(qū)縣工商局省勞動(dòng)廳市勞動(dòng)局區(qū)縣勞動(dòng)局縱向網(wǎng)絡(luò)結(jié)構(gòu)橫向網(wǎng)絡(luò)結(jié)構(gòu)橫向網(wǎng)絡(luò)：信息共享，跨部門(mén)協(xié)作縱向網(wǎng)絡(luò)：業(yè)務(wù)運(yùn)作，行業(yè)管理與指導(dǎo) 政務(wù)網(wǎng) MPLS VPN 橫向網(wǎng)絡(luò)結(jié)構(gòu)實(shí)體政務(wù)網(wǎng)虛擬業(yè)務(wù)網(wǎng)安全虛擬化（N=1)當(dāng)網(wǎng)絡(luò)已經(jīng)虛擬化，安全也必須得支持虛擬化PEMCEVLANMPLS路由表NAT狀態(tài)表訪問(wèn)策略路由表NAT狀態(tài)表訪問(wèn)策略路由表NAT狀態(tài)表訪問(wèn)策略虛擬IPS虛擬FW狀態(tài)表安全策略狀態(tài)表安全策略狀態(tài)表安全策略響應(yīng)表響應(yīng)表響

16、應(yīng)表DPtech防火墻、IPS等全線安全產(chǎn)品全部支持虛擬化技術(shù)。網(wǎng)關(guān)類(lèi)安全產(chǎn)品其它組網(wǎng)要求靜態(tài)路由協(xié)議/RIPv1/2/OSPF/BGP/策略路由流量監(jiān)管/擁塞檢測(cè)及避免/流量整形MPLS VPN/VLAN/QinQ/虛擬防火墻/多播虛擬防火墻組網(wǎng)示意安全域1安全域2安全域3虛擬防火墻DPtechFW1000虛擬防火墻虛擬防火墻BGP Peer/24NextHop /32NextHop 城域網(wǎng)發(fā)布路由/32NextHop No-AdvertiseBGP路由引流策略路由回注VLAN偷傳回注MPLS VPN回注流量清洗設(shè)備的組網(wǎng)能力要求網(wǎng)絡(luò)層路由接口交換ACL/NAT.網(wǎng)絡(luò)層路由接口交換ACL/N

17、AT.網(wǎng)絡(luò)產(chǎn)品硬件平臺(tái)ASICNPASICNP強(qiáng)組網(wǎng)能力的軟件平臺(tái)網(wǎng)絡(luò)產(chǎn)品圍繞23層交換，實(shí)時(shí)性高缺乏處理47層業(yè)務(wù)能力安全產(chǎn)品與23層的轉(zhuǎn)發(fā)缺乏融合性能、業(yè)務(wù)擴(kuò)展性上瓶頸明顯網(wǎng)絡(luò)層安全防火墻VPN/NATDDoSARP攻擊應(yīng)用層安全防病毒木馬網(wǎng)頁(yè)竄改防垃圾郵件URL過(guò)濾安全產(chǎn)品硬件平臺(tái)X86、ASIC、NP、多核APP-XNP + 多核 + FPGA ConPlat Layer27安全平臺(tái)防病毒間諜軟件DDoSARP攻擊NAT路由防垃圾郵件防網(wǎng)頁(yè)篡改帶寬濫用防火墻ACL交換防漏洞攻擊非法掃描木馬VPNVoIPConPlat是業(yè)界第一個(gè)實(shí)現(xiàn)高實(shí)時(shí)性、真正理解網(wǎng)絡(luò)與應(yīng)用的安全平臺(tái)迪普公司簡(jiǎn)介公司

18、簡(jiǎn)介我們的機(jī)構(gòu)：總部位于杭州，在全國(guó)設(shè)有分支機(jī)構(gòu)我們的方向：專(zhuān)注于網(wǎng)絡(luò)內(nèi)容及網(wǎng)絡(luò)安全，為用戶提供深度安全檢測(cè)與防御、深度內(nèi)容識(shí)別與加速的整體解決方案我們的能力：擁有自主知識(shí)產(chǎn)權(quán)的高性能內(nèi)容識(shí)別與加速芯片及內(nèi)容交付軟件平臺(tái) 我們的服務(wù)：依托各地的分支機(jī)構(gòu)與合作伙伴，提供全國(guó)7x24支持在網(wǎng)絡(luò)安全領(lǐng)域集研發(fā)、生產(chǎn)、銷(xiāo)售于一體的高科技企業(yè)DPtech 產(chǎn)品的核心競(jìng)爭(zhēng)力高性能硬件引擎基于硬件的包分析引擎基于硬件的包轉(zhuǎn)發(fā)引擎基于硬件的檢測(cè)引擎基于硬件的狀態(tài)表處理實(shí)時(shí)內(nèi)容分析引擎專(zhuān)業(yè)的網(wǎng)絡(luò)安全操作系統(tǒng)實(shí)時(shí)網(wǎng)絡(luò)安全操作系統(tǒng)高性能操作系統(tǒng)高魯棒性與高可靠控制與轉(zhuǎn)發(fā)分離的軟件架構(gòu)基于多核CPU的并行處理系統(tǒng)核心技術(shù)FPGA-basedContent Processo