安全技術發(fā)展趨勢課件

安全技術發(fā)展趨勢安全技術發(fā)展趨勢自我介紹孫曉明杭州迪普科技有限公司解決方案部部長Mobile-mail：sunxiaoming@自我介紹孫曉明提綱應用的變化現(xiàn)有安全技術安全技術趨勢提綱應用的變化應用的變化從web2.0到云計算物聯(lián)網(wǎng)的興起應用的變化從web2.0到云計算從web2.0到云計算用戶創(chuàng)造內(nèi)容應用放在云端應用的新挑戰(zhàn)Web2.0代表的新應用走向企業(yè)云計算代表的新架構改變企業(yè)基礎設施從web2.0到云計算用戶創(chuàng)造內(nèi)容應用放在云端應用的新挑戰(zhàn)Cloud：What？Infrastructure(SaaS)Platform(PaaS)Software(SaaS)SaleForceMicrosoftNetSuiteGoogleAppEngineBungeeLabsHerokuAmazonEC2GoGridMossoPublicCloudeVirtualPrivateCloudPrivateCloudeCloud：What？InfrastructurePlatfCloud：How？——PhaseⅠ打破硬件界限，將數(shù)據(jù)中心整合為統(tǒng)一的資源池?！狪aaSCPU資源池虛擬資源池物理服務器虛擬業(yè)務主機內(nèi)存資源池存儲資源池Cloud：How？——PhaseⅠ打破硬件界限，將數(shù)據(jù)中Cloud：How？——PhaseⅡ?qū)⑷肯到y(tǒng)服務與業(yè)務應用都納入云中。——PaaS&SaaSCPU資源池系統(tǒng)服務云基礎架構云業(yè)務應用云內(nèi)存資源池存儲資源池SQL中間件WWW程序接口Cloud：How？——PhaseⅡ?qū)⑷肯到y(tǒng)服務與業(yè)務應物聯(lián)網(wǎng)的核心是對信息數(shù)據(jù)的采集和處理物聯(lián)網(wǎng)(TheInternetofthings)，把新一代IT技術充分運用在各行業(yè)中，如能源、交通、建筑、家庭、市政系統(tǒng)等，然后與現(xiàn)有通信網(wǎng)結合，實現(xiàn)人類社會與物理系統(tǒng)的整合。人類可以更加精細和動態(tài)的方式管理生產(chǎn)和生活，達到“智慧”狀態(tài)，提高資源利用率和生產(chǎn)力水平，改善人與自然間的關系。

物聯(lián)網(wǎng)的興起物聯(lián)網(wǎng)的核心是對信息數(shù)據(jù)的采集和處理物聯(lián)網(wǎng)(The物聯(lián)網(wǎng)的應用車載應用工控應用對講應用消防遠程監(jiān)控物聯(lián)網(wǎng)的應用車載應用工控應用對講應用消防遠程監(jiān)控新應用帶來的安全挑戰(zhàn)新應用帶來的新威脅應用越來越集中，越來越重要帶來的管理壓力網(wǎng)絡流量的快速增長，網(wǎng)絡復雜性的增加新應用帶來的安全挑戰(zhàn)新應用帶來的新威脅現(xiàn)有安全技術常見信息安全技術圖譜常見安全威脅與安全產(chǎn)品現(xiàn)有安全技術常見信息安全技術圖譜信息安全連接管理數(shù)據(jù)還原識別技術重定向加密狀態(tài)檢測SynProxyDNS重定向代理透明代理HTTP重定向反向代理數(shù)字簽名流量異常行為識別內(nèi)容加密報文正規(guī)化通信加密身份認證數(shù)字簽名/水印PKI體系IP碎片重組加密技術加密應用技術對稱加密算法TCP流恢復非對稱加密算法哈希算法編碼還原常見信息安全技術圖譜信息安全連接管理數(shù)據(jù)還原識別技術重定向加密狀態(tài)檢測SynP基本技術——基于狀態(tài)表轉發(fā)如收到的數(shù)據(jù)包為新建TCP連接的數(shù)據(jù)包，則根據(jù)預定義規(guī)則決定是否轉發(fā)。如確定需要轉發(fā)則在狀態(tài)表中增加相關表項，并開始跟蹤TCP握手信息。如收到的數(shù)據(jù)包為非新建連接，則檢查狀態(tài)表表項。如有相關表項則根據(jù)表項進行轉發(fā)，否則丟棄該數(shù)據(jù)包。如該數(shù)據(jù)包為TCPFIN包，則轉發(fā)后刪除相關表項。狀態(tài)表中的表項都有預定義的老化時間。如超過老化時間仍沒有新的數(shù)據(jù)包通過，則刪除該條記錄。無老化時間的記錄稱為長連接，用于某些特殊應用？新建連接非新建連接狀態(tài)表老化基本技術——基于狀態(tài)表轉發(fā)？新建連接非新建連接狀態(tài)表老化基本技術——特征匹配技術特征庫***************************************8/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*******************************************************************************數(shù)據(jù)報文以太網(wǎng)幀頭IP頭TCP頭應用層數(shù)據(jù)對比基本技術——特征匹配技術特征庫***************基于攻擊工具、或漏洞利用的特征進行檢測?；趨f(xié)議交互的異常進行檢測?；诹髁拷y(tǒng)計的異常進行檢測?；诓《緲颖咎卣鬟M行檢測。攻擊事件智能關聯(lián)分析。網(wǎng)絡行為自學習、流量基線自學習。反向認證。檢測方法報文正規(guī)化。IP重組。TCP流恢復。TCP會話狀態(tài)跟蹤。協(xié)議解碼。基于應用層協(xié)議的狀態(tài)跟蹤。可信報文處理。報文處理方式基于特征匹配的多種檢測方法檢測方法報文處理方式基于特征匹配的多種檢測方法網(wǎng)絡安全設備部署模式旁路部署在線部署交換機上設置鏡像端口，安全設備旁路進行抓包和特征匹配。某些網(wǎng)關類安全設備（如VPN）的單臂部署模式在拓撲形式上與此類似，但是數(shù)據(jù)包需要進行轉發(fā)的。網(wǎng)關類安全設備大多采用此種將設備串入鏈路中的在線部署方式。透明模式向網(wǎng)線一樣工作橋模式相當于交換機路由模式相當于路由器混合模式既有路由模式也有橋模式網(wǎng)絡安全設備部署模式旁路部署在線部署交換機上設置鏡像端口，安安全技術趨勢重新認識信息安全技術上的挑戰(zhàn)與應對安全技術趨勢重新認識信息安全目錄應用帶來的挑戰(zhàn)高性能與集成化虛擬化與強組網(wǎng)目錄應用帶來的挑戰(zhàn)組網(wǎng)模型正在發(fā)生變化組網(wǎng)扁平化，安全成為事實上的核心服務器區(qū)業(yè)務終端接入層匯聚層核心層服務器區(qū)組網(wǎng)模型正在發(fā)生變化組網(wǎng)扁平化，安全成為事實上的核心服務器區(qū)超大型數(shù)據(jù)中心組網(wǎng)超大型數(shù)據(jù)中心組網(wǎng)終端遷入云中后???怎樣保證終端安全策略的一致性？終端不在管理員的直接控制下，統(tǒng)一部署策略難度大。終端用戶有意或無意的違反安全策略，難發(fā)現(xiàn)難處理。終端應該怎樣進行歸屬？終端往往會處理多個業(yè)務，造成歸屬不清。終端在不同網(wǎng)絡位置接入，難以精確歸屬。怎樣找到問題終端？終端眾多，當出現(xiàn)安全事件時，快速定位問題終端困難。傳統(tǒng)的終端安全問題，都將不復存在終端遷入云中后???怎樣保證終端安全策略的一致性？終端不在管網(wǎng)絡流量的變化一云計算使得設備利用率大幅提升網(wǎng)絡流量的變化一云計算使得設備利用率大幅提升網(wǎng)絡流量變化二數(shù)據(jù)中心內(nèi)部流量增加并變得更加復雜網(wǎng)絡流量變化二數(shù)據(jù)中心內(nèi)部流量增加并變得更加復雜對安全產(chǎn)品的挑戰(zhàn)——高性能40G~100G10G10G10G如何實現(xiàn)40G～100G的線速？對安全產(chǎn)品的挑戰(zhàn)——高性能40G~100G10G10G10G流量變化使得安全邊界消失邊界在哪里？流量變化使得安全邊界消失邊界在哪里？從網(wǎng)絡訪問控制到內(nèi)容訪問控制IP/端口是否合法？應用是否合法？行為是否合法？需要多大性能？從網(wǎng)絡訪問控制到內(nèi)容訪問控制IP/端口是否合法？應用是否合法云的虛擬化要求網(wǎng)絡虛擬化N=>1VLAN1VLAN2VLANn1=>N跨設備鏈路聚合業(yè)務遷移的自適應云的虛擬化要求網(wǎng)絡虛擬化N=>1VLAN1VLAN2VL物聯(lián)網(wǎng)帶來的IPv6需求奧運“龍形水系”景觀照明控制系統(tǒng)采用IPv6網(wǎng)絡，讓上萬支可調(diào)亮度燈及LED燈實現(xiàn)多種變化的景觀效果，成為北京市夜間的城市新地標。物聯(lián)網(wǎng)只有IPv6才能夠支撐物聯(lián)網(wǎng)帶來的IPv6需求奧運“龍形水系”景觀照明控制系統(tǒng)采目錄應用帶來的挑戰(zhàn)高性能與集成化虛擬化與強組網(wǎng)目錄應用帶來的挑戰(zhàn)安全產(chǎn)品的發(fā)展方向集成化高性能FPGAFPGAFPGAFPGA控制流交換網(wǎng)GE總線XG總線業(yè)務流交換網(wǎng)主控引擎安全產(chǎn)品的發(fā)展方向集成化高性能FPGAFPGAFPGAFPG功能融合的基礎－通用的實現(xiàn)Session報文正規(guī)化處理及應用層數(shù)據(jù)恢復協(xié)議分析特征匹配防火墻流量控制IPS防毒墻Web防火墻功能融合的基礎－通用的實現(xiàn)Session報文正規(guī)化處理及應用集成化舉例：特征庫整合卡巴斯基專業(yè)防病毒特征庫擁有20萬種病毒特征漏洞庫漏洞特征庫數(shù)量3000+協(xié)議庫可實時檢測和識別近千種應用層協(xié)議漏洞庫協(xié)議庫病毒庫綜合防御業(yè)界最全面集成化舉例：特征庫整合卡巴斯基專業(yè)防病毒特征庫漏洞庫協(xié)議庫病高性能的前提－硬件的發(fā)展業(yè)務能力L3L4L7適應各種業(yè)務處理分布式并行硬件體系通用CPU缺少硬件搜索軟件處理性能低ASIC缺乏靈活性，不支持L4~L7業(yè)務轉發(fā)性能網(wǎng)絡處理器指令空間有限，4到7層業(yè)務處理能力弱。嵌入式CPU有限的報文處理多核CPU+FPGA高性能的前提－硬件的發(fā)展業(yè)務能力L3L4L7適應各種業(yè)務現(xiàn)有實踐：單板萬兆的技術實現(xiàn)主：多核CPU協(xié)：FPGA/ASIC協(xié)：網(wǎng)絡處理器輔：高速總線現(xiàn)有實踐：單板萬兆的技術實現(xiàn)主：多核CPU多核CPU的未來發(fā)展更高的內(nèi)核集成度引入CrossBar架構多CPU的級聯(lián)技術更高速度的總線接口多核CPU的未來發(fā)展更高的內(nèi)核集成度軟件硬件化、硬件軟件化的FPGAFPGA是一種高密度PLD芯片。它由三個可編程模塊組成，編程的結果存放在一個SRAM中，所以需要上電時下載編程數(shù)據(jù)。軟件硬件化、硬件軟件化的FPGAFPGA是一種高密度PLD芯現(xiàn)有實現(xiàn)：整機高性能的技術實現(xiàn)FPGAFPGAFPGAFPGA控制流交換網(wǎng)GE總線XG總線主控引擎業(yè)務流交換網(wǎng)CrossBar交換架構控制總線與數(shù)據(jù)總線分離控制與轉發(fā)分離的軟件架構基于Session的分布式轉發(fā)現(xiàn)有實現(xiàn)：整機高性能的技術實現(xiàn)FPGAFPGAFPGAFPG高性能設計舉例FPGA-basedHWEngineSessionmanagementPacketsprocessingfastpathDPtechuniformsignaturesKasperskyAVsignaturesMulti-CoreSecurityProcessorHighdensityprocessingforflexiblesecurityfunctionality(Policymgmt.,PCRE,etc.)ProtocolsdecodingTrafficShaping10GbpsFastPathRAMRAMRAMRAMCPU0RAMRAMHDD72GigNetworkProcessingASICFront-endnetworkprocessingoffloadsHardwareacceleratedHashingandScheduling10GbpsControlPlaneDataPlaneCPU7..PolicyPCRETrafficShapingCPU1CPU2RAMRAMCPU3PacketheadercheckingSignatureMatchSessionMgmt.HWHash&Scheduling48GSwitchFabricDedicatedControlPlaneHighlyavailablemgmtHighspeedloggingupdatesAnalysisandreports高性能設計舉例FPGA-basedHWEngineMul未來發(fā)展40G~100G10G10G10G通用并行計算方法研究更大規(guī)模FPGA的應用設備內(nèi)高性能負載均衡跨物理設備的性能聚合未來發(fā)展40G~100G10G10G10G通用并行計算方法研目錄應用帶來的挑戰(zhàn)高性能與集成化虛擬化與強組網(wǎng)目錄應用帶來的挑戰(zhàn)網(wǎng)絡虛擬化已經(jīng)成為常態(tài)生產(chǎn)分區(qū)物理資源辦公分區(qū)Internet分區(qū)虛擬化分區(qū)在一套物理資源上，采用虛擬化分區(qū)方法為多個業(yè)務系統(tǒng)虛擬出隔離的IT環(huán)境虛擬化分區(qū)具有獨立的邏輯資源：帶寬、計算、策略數(shù)、管理員、QoS數(shù)據(jù)中心廣域網(wǎng)數(shù)據(jù)中心廣域網(wǎng)數(shù)據(jù)中心廣域網(wǎng)數(shù)據(jù)中心廣域網(wǎng)網(wǎng)絡虛擬化已經(jīng)成為常態(tài)生產(chǎn)分區(qū)物理資源辦公分區(qū)Interne我們常用的局域網(wǎng)虛擬化——VLANTrunkLink研發(fā)部局域網(wǎng)工程部局域網(wǎng)市場部局域網(wǎng)虛擬網(wǎng)VLAN端口工程部1011、2、9…研發(fā)部1023、5、7…市場部1034、6、8…虛擬網(wǎng)VLAN端口工程部1012、3、4…研發(fā)部1021、5、9…市場部1036、7、8…我們常用的局域網(wǎng)虛擬化——VLANTrunkLink研發(fā)部我們不太常用的廣域網(wǎng)虛擬化——MPLS匯聚交換機虛擬網(wǎng)絡VPN1VPN1RD：100:100ExportRT：100:100ImportRT：100:100VRF_VPN1RouteTable:/24Local/24VPN2RD：100:200ExportRT：100:200ImportRT：100:200VRF_VPN2RouteTable:/24Local/24VPN2RD：100:200ExportRT：100:200ImportRT：100:200VRF_VPN2RouteTable:/24Local/24VPN1RD：100:100ExportRT：100:100ImportRT：100:100VRF_VPN1RouteTable:/24Local/24虛擬網(wǎng)絡VPN2接入交換機核心交換機匯聚交換機/24/24/24/24VLAN10VLAN20VLAN10VLAN20接入交換機虛擬網(wǎng)絡VPN1虛擬網(wǎng)絡VPN2標簽轉發(fā)通道我們不太常用的廣域網(wǎng)虛擬化——MPLS匯聚交換機虛擬網(wǎng)絡VPMPLSVPN典范：電子政務網(wǎng)省政府市政府區(qū)縣政府省工商局市工商局區(qū)縣工商局省勞動廳市勞動局區(qū)縣勞動局縱向網(wǎng)絡結構橫向網(wǎng)絡結構橫向網(wǎng)絡：信息共享，跨部門協(xié)作縱向網(wǎng)絡：

業(yè)務運作，行業(yè)管理與指導政務網(wǎng)MPLSVPN橫向網(wǎng)絡結構實體政務網(wǎng)虛擬業(yè)務網(wǎng)MPLSVPN典范：電子政務網(wǎng)省政府市政府區(qū)縣政府省工商局安全虛擬化（N=>1)當網(wǎng)絡已經(jīng)虛擬化，安全也必須得支持虛擬化PEMCEVLANMPLS路由表NAT狀態(tài)表訪問策略路由表NAT狀態(tài)表訪問策略路由表NAT狀態(tài)表訪問策略虛擬IPS虛擬FW狀態(tài)表安全策略狀態(tài)表安全策略狀態(tài)表安全策略響應表響應表響應表DPtech防火墻、IPS等全線安全產(chǎn)品全部支持虛擬化技術。安全虛擬化（N=>1)當網(wǎng)絡已經(jīng)虛擬化，安全也必須得支持虛擬網(wǎng)關類安全產(chǎn)品其它組網(wǎng)要求靜態(tài)路由協(xié)議/RIPv1/2/OSPF/BGP/策略路由流量監(jiān)管/擁塞檢測及避免/流量整形MPLSVPN/VLAN/QinQ/虛擬防火墻/多播虛擬防火墻組網(wǎng)示意安全域1安全域2安全域3虛擬防火墻DPtechFW1000虛擬防火墻虛擬防火墻網(wǎng)關類安全產(chǎn)品其它組網(wǎng)要求靜態(tài)路由協(xié)議/RIPv1/2/OSBGPPeer/24NextHop/32NextHop城域網(wǎng)發(fā)布路由/32NextHopNo-AdvertiseBGP路由引流策略路由回注VLAN偷傳回注MPLSVPN回注流量清洗設備的組網(wǎng)能力要求BGPPeer/2網(wǎng)絡層路由接口交換ACL/NAT..網(wǎng)絡層路由接口交換ACL/NAT..網(wǎng)絡產(chǎn)品硬件平臺ASIC＋NPASIC＋NP強組網(wǎng)能力的軟件平臺網(wǎng)絡產(chǎn)品圍繞2~3層交換，實時性高缺乏處理4~7層業(yè)務能力安全產(chǎn)品與2~3層的轉發(fā)缺乏融合性能、業(yè)務擴展性上瓶頸明顯網(wǎng)絡層安全防火墻VPN/NATDDoSARP攻擊…應用層安全防病毒木馬網(wǎng)頁竄改防垃圾郵件URL過濾…安全產(chǎn)品硬件平臺X86、ASIC、NP、多核APP-XNP+多核+FPGAConPlatLayer2~7安全平臺防病毒間諜軟件DDoSARP攻擊NAT路由防垃圾郵件防網(wǎng)頁篡改帶寬濫用防火墻ACL交換防漏洞攻擊非法掃描木馬VPNVoIP…ConPlat是業(yè)界第一個實現(xiàn)高實時性、真正理解網(wǎng)絡與應用的安全平臺網(wǎng)絡層路由交換網(wǎng)絡層路由交換網(wǎng)絡產(chǎn)品硬件平臺ASIC＋NPA迪普公司簡介迪普公司簡介公司簡介我們的機構：總部位于杭州，在全國設有分支機構我們的方向：專注于網(wǎng)絡內(nèi)容及網(wǎng)絡安全，為用戶提供深度安全檢測與防御、深度內(nèi)容識別與加速的整體解決方案我們的能力：擁有自主知識產(chǎn)權的高性能內(nèi)容識別與加速芯片及內(nèi)容交付軟件平臺我們的服務：依托各地的分支機構與合作伙伴，提供全國7x24支持在網(wǎng)絡安全領域集研發(fā)、生產(chǎn)、銷售于一體的高科技企業(yè)公司簡介我們的機構：總部位于杭州，在全國設有分支機構我們的方DPtech產(chǎn)品的核心競爭力高性能硬件引擎基于硬件的包分析引擎基于硬件的包轉發(fā)引擎基于硬件的檢測引擎基于硬件的狀態(tài)表處理實時內(nèi)容分析引擎專業(yè)的網(wǎng)絡