安全技术发展趋势课件

1、安全技术发展趋势1 安全技术发展趋势 安全技术发展趋势2 自我介绍自我介绍 孙晓明孙晓明 杭州迪普科技有限公司解决方案部部长杭州迪普科技有限公司解决方案部部长 Mobile： E-mail： 安全技术发展趋势3 提纲提纲 n 应用的变化应用的变化 n 现有安全技术现有安全技术 n 安全技术趋势安全技术趋势 安全技术发展趋势4 应用的变化应用的变化 从从web 2.0到云计算到云计算 物联网的兴起物联网的兴起 安全技术发展趋势5 从从web 2.0到云计算到云计算 用户创造内容用户创造内容 应用放在云端应用放在云端 应用的新挑战应用的新挑战 Web 2.0代表的新应用走向企业 云计算代表的新架构

2、改变企业基础设施 安全技术发展趋势6 Cloud：What？ Infrastructure (SaaS) Platform (PaaS) Software (SaaS) SaleForce Microsoft NetSuite Google AppEngine Bungee Labs Heroku Amazon EC2 GoGrid Mosso Public Cloude Virtual Private Cloud Private Cloude 安全技术发展趋势7 Cloud：How？Phase 打破硬件界限，将数据中心整合为统一的资源池。打破硬件界限，将数据中心整合为统一的资源池。IaaSI

3、aaS CPUCPU资源池资源池 虚拟资虚拟资 源池源池 物理服物理服 务器务器 虚拟业虚拟业 务主机务主机 内存资源池内存资源池存储资源池存储资源池 安全技术发展趋势8 Cloud：How？Phase 将全部系统服务与业务应用都纳入云中。将全部系统服务与业务应用都纳入云中。PaaS & SaaSPaaS & SaaS CPUCPU资源池资源池 系统服系统服 务云务云 基础架基础架 构云构云 业务应业务应 用云用云 内存资源池内存资源池存储资源池存储资源池 安全技术发展趋势9 物联网物联网(The Internet of (The Internet of things)things)，把新一代

4、，把新一代IT IT技术充技术充 分运用在各行业中，如能源、分运用在各行业中，如能源、 交通、建筑、家庭、市政系交通、建筑、家庭、市政系 统等，然后与现有通信网结统等，然后与现有通信网结 合，实现人类社会与物理系合，实现人类社会与物理系 统的整合。统的整合。 人类可以更加精细和动态人类可以更加精细和动态 的方式管理生产和生活，达的方式管理生产和生活，达 到到“智慧智慧”状态，提高资源状态，提高资源 利用率和生产力水平，改善利用率和生产力水平，改善 人与自然间的关系。人与自然间的关系。 物联网的兴起物联网的兴起 安全技术发展趋势10 物联网的应用物联网的应用 车载应用车载应用 工控应用工控应用对

5、讲应用对讲应用 消防远程监控消防远程监控 安全技术发展趋势11 新应用带来的安全挑战新应用带来的安全挑战 n 新应用带来的新威胁新应用带来的新威胁 n 应用越来越集中，越来越重要带来的管理压力应用越来越集中，越来越重要带来的管理压力 n 网络流量的快速增长，网络复杂性的增加网络流量的快速增长，网络复杂性的增加 安全技术发展趋势12 现有安全技术现有安全技术 常见信息安全技术图谱常见信息安全技术图谱 常见安全威胁与安全产品常见安全威胁与安全产品 安全技术发展趋势13 连接连接 管理管理 数据数据 还原还原 识别识别 技术技术 重定重定 向向 加密加密 状态检测状态检测 Syn Proxy DNS

6、重定向重定向 代理代理 透明代理透明代理 HTTP重定向重定向 反向代理反向代理 数字签名数字签名 流量异常流量异常 行为识别行为识别 内容加密内容加密 报文正规化报文正规化 通信加密通信加密 身份认证身份认证 数字签名数字签名/水印水印 PKI体系体系 IP碎片重组碎片重组 加密技加密技 术术 加密应加密应 用技术用技术 对称加密算法对称加密算法 TCP流恢复流恢复 非对称加密算法非对称加密算法 哈希算法哈希算法 编码还原编码还原 常见信息安全技术图谱常见信息安全技术图谱 安全技术发展趋势14 基本技术基本技术基于状态表转发基于状态表转发 如收到的数据包为新如收到的数据包为新 建建TCP连接

7、的数据包，连接的数据包， 则根据预定义规则决则根据预定义规则决 定是否转发。定是否转发。 如确定需要转发则在如确定需要转发则在 状态表中增加相关表状态表中增加相关表 项，并开始跟踪项，并开始跟踪TCP 握手信息。握手信息。 如收到的数据包为非如收到的数据包为非 新建连接，则检查状新建连接，则检查状 态表表项。态表表项。 如有相关表项则根据如有相关表项则根据 表项进行转发，否则表项进行转发，否则 丢弃该数据包。丢弃该数据包。 如该数据包为如该数据包为TCP FIN 包，则转发后删除相包，则转发后删除相 关表项。关表项。 状态表中的表项都有状态表中的表项都有 预定义的老化时间。预定义的老化时间。

8、如超过老化时间仍没如超过老化时间仍没 有新的数据包通过，有新的数据包通过， 则删除该条记录。则删除该条记录。 无老化时间的记录称无老化时间的记录称 为长连接，用于某些为长连接，用于某些 特殊应用特殊应用 安全技术发展趋势15 基本技术基本技术特征匹配技术特征匹配技术 * * : X5O!P%AP4PZX54(P)7CC)7 $EICAR-STANDARD- ANTIVIRUS-TEST-FILE!$H+H* * * * * 以太网帧头以太网帧头 IP头头 TCP头头 应用层数据应用层数据 安全技术发展趋势16 基于攻击工具、或漏洞 利用的特征进行检测。 基于协议交互的异常进 行检测。 基于流量

9、统计的异常进 行检测。 基于病毒样本特征进行 检测。 攻击事件智能关联分析。 网络行为自学习、流量 基线自学习。 反向认证。 检测方法检测方法 报文正规化。 IP重组。 TCP流恢复。 TCP会话状态跟踪。 协议解码。 基于应用层协议的状态 跟踪。 可信报文处理。 报文处理方式报文处理方式 基于特征匹配的多种检测方法基于特征匹配的多种检测方法 安全技术发展趋势17 网络安全设备部署模式网络安全设备部署模式 旁路部署旁路部署在线部署在线部署 交换机上设置镜像端口，安全设备交换机上设置镜像端口，安全设备 旁路进行抓包和特征匹配。旁路进行抓包和特征匹配。 某些网关类安全设备（如某些网关类安全设备（如

10、VPN）的）的 单臂部署模式在拓扑形式上与此类单臂部署模式在拓扑形式上与此类 似，但是数据包需要进行转发的。似，但是数据包需要进行转发的。 网关类安全设备大多采用此种将设网关类安全设备大多采用此种将设 备串入链路中的在线部署方式。备串入链路中的在线部署方式。 透明模式透明模式 向网线一样工作向网线一样工作 桥模式桥模式 相当于交换机相当于交换机 路由模式路由模式 相当于路由器相当于路由器 混合模式混合模式 既有路由模式也既有路由模式也 有桥模式有桥模式 安全技术发展趋势18 安全技术趋势安全技术趋势 重新认识信息安全重新认识信息安全 技术上的挑战与应对技术上的挑战与应对 安全技术发展趋势19

11、目录目录 n 应用带来的挑战应用带来的挑战 n 高性能与集成化高性能与集成化 n 虚拟化与强组网虚拟化与强组网 安全技术发展趋势20 组网模型正在发生变化组网模型正在发生变化 服务器区服务器区 业务终端业务终端 接入层接入层 汇聚层汇聚层 核心层核心层 服务器区服务器区 安全技术发展趋势21 超大型数据中心组网超大型数据中心组网 安全技术发展趋势22 终端迁入云中后终端迁入云中后 ? ? ? ? ? ? 怎样保证终端安全策略的一致性？怎样保证终端安全策略的一致性？ 终端不在管理员的直接控制下，统一部署策略难度大。终端不在管理员的直接控制下，统一部署策略难度大。 终端用户有意或无意的违反安全策略

12、，难发现难处理。终端用户有意或无意的违反安全策略，难发现难处理。 终端应该怎样进行归属？终端应该怎样进行归属？ 终端往往会处理多个业务，造成归属不清。终端往往会处理多个业务，造成归属不清。 终端在不同网络位置接入，难以精确归属。终端在不同网络位置接入，难以精确归属。 怎样找到问题终端？怎样找到问题终端？ 终端众多，当出现安全事件时，快速终端众多，当出现安全事件时，快速 定位问题终端困难。定位问题终端困难。 传统的终端安全问题，都将不复存在传统的终端安全问题，都将不复存在 安全技术发展趋势23 网络流量的变化一网络流量的变化一 0% 10% 20% 30% 40% 50% 60% 70% 之前之

13、后 CPU利用率变化 10% 60% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 之前之后 网络利用率变化 5% 40% 云计算使得设备云计算使得设备 利用率大幅提升利用率大幅提升 安全技术发展趋势24 网络流量变化二网络流量变化二 数据中心内部流量增加并变得更加复杂数据中心内部流量增加并变得更加复杂 安全技术发展趋势25 对安全产品的挑战对安全产品的挑战高性能高性能 40G100G 10G10G10G 如何实现如何实现40G 100G的线速？的线速？ 安全技术发展趋势26 流量变化使得安全边界消失流量变化使得安全边界消失 边界在哪里？边界在哪里？ 安全技术发展

14、趋势27 从网络访问控制到内容访问控制从网络访问控制到内容访问控制 IP/端口是否合法？端口是否合法？ 应用是否合法？应用是否合法？ 行为是否合法？行为是否合法？ 需要多大性能？需要多大性能？ 安全技术发展趋势28 云的虚拟化要求网络虚拟化云的虚拟化要求网络虚拟化 N=1 VLAN 1 VLAN 2 VLAN n 1=N 跨设备链跨设备链 路聚合路聚合 业务迁移业务迁移 的自适应的自适应 安全技术发展趋势29 物联网带来的物联网带来的IPv6需求需求 奥运奥运“龙形水系龙形水系” ” 景观照明控景观照明控 制系统采用制系统采用IPv6IPv6网络，让上万支网络，让上万支 可调亮度灯及可调亮度灯

15、及LEDLED灯实现多种变灯实现多种变 化的景观效果，成为北京市夜间化的景观效果，成为北京市夜间 的城市新地标。的城市新地标。 物联网只有物联网只有IPv6IPv6才能够支撑才能够支撑 安全技术发展趋势30 目录目录 n 应用带来的挑战应用带来的挑战 n 高性能与集成化高性能与集成化 n 虚拟化与强组网虚拟化与强组网 安全技术发展趋势31 安全产品的发展方向安全产品的发展方向 集成化集成化高性能高性能 FPGA FPGA FPGA FPGA 控制流交 换网 GE总线 XG总线 业务流 交换网 主控引擎 安全技术发展趋势32 功能融合的基础通用的实现功能融合的基础通用的实现 Session 报文

16、正规化处理及应用层数据恢复报文正规化处理及应用层数据恢复 协议分析协议分析 特征匹配特征匹配 防火墙防火墙 流量控制流量控制 IPS 防毒墙防毒墙 Web防火墙防火墙 安全技术发展趋势33 集成化举例：特征库整合集成化举例：特征库整合 n卡巴斯基专业防病毒特征库卡巴斯基专业防病毒特征库 拥有拥有20万种病毒特征万种病毒特征 n漏洞库漏洞库 漏洞特征库数量漏洞特征库数量3000+ n协议库协议库 可实时检测和识别近千种应用层协议可实时检测和识别近千种应用层协议 漏洞库漏洞库 协议库协议库病毒库病毒库 综合防御综合防御 业界最全面业界最全面 安全技术发展趋势34 高性能的前提硬件的发展高性能的前提

17、硬件的发展 业务能力业务能力 L3L3 L4 L4 L7 L7 适应各种业务处理适应各种业务处理 分布式并行硬件体系分布式并行硬件体系 通用CPU 缺少硬件搜索 软件处理性能低 ASICASIC 缺乏灵活性，不支 持L4L7业务 转发性能转发性能 网络处理器 指令空间有限， 4到7层业务处理 能力弱。 嵌入式嵌入式CPUCPU 有限的报文处理 多核多核CPU+FPGACPU+FPGA 安全技术发展趋势35 现有实践：单板万兆的技术实现现有实践：单板万兆的技术实现 n 主：多核主：多核CPUCPU n 协：协：FPGA/ASICFPGA/ASIC n 协：网络处理器协：网络处理器 n 辅：高速总

18、线辅：高速总线 安全技术发展趋势36 多核多核CPU的未来发展的未来发展 n 更高的内核集成度更高的内核集成度 n 引入引入CrossBarCrossBar架构架构 n 多多CPUCPU的级联技术的级联技术 n 更高速度的总线接口更高速度的总线接口 安全技术发展趋势37 软件硬件化、硬件软件化的软件硬件化、硬件软件化的FPGA FPGA是一种高密度是一种高密度PLD芯片。它由三个可编程模块组成，编程的结果存放在一芯片。它由三个可编程模块组成，编程的结果存放在一 个个SRAM中，所以需要上电时下载编程数据。中，所以需要上电时下载编程数据。 安全技术发展趋势38 现有实现：整机高性能的技术实现现有

19、实现：整机高性能的技术实现 FPGA FPGA FPGA FPGA 控制流交换网 GE总线 XG总线 主控引擎 业务流交换网 n CrossBarCrossBar交换架构交换架构 n 控制总线与数据总线分离控制总线与数据总线分离 n 控制与转发分离的软件架构控制与转发分离的软件架构 n 基于基于SessionSession的分布式转发的分布式转发 安全技术发展趋势39 高性能设计举例高性能设计举例 FPGA-based HW Engine Session management Packets processing fast path DPtech uniform signatures Kasp

20、ersky AV signatures Multi-Core Security Processor High density processing for flexible security functionality (Policy mgmt., PCRE, etc.) Protocols decoding Traffic Shaping 10Gbps10Gbps Fast Path RAM RAM RAM RAM CPU 0 RAM RAM HDD 72 Gig Network Processing ASIC Front-end network processing offloads Ha

21、rdware accelerated Hashing and Scheduling 10Gbps10Gbps Control PlaneData Plane CPU 7 . . . PolicyPCRE Traffic Shaping CPU 1 CPU 2 RAM RAM CPU 3 Packet header checking Signature Match Session Mgmt. HW Hash & Scheduling 48G Switch Fabric Dedicated Control Plane Highly available mgmt High speed logging

22、 updates Analysis and reports 安全技术发展趋势40 未来发展未来发展 40G100G 10G10G10G n通用并行计算方法研究通用并行计算方法研究 n更大规模更大规模FPGA FPGA 的应用的应用 n设备内高性能负载均衡设备内高性能负载均衡 n跨物理设备的性能聚合跨物理设备的性能聚合 安全技术发展趋势41 目录目录 n 应用带来的挑战应用带来的挑战 n 高性能与集成化高性能与集成化 n 虚拟化与强组网虚拟化与强组网 安全技术发展趋势42 网络虚拟化已经成为常态网络虚拟化已经成为常态 生产分区生产分区 物理资源物理资源 办公分区办公分区 InternetInte

23、rnet分区分区 虚拟化分区虚拟化分区 n在一套物理资源上，采用虚拟化分区方法为多个业务系统虚拟出隔离的在一套物理资源上，采用虚拟化分区方法为多个业务系统虚拟出隔离的IT IT环境环境 n虚拟化分区具有独立的逻辑资源：带宽、计算、策略数、管理员、虚拟化分区具有独立的逻辑资源：带宽、计算、策略数、管理员、QoSQoS 数据中心 广域网 数据中心 广域网 数据中心 广域网 数据中心 广域网 安全技术发展趋势43 我们常用的局域网虚拟化我们常用的局域网虚拟化VLAN Trunk Link 研发部研发部 局域网局域网 工程部工程部 局域网局域网 市场部市场部 局域网局域网 虚拟网虚拟网VLAN端口端口

24、 工程部工程部1011、2、9 研发部研发部1023、5、7 市场部市场部1034、6、8 虚拟网虚拟网VLAN端口端口 工程部工程部1012、3、4 研发部研发部1021、5、9 市场部市场部1036、7、8 安全技术发展趋势44 我们不太常用的广域网虚拟化我们不太常用的广域网虚拟化MPLS 汇聚交换机 虚拟网络虚拟网络VPN1 VPN1 RD：100:100 Export RT：100:100 Import RT：100:100 VRF_VPN1 Route Table: /24 Local /24 VPN2 RD：100:200

25、Export RT：100:200 Import RT：100:200 VRF_VPN2 Route Table: /24 Local /24 VPN2 RD：100:200 Export RT：100:200 Import RT：100:200 VRF_VPN2 Route Table: /24 Local /24 VPN1 RD：100:100 Export RT：100:100 Import RT：100:100 VRF_VPN1 Route Table: 10.10.2.

26、0/24 Local /24 虚拟网络虚拟网络VPN2 接入交换机 核心交换机 汇聚交换机 /24/24 /24 /24 VLAN10VLAN20 VLAN10VLAN20 接入交换机 虚拟网络虚拟网络VPN1虚拟网络虚拟网络VPN2 标签转发通道标签转发通道 安全技术发展趋势45 MPLS VPN典范：电子政务网典范：电子政务网 省政府省政府 市政府市政府 区县政府区县政府 省工商局省工商局 市工商局市工商局 区县工

27、商局区县工商局 省劳动厅省劳动厅 市劳动局市劳动局 区县劳动局区县劳动局 纵向网络结构纵向网络结构 横向网络结构横向网络结构 横向网络：信息共享，跨部门协作横向网络：信息共享，跨部门协作 纵向网络：纵向网络： 业务运作，行业管理与指导业务运作，行业管理与指导 政务网政务网 MPLS VPN MPLS VPN 横向网络结构横向网络结构 实体政务网实体政务网 虚拟业务网虚拟业务网 安全技术发展趋势46 安全虚拟化（安全虚拟化（N=1) 当网络已经虚拟化，安全也当网络已经虚拟化，安全也必须必须得支持虚拟化得支持虚拟化 PEMCE VLANMPLS 路由表路由表NAT状态表状态表访问策略访问策略 路由

28、表路由表NAT状态表状态表访问策略访问策略 路由表路由表NAT状态表状态表访问策略访问策略 虚拟虚拟IPS 虚拟虚拟FW 状态表状态表安全策略安全策略 状态表状态表安全策略安全策略 状态表状态表安全策略安全策略 响应表响应表 响应表响应表 响应表响应表 DPtech防火墙、防火墙、IPS 等全线安全产品全部等全线安全产品全部 支持虚拟化技术。支持虚拟化技术。 安全技术发展趋势47 网关类安全产品其它组网要求网关类安全产品其它组网要求 n 静态路由协议/RIPv1/2/OSPF/BGP/策略路由 n 流量监管/拥塞检测及避免/流量整形 n MPLS VPN/VLAN/QinQ/虚拟防火墙/多播

29、虚拟防火墙组网示意 安全域1安全域2安全域3 虚拟防火墙 DPtechFW1000 虚拟防火墙虚拟防火墙 安全技术发展趋势48 BGP Peer /24 NextHop /32 NextHop 城域网城域网 发布路由 /32 NextHop No-Advertise BGP路由引流路由引流 策略路由回注策略路由回注 VLAN偷传回注偷传回注 MPLS VPN回注回注 流量清洗设备的组网能力要求流量清洗设备的组网能力要求 安全技术发展趋势49 网络层网

30、络层 路由路由 接口接口 交换交换 ACL/NAT. 网络层网络层 路由路由 接口接口 交换交换 ACL/NAT. 网络产品硬件平台网络产品硬件平台 ASICNPASICNP 强组网能力的软件平台强组网能力的软件平台 网络产品网络产品 围绕围绕23层交换，实时性高层交换，实时性高 缺乏处理缺乏处理47层业务能力层业务能力 安全产品安全产品 与与23层的转发缺乏融合层的转发缺乏融合 性能、业务扩展性上瓶颈明显性能、业务扩展性上瓶颈明显 网络层安全网络层安全 防火墙防火墙 VPN/NAT DDoS ARP攻击攻击 应用层安全应用层安全 防病毒防病毒 木马木马 网页窜改网页窜改 防垃圾邮件防垃圾邮件

31、 URL过滤过滤 安全产品硬件平台安全产品硬件平台 X86、ASIC、NP、多核、多核 APP-X NP + 多核多核 + FPGA ConPlat Layer27安全平台安全平台 防病毒防病毒 间谍软件间谍软件 DDoS ARP攻击攻击 NAT 路由路由 防垃圾邮件防垃圾邮件 防网页篡改防网页篡改 带宽滥用带宽滥用 防火墙防火墙 ACL 交换交换 防漏洞攻击防漏洞攻击 非法扫描非法扫描 木马木马 VPN VoIP ConPlat是业界第一个实现高实时性、真正理解网络与应用的安全平台是业界第一个实现高实时性、真正理解网络与应用的安全平台 安全技术发展趋势50 迪普公司简介迪普公司简介 安全技术发展趋势51 公司简介公司简介 我们的机构：我们的机构：总部位于杭州，在全国设有分支机构 我们的方向：我们的方向：专注于网络内容及网络安全，为用户提供深度安全检测与 防御、深度内容识别与加速的整体解决方案 我们的能力：我们的能力：拥有自主知识产权的高性能内容识别与加速芯片及内容交 付软件平台 我们的服务：我们的服务：依托各地的分支机构与合作伙伴，提供全国7x24支持 在网络安