安全技术发展趋势.ppt

《安全技术发展趋势.ppt》由会员分享，可在线阅读，更多相关《安全技术发展趋势.ppt（54页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、安全技术发展趋势安全技术发展趋势2自我介绍自我介绍孙晓明孙晓明杭州迪普科技有限公司解决方案部部长杭州迪普科技有限公司解决方案部部长Mobile：E-mail：3提纲提纲n应用的变化应用的变化n现有安全技术现有安全技术n安全技术趋势安全技术趋势4应用的变化应用的变化从从web 2.0到云计算到云计算物联网的兴起物联网的兴起5从从web 2.0到云计算到云计算用户创造内容用户创造内容应用放在云端应用放在云端应用的新挑战应用的新挑战Web 2.0代表的新应用走向企业云计算代表的新架构改变企业基础设施6Cloud：What？Infrastructure(SaaS)Platform(PaaS)Softw

2、are(SaaS)SaleForceMicrosoftNetSuiteGoogle AppEngineBungee LabsHerokuAmazon EC2GoGridMossoPublicCloudeVirtual Private CloudPrivate Cloude7Cloud：How？Phase 打破硬件界限，将数据中心整合为统一的资源池。打破硬件界限，将数据中心整合为统一的资源池。IaaSIaaSCPUCPU资源池资源池虚拟资虚拟资源池源池物理服物理服务器务器虚拟业虚拟业务主机务主机内存资源池内存资源池存储资源池存储资源池8Cloud：How？Phase 将全部系统服务与业务应用都纳

3、入云中。将全部系统服务与业务应用都纳入云中。PaaS&SaaSPaaS&SaaSCPUCPU资源池资源池系统服系统服务云务云基础架基础架构云构云业务应业务应用云用云内存资源池内存资源池存储资源池存储资源池SQLSQL中间件中间件中间件中间件WWWWWW程序接口程序接口程序接口程序接口9物联网的核心是对信息数据的采集和处理物联网的核心是对信息数据的采集和处理物联网的核心是对信息数据的采集和处理物联网的核心是对信息数据的采集和处理 物联网物联网(The Internet of(The Internet of things)things)，把新一代，把新一代IT IT技术充技术充分运用在各行业中，如

4、能源、分运用在各行业中，如能源、交通、建筑、家庭、市政系交通、建筑、家庭、市政系统等，然后与现有通信网结统等，然后与现有通信网结合，实现人类社会与物理系合，实现人类社会与物理系统的整合。统的整合。人类可以更加精细和动态人类可以更加精细和动态的方式管理生产和生活，达的方式管理生产和生活，达到到“智慧智慧”状态，提高资源状态，提高资源利用率和生产力水平，改善利用率和生产力水平，改善人与自然间的关系。人与自然间的关系。物联网的兴起物联网的兴起10物联网的应用物联网的应用车载应用车载应用工控应用工控应用对讲应用对讲应用消防远程监控消防远程监控11新应用带来的安全挑战新应用带来的安全挑战n新应用带来的新

5、威胁新应用带来的新威胁n应用越来越集中，越来越重要带来的管理压力应用越来越集中，越来越重要带来的管理压力n网络流量的快速增长，网络复杂性的增加网络流量的快速增长，网络复杂性的增加12现有安全技术现有安全技术常见信息安全技术图谱常见信息安全技术图谱常见安全威胁与安全产品常见安全威胁与安全产品13信息信息信息信息安全安全安全安全连接连接管理管理数据数据还原还原识别识别技术技术重定重定向向加密加密状态检测状态检测Syn ProxyDNS重定向重定向代理代理透明代理透明代理HTTP重定向重定向反向代理反向代理数字签名数字签名流量异常流量异常行为识别行为识别内容加密内容加密报文正规化报文正规化通信加密通

6、信加密身份认证身份认证数字签名数字签名/水印水印PKI体系体系IP碎片重组碎片重组加密技加密技术术加密应加密应用技术用技术对称加密算法对称加密算法TCP流恢复流恢复非对称加密算法非对称加密算法哈希算法哈希算法编码还原编码还原常见信息安全技术图谱常见信息安全技术图谱14基本技术基本技术基于状态表转发基于状态表转发如收到的数据包为新如收到的数据包为新建建TCP连接的数据包，连接的数据包，则根据预定义规则决则根据预定义规则决定是否转发。定是否转发。如确定需要转发则在如确定需要转发则在状态表中增加相关表状态表中增加相关表项，并开始跟踪项，并开始跟踪TCP握手信息。握手信息。如收到的数据包为非如收到的数

7、据包为非新建连接，则检查状新建连接，则检查状态表表项。态表表项。如有相关表项则根据如有相关表项则根据表项进行转发，否则表项进行转发，否则丢弃该数据包。丢弃该数据包。如该数据包为如该数据包为TCP FIN包，则转发后删除相包，则转发后删除相关表项。关表项。状态表中的表项都有状态表中的表项都有预定义的老化时间。预定义的老化时间。如超过老化时间仍没如超过老化时间仍没有新的数据包通过，有新的数据包通过，则删除该条记录。则删除该条记录。无老化时间的记录称无老化时间的记录称为长连接，用于某些为长连接，用于某些特殊应用特殊应用？新建连接新建连接新建连接新建连接非新建连接非新建连接非新建连接非新建连接状态表老

8、化状态表老化状态表老化状态表老化15基本技术基本技术特征匹配技术特征匹配技术特征库特征库特征库特征库*http:/10.74.16.88/scripts/.%c0%af./winnt/system32/cmd.exe?/c+dir+c:X5O!P%AP4PZX54(P)7CC)7$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*数据报文数据报文数据报文数据报文以太网帧头以太网帧头IP头头TCP头头应用层数据应用层数据对比对比对比对比161.基于攻击工具、或漏洞利用的特征进行检测。2.基于协议交互的异常进行检测。3.基于流量统计的异常进行检测。4.基于病毒样本特征

9、进行检测。5.攻击事件智能关联分析。6.网络行为自学习、流量基线自学习。7.反向认证。检测方法检测方法1.报文正规化。2.IP重组。3.TCP流恢复。4.TCP会话状态跟踪。5.协议解码。6.基于应用层协议的状态跟踪。7.可信报文处理。报文处理方式报文处理方式基于特征匹配的多种检测方法基于特征匹配的多种检测方法17网络安全设备部署模式网络安全设备部署模式旁路部署旁路部署在线部署在线部署交换机上设置镜像端口，安全设备交换机上设置镜像端口，安全设备旁路进行抓包和特征匹配。旁路进行抓包和特征匹配。某些网关类安全设备（如某些网关类安全设备（如VPN）的）的单臂部署模式在拓扑形式上与此类单臂部署模式在拓

10、扑形式上与此类似，但是数据包需要进行转发的。似，但是数据包需要进行转发的。网关类安全设备大多采用此种将设网关类安全设备大多采用此种将设备串入链路中的在线部署方式。备串入链路中的在线部署方式。透明模式透明模式向网线一样工作向网线一样工作桥模式桥模式相当于交换机相当于交换机路由模式路由模式相当于路由器相当于路由器混合模式混合模式既有路由模式也既有路由模式也有桥模式有桥模式18安全技术趋势安全技术趋势重新认识信息安全重新认识信息安全技术上的挑战与应对技术上的挑战与应对19目录目录n应用带来的挑战应用带来的挑战n高性能与集成化高性能与集成化n虚拟化与强组网虚拟化与强组网20组网模型正在发生变化组网模型

11、正在发生变化组网扁平化，安全成为事实上的核心组网扁平化，安全成为事实上的核心组网扁平化，安全成为事实上的核心组网扁平化，安全成为事实上的核心服务器区服务器区业务终端业务终端接入层接入层汇聚层汇聚层核心层核心层服务器区服务器区21超大型数据中心组网超大型数据中心组网22终端迁入云中后终端迁入云中后?怎样保证终端安全策略的一致性？怎样保证终端安全策略的一致性？终端不在管理员的直接控制下，统一部署策略难度大。终端不在管理员的直接控制下，统一部署策略难度大。终端用户有意或无意的违反安全策略，难发现难处理。终端用户有意或无意的违反安全策略，难发现难处理。终端应该怎样进行归属？终端应该怎样进行归属？终端往

12、往会处理多个业务，造成归属不清。终端往往会处理多个业务，造成归属不清。终端在不同网络位置接入，难以精确归属。终端在不同网络位置接入，难以精确归属。怎样找到问题终端？怎样找到问题终端？终端众多，当出现安全事件时，快速终端众多，当出现安全事件时，快速定位问题终端困难。定位问题终端困难。传统的终端安全问题，都将不复存在传统的终端安全问题，都将不复存在23网络流量的变化一网络流量的变化一云计算使得设备云计算使得设备利用率大幅提升利用率大幅提升24网络流量变化二网络流量变化二数据中心内部流量增加并变得更加复杂数据中心内部流量增加并变得更加复杂25对安全产品的挑战对安全产品的挑战高性能高性能40G100G

13、10G10G10G如何实现如何实现40G100G的线速？的线速？26流量变化使得安全边界消失流量变化使得安全边界消失边界在哪里？边界在哪里？27从网络访问控制到内容访问控制从网络访问控制到内容访问控制IP/端口是否合法端口是否合法？应用是否合法？应用是否合法？行为是否合法？行为是否合法？需要多大性能？需要多大性能？28云的虚拟化要求网络虚拟化云的虚拟化要求网络虚拟化N=1VLAN 1VLAN 2VLAN n1=N跨设备链跨设备链路聚合路聚合业务迁移业务迁移的自适应的自适应29物联网带来的物联网带来的IPv6需求需求奥运奥运“龙形水系龙形水系”景观照明控制景观照明控制系统采用系统采用IPv6IP

14、v6网络，让上万支可网络，让上万支可调亮度灯及调亮度灯及LEDLED灯实现多种变化灯实现多种变化的景观效果，成为北京市夜间的的景观效果，成为北京市夜间的城市新地标。城市新地标。物联网只有物联网只有IPv6IPv6才能够支撑才能够支撑30目录目录n应用带来的挑战应用带来的挑战n高性能与集成化高性能与集成化n虚拟化与强组网虚拟化与强组网31安全产品的发展方向安全产品的发展方向集成化集成化高性能高性能控制流交换网GE总线XG总线业务流交换网 主控引擎32功能融合的基础通用的实现功能融合的基础通用的实现Session报文正规化处理及应用层数据恢复报文正规化处理及应用层数据恢复协议分析协议分析特征匹配特

15、征匹配防火墙防火墙流量控制流量控制IPS防毒墙防毒墙Web防火墙防火墙33集成化举例：特征库整合集成化举例：特征库整合n卡巴斯基专业防病毒特征库卡巴斯基专业防病毒特征库拥有拥有20万种病毒特征万种病毒特征n漏洞库漏洞库漏洞特征库数量漏洞特征库数量3000+n协议库协议库可实时检测和识别近千种应用层协议可实时检测和识别近千种应用层协议漏洞库漏洞库漏洞库漏洞库协议库协议库协议库协议库病毒库病毒库病毒库病毒库综合防御综合防御业界最全面业界最全面34高性能的前提硬件的发展高性能的前提硬件的发展业务能力业务能力L3L3 L4 L4 L7 L7适应各种业务处理适应各种业务处理分布式并行硬件体系分布式并行硬

16、件体系通用CPU缺少硬件搜索软件处理性能低ASICASIC缺乏灵活性，不支持L4L7业务转发性能转发性能网络处理器指令空间有限，4到7层业务处理能力弱。嵌入式嵌入式CPUCPU有限的报文处理多核多核CPU+FPGACPU+FPGA35现有实践：单板万兆的技术实现现有实践：单板万兆的技术实现n主：多核主：多核CPUCPUn协：协：FPGA/ASICFPGA/ASICn协：网络处理器协：网络处理器n辅：高速总线辅：高速总线36多核多核CPU的未来发展的未来发展n更高的内核集成度更高的内核集成度n引入引入CrossBarCrossBar架构架构n多多CPUCPU的级联技术的级联技术n更高速度的总线接

17、口更高速度的总线接口37软件硬件化、硬件软件化的软件硬件化、硬件软件化的FPGAFPGA是一种高密度是一种高密度PLD芯片。它由三个可编程模块组成，编程的结果存放在一芯片。它由三个可编程模块组成，编程的结果存放在一个个SRAM中，所以需要上电时下载编程数据。中，所以需要上电时下载编程数据。38现有实现：整机高性能的技术实现现有实现：整机高性能的技术实现控制流交换网GE总线XG总线主控引擎业务流交换网 nCrossBarCrossBar交换架构交换架构n控制总线与数据总线分离控制总线与数据总线分离n控制与转发分离的软件架构控制与转发分离的软件架构n基于基于SessionSession的分布式转发

18、的分布式转发39高性能设计举例高性能设计举例FPGA-based HW EngineSession managementPackets processing fast pathDPtech uniform signaturesKaspersky AV signaturesMulti-Core Security ProcessorHigh density processing for flexible security functionality(Policy mgmt.,PCRE,etc.)Protocols decodingTraffic Shaping10GbpsFast PathRAMR

19、AMRAMRAMCPU0RAMRAMHDD72 Gig Network Processing ASICFront-end network processing offloadsHardware accelerated Hashing and Scheduling10GbpsControl PlaneData PlaneCPU7.PolicyPCRETraffic ShapingCPU1CPU2RAMRAMCPU3Packet header checkingSignature MatchSession Mgmt.HW Hash&Scheduling48G Switch FabricDedicat

20、ed Control PlaneHighly available mgmtHigh speed logging updatesAnalysis and reports40未来发展未来发展40G100G10G10G10Gn通用并行计算方法研究通用并行计算方法研究n更大规模更大规模FPGA FPGA 的应用的应用n设备内高性能负载均衡设备内高性能负载均衡n跨物理设备的性能聚合跨物理设备的性能聚合41目录目录n应用带来的挑战应用带来的挑战n高性能与集成化高性能与集成化n虚拟化与强组网虚拟化与强组网42网络虚拟化已经成为常态网络虚拟化已经成为常态生产分区生产分区物理资源物理资源办公分区办公分区Inte

21、rnetInternet分区分区虚拟化分区虚拟化分区n在一套物理资源上，采用虚拟化分区方法为多个业务系统虚拟出隔离的在一套物理资源上，采用虚拟化分区方法为多个业务系统虚拟出隔离的IT IT环境环境n虚拟化分区具有独立的逻辑资源：带宽、计算、策略数、管理员、虚拟化分区具有独立的逻辑资源：带宽、计算、策略数、管理员、QoSQoS数据中心广域网数据中心广域网数据中心广域网数据中心广域网43我们常用的局域网虚拟化我们常用的局域网虚拟化VLANTrunk Link研发部研发部局域网局域网工程部工程部局域网局域网市场部市场部局域网局域网虚拟网虚拟网VLAN端口端口工程部工程部1011、2、9研发部研发部1

22、023、5、7市场部市场部1034、6、8虚拟网虚拟网VLAN端口端口工程部工程部1012、3、4研发部研发部1021、5、9市场部市场部1036、7、844我们不太常用的广域网虚拟化我们不太常用的广域网虚拟化MPLS汇聚交换机虚拟网络虚拟网络VPN1VPN1RD：100:100Export RT：100:100Import RT：100:100VRF_VPN1Route Table:VPN2RD：100:200Export RT：100:200Import RT：100:200VRF_VPN2Route Table:VPN2RD：100:200Export RT：100:200Import

23、RT：100:200VRF_VPN2Route Table:VPN1RD：100:100Export RT：100:100Import RT：100:100VRF_VPN1Route Table:虚拟网络虚拟网络VPN2接入交换机核心交换机汇聚交换机VLAN10VLAN20VLAN10VLAN20接入交换机虚拟网络虚拟网络VPN1虚拟网络虚拟网络VPN2标签转发通道标签转发通道45MPLS VPN典范：电子政务网典范：电子政务网省政府省政府市政府市政府区县政府区县政府省工商局省工商局市工商局市工商局区县工商局区县工商局省劳动厅省劳动厅市劳动局市劳动局区县劳动局区县劳动局纵向网络结构纵向网络结构

24、横向网络结构横向网络结构横向网络：信息共享，跨部门协作横向网络：信息共享，跨部门协作纵纵向向网网络络：业业务务运运作作，行行业业管管理理与与指指导导 政务网政务网 MPLS VPN MPLS VPN 横向网络结构横向网络结构实体政务网实体政务网虚拟业务网虚拟业务网46安全虚拟化（安全虚拟化（N=1)当网络已经虚拟化，安全也当网络已经虚拟化，安全也必须必须得支持虚拟化得支持虚拟化PEMCEVLANMPLS路由表路由表NAT状态表状态表访问策略访问策略路由表路由表NAT状态表状态表访问策略访问策略路由表路由表NAT状态表状态表访问策略访问策略虚虚拟拟IPS虚虚拟拟FW状态表状态表安全策略安全策略状

25、态表状态表安全策略安全策略状态表状态表安全策略安全策略响应表响应表响应表响应表响应表响应表DPtech防火墙、防火墙、IPS等全线安全产品全部等全线安全产品全部支持虚拟化技术。支持虚拟化技术。47网关类安全产品其它组网要求网关类安全产品其它组网要求n静态路由协议/RIPv1/2/OSPF/BGP/策略路由n流量监管/拥塞检测及避免/流量整形nMPLS VPN/VLAN/QinQ/虚拟防火墙/多播虚拟防火墙组网示意安全域1安全域2安全域3虚拟防火墙DPtechFW1000虚拟防火墙虚拟防火墙48BGP PeerNextHopNextHop城域网城域网发布路由NextHopNo-Advertise

26、BGP路由引流路由引流策略路由回注策略路由回注VLAN偷传回注偷传回注MPLS VPN回注回注流量清洗设备的组网能力要求流量清洗设备的组网能力要求49网络层网络层路由路由接口接口交换交换ACL/NAT.网络层网络层路由路由接口接口交换交换ACL/NAT.网络产品硬件平台网络产品硬件平台ASICNPASICNP强组网能力的软件平台强组网能力的软件平台网络产品网络产品围绕围绕23层交换，实时性高层交换，实时性高缺乏处理缺乏处理47层业务能力层业务能力安全产品安全产品与与23层的转发缺乏融合层的转发缺乏融合性能、业务扩展性上瓶颈明显性能、业务扩展性上瓶颈明显网络层安全网络层安全防火墙防火墙VPN/N

27、ATDDoSARP攻击攻击应用层安全应用层安全防病毒防病毒木马木马网页窜改网页窜改防垃圾邮件防垃圾邮件URL过滤过滤安全产品硬件平台安全产品硬件平台X86、ASIC、NP、多核、多核APP-XNP+多核多核+FPGA ConPlat Layer27安全平台安全平台防病毒防病毒间谍软件间谍软件DDoSARP攻击攻击NAT路由路由防垃圾邮件防垃圾邮件防网页篡改防网页篡改带宽滥用带宽滥用防火墙防火墙ACL交换交换防漏洞攻击防漏洞攻击非法扫描非法扫描木马木马VPNVoIPConPlat是业界第一个实现高实时性、真正理解网络与应用的安全平台是业界第一个实现高实时性、真正理解网络与应用的安全平台50迪普公

28、司简介迪普公司简介51公司简介公司简介我们的机构：我们的机构：总部位于杭州，在全国设有分支机构我们的方向：我们的方向：专注于网络内容及网络安全，为用户提供深度安全检测与防御、深度内容识别与加速的整体解决方案我们的能力：我们的能力：拥有自主知识产权的高性能内容识别与加速芯片及内容交付软件平台 我们的服务：我们的服务：依托各地的分支机构与合作伙伴，提供全国7x24支持在网络安全领域集研发、生产、销售于一体的高科技企业在网络安全领域集研发、生产、销售于一体的高科技企业52DPtech 产品的核心竞争力产品的核心竞争力高性能硬件引擎高性能硬件引擎基于硬件的包分析引擎基于硬件的包分析引擎基于硬件的包转发

29、引擎基于硬件的包转发引擎基于硬件的检测引擎基于硬件的检测引擎基于硬件的状态表处理基于硬件的状态表处理实时内容分析引擎实时内容分析引擎专业的网络安全操作系统专业的网络安全操作系统实时网络安全操作系统实时网络安全操作系统高性能操作系统高性能操作系统高鲁棒性与高可靠高鲁棒性与高可靠控制与转发分离的软件架构控制与转发分离的软件架构基于多核基于多核CPU的并行处理系统的并行处理系统核心技术核心技术FPGA-basedContent Processor ConPlat Operating System FPGAContent ProcessorDPtech全线产品基于的高性能软硬件平台，。5353FW10

30、00-GA-N防火墙防火墙FW1000-GM-NFW1000-ME-NFW1000-MS-NFW1000-GS-NFW1000-MA-NUTMIPSFW1000-GC-N防毒墙防毒墙UAGUAG3000-MCUAG3000-TSUAG3000-MMUAG3000-GSUAG3000-GEUAG3000-ME软件软件TAC 终端访问控制终端访问控制UMC 统一管理中心统一管理中心FW1000-GE-NUAG3000-MSUAG3000-MAUAG3000-GAUTM2000-ME-NUTM2000-MS-NUTM2000-MA-NUTM2000-GA-NUTM2000-GM-NUTM2000-GS-NIPS2000-MC-NIPS2000-MA-NIPS2000-MS-NIPS2000-ME-NIPS2000-GS-NIPS2000-GE-NIPS2000-GA-NIPS2000-TS-NIPS2000-MC-AVIPS2000-MA-AVIPS2000-MS-AVIPS2000-ME-AVIPS2000-GS-AVIPS2000-GE-AVIPS2000-GA-AVIPS2000-TS-AV万兆万兆万兆万兆万兆万兆万兆万兆WebShield防篡改防篡改漏洞扫描漏洞扫描DPtech 产品全家福产品全家福