云安全解决方案PPT资料.pptx

1、,存储廉价硬件Scale-Out简单可靠的失效管理高性能的大数据存取,通信数据中心大二层网络虚拟化互联与业务承载基于应用的业务支撑,管,新IT基础架构,云,IaaS,PaaS,SaaS,公有,混合,私有,视频会议终端,PC/终端,IP语音终端,移动终端,端,局域网,智能管理,智能调度,虚拟化承载,智能接入,应用加速,应用可控,应用可用,应用识别,应用支持,智能管道,云计算的变与不变,V.S.,改变,不变,建设方式,运维方式,流量模型,云计算对网络的影响,Internet,Pod 0,Pod 1,Pod 2,Pod n,核心交换机,核心交换机,汇聚交换机,汇聚交换机,出口路由器,出口路由器,FC

2、oE等带来的全以太网组网,扁平组网引起三层集中部署,全二层扁平化组网,业务迁移,业务迁移引起的接入动态化,虚拟化对安全的影响,Page.13,新系统引入新威胁,如何在虚拟化环境中应用安全能力？,提纲,1,2,云计算发展趋势,迪普公司介绍,3,4,迪普云安全技术,典型部署及案例,云安全技术分类,PaaS,SaaS,IaaS,SaaS层云安全主要集中在解决应用层安全,注：云安全涉及范围广，IaaS、PaaS、SaaS三者不是包含或者演进的关系，尽管三者的软硬件抽象层次不同，但是三者之间是完全并列的技术，互不统属和交叉。,云杀毒,邮件安全,网页安全,PaaS层云安全集中在解决平台层安全,IaaS层云

3、安全主要集中在解决基础架构层安全,防火墙资源池,IPS资源池,应用交付资源池,数据恢复/备份,虚拟化安全,存储安全,迪普科技的目标：成为“云”的一种能力,FW池,计算资源池,存储资源池,能力资源池,IPS池,流控池,审计池,AV池,抗DoS,加速池,LB池,优化策略流,安全策略流,网络是支撑，L4L7能力是云的一部分,运营商数据中心发展历程,Internet,互联网业务区,对外业务区,负载均衡,负载均衡,内部业务区,负载均衡,负载均衡,负载均衡,IPS,FW,FW,FW,FW,FW,IPS,IPS,最初的数据中心具备一个大服务器区，所有应用都放置在同一个服务器区域，各业务没有隔离，统一部署边界

4、安全措施；由于每个应用的安全级别不同，应用人员类型不同等因素，运营商业务系统都趋向于演进到边界清晰、安全域划分清晰的规范结构,服务器区,Internet,从服务器区融合的部署到安全域划分清晰的规范网络,云计算中心,应用从从物理主机迁移到虚拟化主机,安全域划分清晰的数据中心,虚拟化数据中心,服务器大融合的数据中心,云安全核心思路：以不变的网关应万变,二层归网络平台，三层以上归安全与应用交付平台。,基于VLAN的安全分区,VLAN 1.1001,VLAN 2.1001,VLAN n.x,VLAN自适应业务迁移,VLAN 1001,VLAN x,VLAN 1,VLAN 2,VLAN 3,VLAN n

5、,网关及L47层策略流,IP及MAC 规划分布式网关部署,迪普向云演进的云计算中心安全解决方案,云计算中心,虚拟负载均衡,虚拟IPS,虚拟FW,Internet,防火墙资源池入侵防御资源池负载均衡资源池流量清洗资源池网流分析/控制资源池,DPX8000,DPX8000,根据不同应用需求分配不同性能的安全业务各虚拟安全业务拥有独立的管理、状态表，由各业务负责人管理,虚拟负载均衡,虚拟IPS,虚拟FW,虚拟负载均衡,虚拟FW,虚拟负载均衡,虚拟FW,防火墙资源池入侵防御资源池负载均衡资源池流量清洗资源池网流分析/控制资源池,部署方案一：网关式,边界防火墙,迪普向云演进的云计算中心安全解决方案,数据

6、中心,DPtech DPX8000,交换机,路由器,城域网,DPtech DPX8000,交换机,路由器,虚拟应用N,虚拟应用1,防火墙资源池入侵防御资源池负载均衡资源池流量清洗资源池网流分析/控制资源池,防火墙资源池入侵防御资源池负载均衡资源池流量清洗资源池网流分析/控制资源池,旁挂、扁平、一体化的虚拟防火墙部署，极大简化网络部署，降低TCO成功应用：中国电信集团云计算中心上海电信节点、四川电信节点,部署方案二：单臂式,核心思路：基于虚拟化网关的策略流,大二层以太网,FCoE,每个网关引导对应应用所需的策略流。应用间互访要通过网关进行。DPX是最适应此部署模式的平台，以虚拟防火墙形成分布式网

7、关，通过自定义网络流量的流向，通过不同的功能板卡形成策略流。,扩展应用：公有云服务中，提供安全和应用交付业务的租赁,应用即网络的技术演进,2,能力云阶段,虚拟化阶段,网络化阶段,多合一：物理设备性能聚合,一分多：面向业务定制,从“Application at Network”向“Application as Network”的演进,实现集成网络的安全与应用交付，不成为网络瓶颈；整机最大400G处理能力，5亿并发连接，1500万新建连接；,实现安全与应用交付的全面虚拟化，颗粒化资源；能创建防火墙、IPS、应用交付、流量控制、行为审计、流量清洗等多业务资源池；,实现虚拟化能力池的动态调度，为应用提

8、供云化服务；,云安全的承载：DPX8000深度业务交换网关,DPX8000-A3,DPX8000-A5,DPX8000-A12,高性能：大交换容量，最多支持480*GE/80*10GE接口线速转发业务丰富：负载均衡、应用加速、防火墙、IPS、异常流量清洗、流量控制、行为审计等功能按需扩展，最大400G深度业务线速处理能力虚拟化：端到端的从网络层到应用层的虚拟化能力高可用性：丰富网络协议，支持48GE电/光、4*10GE/8*10GE光、2.5G/10G/40G POS等高密接入,交换板：48GE 接口4*10GE/8*10GE接口4*2.5G/4*10G POS接口，1*40G POS接口全线

9、速交换业务板：单板业务处理能力40G，整机最大400G单板并发连接数5000万，新建连接数150万/秒最大支持24端口聚合,高性能APP-X硬件平台,创新的控制、业务、数据的三平面结构数据平面：基于CLOS/CrossBar架构的分布式转发，基于Session FPGA的应用层快转业务平面：基于多核CPU与内容FPGA的业务处理控制平面：基于多核CPU的高性能控制平面,路由计算转发表管理,分布式转发业务快转,应用识别应用控制,NP,NP,交换芯片,交换芯片,Session FPGA,Seesion FPGA,CLOS/CrossBar,ConPlat软件平台,APP-X,ConPlat,硬件虚

10、拟化管理,进程调度,内存管理,磁盘管理,总线控制,控制平面,业务管理,业务管理,业务管理,CLI,Telnet/SSH,Web UI,SNMP,日志,管理员鉴权,控制平面,控制平面,IPv4路由,IPv6路由,MPLS,转发平面,转发平面,转发平面,路由转发,Session转发,二层转发,业务平面,业务平面,业务平面,应用识别,应用加速,异常管理,应用控制,应用审计,应用可用性,网流分析,APP-ID应用特征库,特征采集,特征分析,特征生成,业内独创三库合一，一次解析，多次匹配，效率最优。,支持多框级联，灵活扩展端口密度和处理能力单框内部支持主备板倒换，VSM内部支持主备框倒换，同时支持跨框端

11、口聚合，最大限度提高可靠性支持集中配置与管理，简化部署,虚拟交换矩阵（VSM）,板卡资源虚拟化,将多块板卡虚拟成一块板卡进行配置和使用，简化配置处理性能和端口密度同步扩展负载平均分担，出现故障时自动切换，实现N+1备份,技术创新N:M虚拟化,VSM跨设备虚拟化将多个机框虚拟成为为一个机框，可统一配置管理业务虚拟化聚合业内唯一可将多个同类业务板卡虚拟成为一个业务板卡，结合VSM，可实现跨机框业务整合1：M业务虚拟化业务板卡支持1：M虚拟化，可虚拟成为多个同类型虚拟设备,业务跨板卡虚拟化,VSM跨机框虚拟化,业务资源池,1：M虚拟化,可控,可用,加速,同类业务卡,同类业务卡,同类业务卡,操作系统及

12、虚拟化,管理虚拟化,协议虚拟化,转发虚拟化,资源虚拟化,操作系统虚拟化,每个虚拟系统由相应管理员自主管理，各个虚拟系统之间互不可见,每个虚拟系统运行独立的协议进程，各进程间互不干扰,每个虚拟系统单独享有系统管理员预先分配的相关资源，各个虚拟系统之间互不干扰,每个虚拟系统拥有独立的转发表和会话表，地址空间完全独立,系统高可靠性保障,VRRP master,VRRP backup,4.双机热备：主机和备机之间可以同步规则、路由和Session等信息。当主机出现问题后，互相可以平滑切换,6.板间负载均衡及容错,1.双主控、关键部件冗余设计,2.接口卡、电源模块、风扇等关键部件热插拔,7.业务模块的掉

13、电保护和选择性二层回退,5.操作系统和DigitalPatch的在线业务无间断升级,分布式架构和多种容错设计，可以保证在各种复杂网络流量环境下的高可靠性和可用性,3.N+M电源冗余,深度业务交换网关优势,一体化,高性能,网络适用性,虚拟化,扩展性,高可靠,集业务交换、网络安全、应用交付三大功能于一体,主控冗余、N+1电源、不间断重启、热补丁、数据/控制/监测平面分离等技术，确保99.999的电信级可靠性,纵向性能扩展。增加同类业务板卡可实现性能线性扩展；横向业务扩展。支持应用防火墙、IPS、流量控制、安全审计、应用交付、异常流量清洗/检测等深度业务功能的按需扩展,1024G交换容量，满足现在及未来的网络性能要求,支持IPv4/IPv6、三层/二层MPLS VPN等丰富的网络特性，提供各类千兆电口、千兆光口、万兆光口扩展，能满足各种部署环境要求,多合一、一分多虚拟化，为不同业务动态分配不同的虚拟安全资源；VSM跨机框虚拟化，扩展网络冗余能力。,Xware服务器虚拟化,Page.33,Dptech