《安全技術(shù)發(fā)展趨勢》

平安技術(shù)開展趨勢自我介紹孫曉明杭州迪普科技解決方案部部長Mobile-mail：sunxiaoming@diputech提綱應(yīng)用的變化現(xiàn)有平安技術(shù)平安技術(shù)趨勢應(yīng)用的變化從web2.0到云計(jì)算物聯(lián)網(wǎng)的興起從web2.0到云計(jì)算用戶創(chuàng)造內(nèi)容應(yīng)用放在云端應(yīng)用的新挑戰(zhàn)Web2.0代表的新應(yīng)用走向企業(yè)云計(jì)算代表的新架構(gòu)改變企業(yè)根底設(shè)施Cloud：What？Infrastructure(SaaS)Platform(PaaS)Software(SaaS)SaleForceMicrosoftNetSuiteGoogleAppEngineBungeeLabsHerokuAmazonEC2GoGridMossoPublicCloudeVirtualPrivateCloudPrivateCloudeCloud：How？——PhaseⅠ打破硬件界限，將數(shù)據(jù)中心整合為統(tǒng)一的資源池。——IaaSCPU資源池虛擬資源池物理效勞器虛擬業(yè)務(wù)主機(jī)內(nèi)存資源池存儲資源池Cloud：How？——PhaseⅡ?qū)⑷肯到y(tǒng)效勞與業(yè)務(wù)應(yīng)用都納入云中?！狿aaS&SaaSCPU資源池系統(tǒng)效勞云根底架構(gòu)云業(yè)務(wù)應(yīng)用云內(nèi)存資源池存儲資源池SQL中間件WWW程序接口物聯(lián)網(wǎng)的核心是對信息數(shù)據(jù)的采集和處理物聯(lián)網(wǎng)(TheInternetofthings)，把新一代IT技術(shù)充分運(yùn)用在各行業(yè)中，如能源、交通、建筑、家庭、市政系統(tǒng)等，然后與現(xiàn)有通信網(wǎng)結(jié)合，實(shí)現(xiàn)人類社會(huì)與物理系統(tǒng)的整合。人類可以更加精細(xì)和動(dòng)態(tài)的方式管理生產(chǎn)和生活，到達(dá)“智慧〞狀態(tài)，提高資源利用率和生產(chǎn)力水平，改善人與自然間的關(guān)系。物聯(lián)網(wǎng)的興起物聯(lián)網(wǎng)的應(yīng)用車載應(yīng)用工控應(yīng)用對講應(yīng)用消防遠(yuǎn)程監(jiān)控新應(yīng)用帶來的平安挑戰(zhàn)新應(yīng)用帶來的新威脅應(yīng)用越來越集中，越來越重要帶來的管理壓力網(wǎng)絡(luò)流量的快速增長，網(wǎng)絡(luò)復(fù)雜性的增加現(xiàn)有平安技術(shù)常見信息平安技術(shù)圖譜常見平安威脅與平安產(chǎn)品信息平安連接管理數(shù)據(jù)復(fù)原識別技術(shù)重定向加密狀態(tài)檢測SynProxyDNS重定向代理透明代理HTTP重定向反向代理數(shù)字簽名流量異常行為識別內(nèi)容加密報(bào)文正規(guī)化通信加密身份認(rèn)證數(shù)字簽名/水印PKI體系IP碎片重組加密技術(shù)加密應(yīng)用技術(shù)對稱加密算法TCP流恢復(fù)非對稱加密算法哈希算法編碼還原常見信息平安技術(shù)圖譜根本技術(shù)——基于狀態(tài)表轉(zhuǎn)發(fā)如收到的數(shù)據(jù)包為新建TCP連接的數(shù)據(jù)包，則根據(jù)預(yù)定義規(guī)則決定是否轉(zhuǎn)發(fā)。如確定需要轉(zhuǎn)發(fā)則在狀態(tài)表中增加相關(guān)表項(xiàng)，并開始跟蹤TCP握手信息。如收到的數(shù)據(jù)包為非新建連接，則檢查狀態(tài)表表項(xiàng)。如有相關(guān)表項(xiàng)則根據(jù)表項(xiàng)進(jìn)行轉(zhuǎn)發(fā)，否則丟棄該數(shù)據(jù)包。如該數(shù)據(jù)包為TCPFIN包，則轉(zhuǎn)發(fā)后刪除相關(guān)表項(xiàng)。狀態(tài)表中的表項(xiàng)都有預(yù)定義的老化時(shí)間。如超過老化時(shí)間仍沒有新的數(shù)據(jù)包通過，則刪除該條記錄。無老化時(shí)間的記錄稱為長連接，用于某些特殊應(yīng)用？新建連接非新建連接狀態(tài)表老化根本技術(shù)——特征匹配技術(shù)特征庫***************************************8/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*******************************************************************************數(shù)據(jù)報(bào)文以太網(wǎng)幀頭IP頭TCP頭應(yīng)用層數(shù)據(jù)比照基于攻擊工具、或漏洞利用的特征進(jìn)行檢測。基于協(xié)議交互的異常進(jìn)行檢測。基于流量統(tǒng)計(jì)的異常進(jìn)行檢測?；诓《緲颖咎卣鬟M(jìn)行檢測。攻擊事件智能關(guān)聯(lián)分析。網(wǎng)絡(luò)行為自學(xué)習(xí)、流量基線自學(xué)習(xí)。反向認(rèn)證。檢測方法報(bào)文正規(guī)化。IP重組。TCP流恢復(fù)。TCP會(huì)話狀態(tài)跟蹤。協(xié)議解碼?；趹?yīng)用層協(xié)議的狀態(tài)跟蹤?？尚艌?bào)文處理。報(bào)文處理方式基于特征匹配的多種檢測方法網(wǎng)絡(luò)平安設(shè)備部署模式旁路部署在線部署交換機(jī)上設(shè)置鏡像端口，平安設(shè)備旁路進(jìn)行抓包和特征匹配。某些網(wǎng)關(guān)類平安設(shè)備〔如VPN〕的單臂部署模式在拓?fù)湫问缴吓c此類似，但是數(shù)據(jù)包需要進(jìn)行轉(zhuǎn)發(fā)的。網(wǎng)關(guān)類平安設(shè)備大多采用此種將設(shè)備串入鏈路中的在線部署方式。透明模式向網(wǎng)線一樣工作橋模式相當(dāng)于交換機(jī)路由模式相當(dāng)于路由器混合模式既有路由模式也有橋模式平安技術(shù)趨勢重新認(rèn)識信息平安技術(shù)上的挑戰(zhàn)與應(yīng)對目錄應(yīng)用帶來的挑戰(zhàn)高性能與集成化虛擬化與強(qiáng)組網(wǎng)組網(wǎng)模型正在發(fā)生變化組網(wǎng)扁平化，平安成為事實(shí)上的核心效勞器區(qū)業(yè)務(wù)終端接入層會(huì)聚層核心層效勞器區(qū)超大型數(shù)據(jù)中心組網(wǎng)終端遷入云中后???怎樣保證終端平安策略的一致性？終端不在管理員的直接控制下，統(tǒng)一部署策略難度大。終端用戶有意或無意的違反平安策略，難發(fā)現(xiàn)難處理。終端應(yīng)該怎樣進(jìn)行歸屬？終端往往會(huì)處理多個(gè)業(yè)務(wù)，造成歸屬不清。終端在不同網(wǎng)絡(luò)位置接入，難以精確歸屬。怎樣找到問題終端？終端眾多，當(dāng)出現(xiàn)平安事件時(shí)，快速定位問題終端困難。傳統(tǒng)的終端平安問題，都將不復(fù)存在網(wǎng)絡(luò)流量的變化一云計(jì)算使得設(shè)備利用率大幅提升網(wǎng)絡(luò)流量變化二數(shù)據(jù)中心內(nèi)部流量增加并變得更加復(fù)雜對平安產(chǎn)品的挑戰(zhàn)——高性能40G~100G10G10G10G如何實(shí)現(xiàn)40G～100G的線速？流量變化使得平安邊界消失邊界在哪里？從網(wǎng)絡(luò)訪問控制到內(nèi)容訪問控制IP/端口是否合法？應(yīng)用是否合法？行為是否合法？需要多大性能？云的虛擬化要求網(wǎng)絡(luò)虛擬化N=>1VLAN1VLAN2VLANn1=>N跨設(shè)備鏈路聚合業(yè)務(wù)遷移的自適應(yīng)物聯(lián)網(wǎng)帶來的IPv6需求奧運(yùn)“龍形水系〞景觀照明控制系統(tǒng)采用IPv6網(wǎng)絡(luò)，讓上萬支可調(diào)亮度燈及LED燈實(shí)現(xiàn)多種變化的景觀效果，成為北京市夜間的城市新地標(biāo)。物聯(lián)網(wǎng)只有IPv6才能夠支撐目錄應(yīng)用帶來的挑戰(zhàn)高性能與集成化虛擬化與強(qiáng)組網(wǎng)平安產(chǎn)品的開展方向集成化高性能FPGAFPGAFPGAFPGA控制流交換網(wǎng)GE總線XG總線業(yè)務(wù)流交換網(wǎng)主控引擎功能融合的根底－通用的實(shí)現(xiàn)Session報(bào)文正規(guī)化處理及應(yīng)用層數(shù)據(jù)恢復(fù)協(xié)議分析特征匹配防火墻流量控制IPS防毒墻Web防火墻集成化舉例：特征庫整合卡巴斯基專業(yè)防病毒特征庫擁有20萬種病毒特征漏洞庫漏洞特征庫數(shù)量3000+協(xié)議庫可實(shí)時(shí)檢測和識別近千種應(yīng)用層協(xié)議漏洞庫協(xié)議庫病毒庫綜合防御業(yè)界最全面高性能的前提－硬件的開展業(yè)務(wù)能力L3L4L7適應(yīng)各種業(yè)務(wù)處理分布式并行硬件體系通用CPU缺少硬件搜索軟件處理性能低ASIC缺乏靈活性，不支持L4~L7業(yè)務(wù)轉(zhuǎn)發(fā)性能網(wǎng)絡(luò)處理器指令空間有限，4到7層業(yè)務(wù)處理能力弱。嵌入式CPU有限的報(bào)文處理多核CPU+FPGA現(xiàn)有實(shí)踐：單板萬兆的技術(shù)實(shí)現(xiàn)主：多核CPU協(xié)：FPGA/ASIC協(xié)：網(wǎng)絡(luò)處理器輔：高速總線多核CPU的未來開展更高的內(nèi)核集成度引入CrossBar架構(gòu)多CPU的級聯(lián)技術(shù)更高速度的總線接口軟件硬件化、硬件軟件化的FPGAFPGA是一種高密度PLD芯片。它由三個(gè)可編程模塊組成，編程的結(jié)果存放在一個(gè)SRAM中，所以需要上電時(shí)下載編程數(shù)據(jù)?，F(xiàn)有實(shí)現(xiàn)：整機(jī)高性能的技術(shù)實(shí)現(xiàn)FPGAFPGAFPGAFPGA控制流交換網(wǎng)GE總線XG總線主控引擎業(yè)務(wù)流交換網(wǎng)CrossBar交換架構(gòu)控制總線與數(shù)據(jù)總線別離控制與轉(zhuǎn)發(fā)別離的軟件架構(gòu)基于Session的分布式轉(zhuǎn)發(fā)高性能設(shè)計(jì)舉例FPGA-basedHWEngineSessionmanagementPacketsprocessingfastpathDPtechuniformsignaturesKasperskyAVsignaturesMulti-CoreSecurityProcessorHighdensityprocessingforflexiblesecurityfunctionality(Policymgmt.,PCRE,etc.)ProtocolsdecodingTrafficShaping10GbpsFastPathRAMRAMRAMRAMCPU0RAMRAMHDD72GigNetworkProcessingASICFront-endnetworkprocessingoffloadsHardwareacceleratedHashingandScheduling10GbpsControlPlaneDataPlaneCPU7..PolicyPCRETrafficShapingCPU1CPU2RAMRAMCPU3PacketheadercheckingSignatureMatchSessionMgmt.HWHash&Scheduling48GSwitchFabricDedicatedControlPlaneHighlyavailablemgmtHighspeedloggingupdatesAnalysisandreports未來開展40G~100G10G10G10G通用并行計(jì)算方法研究更大規(guī)模FPGA的應(yīng)用設(shè)備內(nèi)高性能負(fù)載均衡跨物理設(shè)備的性能聚合目錄應(yīng)用帶來的挑戰(zhàn)高性能與集成化虛擬化與強(qiáng)組網(wǎng)網(wǎng)絡(luò)虛擬化已經(jīng)成為常態(tài)生產(chǎn)分區(qū)物理資源辦公分區(qū)Internet分區(qū)虛擬化分區(qū)在一套物理資源上，采用虛擬化分區(qū)方法為多個(gè)業(yè)務(wù)系統(tǒng)虛擬出隔離的IT環(huán)境虛擬化分區(qū)具有獨(dú)立的邏輯資源：帶寬、計(jì)算、策略數(shù)、管理員、QoS數(shù)據(jù)中心廣域網(wǎng)數(shù)據(jù)中心廣域網(wǎng)數(shù)據(jù)中心廣域網(wǎng)數(shù)據(jù)中心廣域網(wǎng)我們常用的局域網(wǎng)虛擬化——VLANTrunkLink研發(fā)部局域網(wǎng)工程部局域網(wǎng)市場部局域網(wǎng)虛擬網(wǎng)VLAN端口工程部1011、2、9…研發(fā)部1023、5、7…市場部1034、6、8…虛擬網(wǎng)VLAN端口工程部1012、3、4…研發(fā)部1021、5、9…市場部1036、7、8…我們不太常用的廣域網(wǎng)虛擬化——MPLS會(huì)聚交換機(jī)虛擬網(wǎng)絡(luò)VPN1VPN1RD：100:100ExportRT：100:100ImportRT：100:100VRF_VPN1RouteTable:/24Local/24VPN2RD：100:200ExportRT：100:200ImportRT：100:200VRF_VPN2RouteTable:/24Local/24VPN2RD：100:200ExportRT：100:200ImportRT：100:200VRF_VPN2RouteTable:/24Local/24VPN1RD：100:100ExportRT：100:100ImportRT：100:100VRF_VPN1RouteTable:/24Local/24虛擬網(wǎng)絡(luò)VPN2接入交換機(jī)核心交換機(jī)會(huì)聚交換機(jī)/24/24/24/24VLAN10VLAN20VLAN10VLAN20接入交換機(jī)虛擬網(wǎng)絡(luò)VPN1虛擬網(wǎng)絡(luò)VPN2標(biāo)簽轉(zhuǎn)發(fā)通道MPLSVPN典范：電子政務(wù)網(wǎng)省政府市政府區(qū)縣政府省工商局市工商局區(qū)縣工商局省勞動(dòng)廳市勞動(dòng)局區(qū)縣勞動(dòng)局縱向網(wǎng)絡(luò)結(jié)構(gòu)橫向網(wǎng)絡(luò)結(jié)構(gòu)橫向網(wǎng)絡(luò)：信息共享，跨部門協(xié)作縱向網(wǎng)絡(luò)：

業(yè)務(wù)運(yùn)作，行業(yè)管理與指導(dǎo)政務(wù)網(wǎng)MPLSVPN橫向網(wǎng)絡(luò)結(jié)構(gòu)實(shí)體政務(wù)網(wǎng)虛擬業(yè)務(wù)網(wǎng)平安虛擬化〔N=>1)當(dāng)網(wǎng)絡(luò)已經(jīng)虛擬化，平安也必須得支持虛擬化PEMCEVLANMPLS路由表NAT狀態(tài)表訪問策略路由表NAT狀態(tài)表訪問策略路由表NAT狀態(tài)表訪問策略虛擬IPS虛擬FW狀態(tài)表平安策略狀態(tài)表平安策略狀態(tài)表平安策略響應(yīng)表響應(yīng)表響應(yīng)表DPtech防火墻、IPS等全線安全產(chǎn)品全部支持虛擬化技術(shù)。網(wǎng)關(guān)類平安產(chǎn)品其它組網(wǎng)要求靜態(tài)路由協(xié)議/RIPv1/2/OSPF/BGP/策略路由流量監(jiān)管/擁塞檢測及防止/流量整形MPLSVPN/VLAN/QinQ/虛擬防火墻/多播虛擬防火墻組網(wǎng)示意平安域1平安域2平安域3虛擬防火墻DPtechFW1000虛擬防火墻虛擬防火墻BGPPeer/24NextHop/32NextHop城域網(wǎng)發(fā)布路由/32NextHopNo-AdvertiseBGP路由引流策略路由回注VLAN偷傳回注MPLSVPN回注流量清洗設(shè)備的組網(wǎng)能力要求網(wǎng)絡(luò)層路由接口交換ACL/NAT..網(wǎng)絡(luò)層路由接口交換ACL/NAT..網(wǎng)絡(luò)產(chǎn)品硬件平臺ASIC＋NPASIC＋NP強(qiáng)組網(wǎng)能力的軟件平臺網(wǎng)絡(luò)產(chǎn)品圍繞2~3層交換，實(shí)時(shí)性高缺乏處理4~7層業(yè)務(wù)能力平安產(chǎn)品與2~3層的轉(zhuǎn)發(fā)缺乏融合性能、業(yè)務(wù)擴(kuò)展性上瓶頸明顯網(wǎng)絡(luò)層安全防火墻VPN/NATDDoSARP攻擊…應(yīng)用層安全防病毒木馬網(wǎng)頁竄改防垃圾郵件URL過濾…安全產(chǎn)品硬件平臺X86、ASIC、NP、多核APP-XNP+多核+FPGAConPlatLayer2~7安全平臺防病毒間諜軟件DDoSARP攻擊NAT路由防垃圾郵件防網(wǎng)頁篡改帶寬濫用防火墻ACL交換防漏洞攻擊非法掃描木馬VPNVoIP…ConPlat是業(yè)界第一個(gè)實(shí)現(xiàn)高實(shí)時(shí)性、真正理解網(wǎng)絡(luò)與應(yīng)用的平安平臺迪普公司簡介公司簡介我們的機(jī)構(gòu)：總部位于杭州，在全國設(shè)有分支機(jī)構(gòu)我們的方向：專注于網(wǎng)絡(luò)內(nèi)容及網(wǎng)絡(luò)安全，為用戶提供深度安全檢測與防御、深度內(nèi)容識別與加速的整體解決方案我們的能力：擁有自主知識產(chǎn)權(quán)的高性能內(nèi)容識別與加速芯片及內(nèi)容交付軟件平臺我們的服務(wù)：依托各地的分支機(jī)構(gòu)與合作伙伴，提供全國7x24支持在網(wǎng)絡(luò)平安領(lǐng)域集研發(fā)、生產(chǎn)、銷售于一體的高科技企業(yè)DPtech產(chǎn)品的核心競爭力高性能硬件引擎基于硬件的包分析引擎基于硬件的包轉(zhuǎn)發(fā)引擎基于硬件的檢測引擎基于硬件的狀態(tài)表處理實(shí)時(shí)內(nèi)容分析引擎專業(yè)的網(wǎng)絡(luò)平安操作系統(tǒng)實(shí)時(shí)網(wǎng)絡(luò)平安操作系統(tǒng)高性能操作系統(tǒng)高魯棒性與高可靠控制與轉(zhuǎn)發(fā)別離的軟件架構(gòu)基于多核CPU的并行處