安全技术发展趋势.pptVIP

安全技术发展趋势 自我介绍 提纲 应用的变化 从web 2.0到云计算 物联网的应用 新应用带来的安全挑战 现有安全技术 常见信息安全技术图谱 安全技术趋势 目录 组网模型正在发生变化 超大型数据中心组网 终端迁入云中后 网络流量的变化一 网络流量变化二 对安全产品的挑战——高性能 流量变化使得安全边界消失 从网络访问控制到内容访问控制 云的虚拟化要求网络虚拟化 物联网带来的IPv6需求 目录 安全产品的发展方向 功能融合的基础－通用的实现 集成化举例：特征库整合 高性能的前提－硬件的发展 软件硬件化、硬件软件化的FPGA 高性能设计举例 目录 网络虚拟化已经成为常态 网关类安全产品其它组网要求 强组网能力的软件平台 迪普公司简介 DPtech 产品的核心竞争力 奥运“龙形水系” 景观照明控制系统采用IPv6网络，让上万支可调亮度灯及LED灯实现多种变化的景观效果，成为北京市夜间的城市新地标。 物联网只有IPv6才能够支撑 应用带来的挑战 高性能与集成化 虚拟化与强组网 集成化 高性能 FPGA FPGA FPGA FPGA 控制流交换网 GE总线 XG总线 业务流交换网 主控引擎 Session 报文正规化处理及应用层数据恢复 协议分析 特征匹配 防火墙 流量控制 IPS 防毒墙 Web防火墙 卡巴斯基专业防病毒特征库 拥有20万种病毒特征 漏洞库 漏洞特征库数量3000+ 协议库 可实时检测和识别近千种应用层协议 漏洞库 协议库 病毒库 综合防御 业界最全面 业务能力 L3 L4 L7 适应各种业务处理 分布式并行硬件体系 通用CPU 缺少硬件搜索 软件处理性能低 ASIC 缺乏灵活性，不支持L4~L7业务 转发性能 网络处理器 指令空间有限，4到7层业务处理能力弱。 嵌入式CPU 有限的报文处理 多核CPU+FPGA 现有实践：单板万兆的技术实现 主：多核CPU 协：FPGA/ASIC 协：网络处理器 辅：高速总线 多核CPU的未来发展 更高的内核集成度 引入CrossBar架构 多CPU的级联技术 更高速度的总线接口 FPGA是一种高密度PLD芯片。它由三个可编程模块组成，编程的结果存放在一个SRAM中，所以需要上电时下载编程数据。 现有实现：整机高性能的技术实现 FPGA FPGA FPGA FPGA 控制流交换网 GE总线 XG总线 主控引擎 业务流交换网 CrossBar交换架构 控制总线与数据总线分离 控制与转发分离的软件架构 基于Session的分布式转发 FPGA-based HW Engine Session management Packets processing fast path DPtech uniform signatures Kaspersky AV signatures Multi-Core Security Processor High density processing for flexible security functionality (Policy mgmt., PCRE, etc.) Protocols decoding Traffic Shaping 10Gbps Fast Path RAM RAM RAM RAM CPU 0 RAM RAM HDD 72 Gig Network Processing ASIC Front-end network processing offloads Hardware accelerated Hashing and Scheduling 10Gbps Control Plane Data Plane CPU 7 . . Policy PCRE Traffic Shaping CPU 1 CPU 2 RAM RAM CPU 3 Packet header checking Signature Match Session Mgmt. HW Hash Scheduling 48G Switch Fabric Dedicated Control Plane Highly available mgmt High speed logging updates Analysis and reports 未来发展 40G~100G 10G 10G 10G 通用并行计算方法研究 更大规模FPGA 的应用 设备内高性能负载均衡 跨物理设备的性能聚合 应用带来的挑战 高性能与集成化 虚拟化与强组网 生产分区 物理资源 办公分区 Internet分区 虚拟化分区 在一套物理资源上，采用虚拟化分区方法为多个业务系统虚拟出隔离的IT环境 虚拟化分区具有独立的逻辑资源：带宽、计算、策略数、管理员、QoS 数据中心 广域网 数据中心 广域网 数据中心