Crossbeam_增值安全服务解决方案参考.ppt

IDC用户的安全需求 IDC业务特征 -开放性：直接面向客户 -多样性：网络形态多样，客户层次多样 -不可控：非信任模型，用户行为不可控 -扩展性：不断扩充新业务 易遭受黑客攻击和病毒威胁 易遭受由恶意竞争引起的攻击 IDC用户所需的安全应用 防火墙 - 通过安全策略，只允许用户访问开放的服务端口 入侵检测和防护 - 防止黑客利用开放的服务端口发起攻击 - 防止蠕虫病毒的传播 防病毒/防间谍软件 - 阻止病毒文件和间谍软件的上传和下载 增值安全服务面临的问题 如何实现设备共享，降低设备开支 如何降低管理开支，集中管理 不影响现网用户 如何保证系统的高可用性/高可靠性 如何实现全面的安全防护 未来如何扩展（性能/功能/端口） 结构复杂 非冗余架构 无法实现分级服务，所有用户只能定制相同的安全服务 安全效率低，所有数据流必须通过所有安全设备 难以扩展 结构更加复杂 无法实现分级服务 安全效率低 难以扩展 Crossbeam X 系列产品简介 Crossbeam X系列运营商级安全平台 网络处理模块 NPM 数据流的调度者 基于NP+FPGA：网络处理器+可编程逻辑门阵列 高速数据包分类及分发及智能数据流处理 根据源/目的地址、端口、协议、VLAN等调度数据流 在同一安全应用组内实现负载均衡 以串行或并行方式在多种安全应用之间进行数据流调度 支持各种常用网络交换设备的功能 多链路聚合 (IEEE 802.3ad LACP) VLAN：802.1Q 支持常见路由功能：RIP/OSPF/BGP/PIM等 网络接口 NPM2：8个千兆端口或16个百兆端口 NPM6：10个千兆端口＋2个10G端口 支持RJ-45、多模光纤、单模光纤等接口类型 可扩展性：每个Crossbeam X系列设备机架可安装1-4块NPM 应用处理模块APM 安全应用的执行者 每块APM是一个独立的子系统，均有独立CPU、独立总线、独立存储等 多块APM运行一种应用，实现性能的线性增长（负载均衡） 虚拟应用处理器：实现板卡与应用之间的独立 APM模块热插拔：热插拔不需要重新配置，配置将自动灌入。 支持N+1备份功能，备份模块不需要license 性能 单模块最高8Gbps的防火墙吞吐量 控制处理模块CPM 设备的管理者 所有设备部件的监控：包括硬件、应用进程等，其CPU、内存等状态的监控 HA Monitoring and failover 实时轮询APM的负载状况，使NPM实现动态负载均衡 设备的集中控制管理点 带外管理 安全引擎均预装在CPM上 专用带外管理端口 专用日志端口 (千兆) 专用HA端口 (for dual-box HA) 管理与业务的分离 CPM的故障仅会影响设备的管理，对当前承载的安全应用没有影响 业界最佳安全应用的整合 Crossbeam 增值安全解决方案 Crossbeam解决方案的扩展性 Crossbeam X系列设备具有非常好的可扩展性，包括性能、安全功能及端口密度等均可随着需求灵活扩展 安全应用的扩展：通过增加APM板卡和相应安全应用许可证的方式实现功能的扩展。（Sourcefire/Trend Micro /Websense等） 性能的扩展：通过在原有安全应用组中增加新的APM板卡实现性能线性扩展 端口扩展：通过增加NPM板卡实现端口扩展 未来的扩展：Crossbeam未来新研发出的模块仍可安装在现有X设备机架内，可简单的提升现有设备的性能、端口密度、功能等到新的高度。 Crossbeam X系列的性能扩展 通过NPM/CPM自然实现 CPM监控每个APM的健康及负载状况，并将信息及时通知NPM，NPM根据这些信息自动调整流量分配 与APM运行的安全应用无关，即使该应用本身不支持负载均衡。 防火墙、AV、内网安全、邮件安全、IDS/IPS等均可实现负载均衡 性能线性扩展/成本更低/网络结构更简单 Crossbeam方案的高可靠性高可用性 专用性 专用硬件平台：NP+FPGA 专用操作系统：XOS，智能实时数据流调度系统 设备级高可靠性高可用性 无源背板总线 全冗余设计 电源/NPM/APM/CPM/网络端口，均可冗余。 设备无单一故障点 所有板卡可热插拔 99.9999%高可靠性 SBHA – 单机高可用性 SBHA：Single Box High Availability 冗余数据交换(多NPM) 冗余控制管理(双CPM) 冗余网络处理器（网络端口-端口备份） 冗余安全应用处理模块(1-10个APM) 模块的N+1备份 冗余电源（可提供4个独立电源） 单机HA – 端口冗余和CPM冗余 CPM 高可靠性/高可用性 CPM 工作于Active/Standby模式 当活动的CPM