新环境下安全基础架构研究.pptx

2009年7月10日……新环境下安全基础架构研究杭州迪普科技有限公司　孙晓明2012年7月新环境计算廉价硬件Scale-Out各种虚拟化去IOE？SaaSPaaS存储廉价硬件Scale-Out失效成为常态IaaS通信大二层SDN变与不变尽管云计算为数据中心带来了巨大的变化，但是依托于数据中心的应用本身并没有发生变化，因此应用对安全、可用以及加速的需求并没有改变。运维方式改变安全应用建设方式可用V.S.基础架构加速不变建设运维模式的转变传统建设与运维方法云计算的建设与运维方法新业务需求资源规划新业务需求设备选型采购标准设备采购资源申请系统建设资源池众多异构的纵向业务系统各自独立运维统一架构的资源池统一系统运维，独立业务运维基础架构的改变云云计算的制高点，数据中心为核心端管PC、手机、平板……传感器？！广域网为核心、局域网辅助新的网络基础架构数据中心：网络融合ECMP（大二层/大三层）虚拟机感知1-Tier/SDN广域网：SDNQoS与流量工程MPLS（L2/L3）园区网：有线无线一体化可控的灵活接入园区1主DC广域网分支机构分支机构分支机构Internet园区2备DC新架构的核心思想通过虚拟化，实现资源化，进行动态调度！新架构下的安全——成为云的一部分优化策略流SQL中间件WWW安全策略流APP3APP2APP5APP1APP4FW池IPS池流控池审计池AV池 抗DoS加速池LB池……计算资源池存储资源池能力资源池思路：基于分布式网关的L4~7策略流每个应用一个网关，每个网关引导对应应用所需的策略流。例如，以虚拟防火墙形成分布式网关，通过自定义网络流量的流向，将不同的安全与应用交付功能加以组合，从而形成策略流。大二层以太网FCoE安全安全安全APP1APP3APP2可用可用可用APP-1加速加速加速APP-2APP-3前提：高性能与集成化达到与网络相匹配的性能，单板40G以上的处理能力丰富的网络特性，可与网络无缝集成多安全功能集成，降低部署难度集成交换接口的业务模块FW/VPN IPS AV URL过滤 垃圾邮件 行为审计负载均衡Multi 10GbpsMulti 10GbpsMulti 10Gbps网络协议网络协议前提：N:M虚拟化建立资源池能力资源池…虚拟高性能设备1:M的一分多虚拟化物理设备N:1的多合一虚拟化迪普的实践应用即网络（Application As Network）的技术演进路线。网络化阶段虚拟化阶段能力云阶段实现集成网络的安全与应用交付，不成为网络瓶颈。实现安全与应用交付的全面虚拟化，颗粒化资源。实现虚拟化能力池的动态调度，为应用提供云化服务。......App-1......App-2......InternetApp-3一分多：面向业务定制40~100G......App-4......App-5多合一：物理设备性能聚合Group-1Group-2Group-N512MB缓存512MB缓存512MB缓存512MB缓存内存内存512MB缓存512MB缓存主控板主控板处理器处理器高性能的实现：全新硬件架构整机Crossbar架构交换容量最大可达1.4TL4～7分布式转发业务板采用“多核+FPGA”专用网络多核处理器多线程并行处理软件硬件化背板业务线卡集成化的实践：丰富的网络特性L3/L2 特性IPv4/IPv6双栈和隧道技术丰富的ACL特性RIPng、OSPFv3、IGMPv3/PIM SSMMSTP、RSTP生成树协议LACP链路聚合控制协议......全面的MPLSMartini 模式Kompella 模式VLL / VPLS快速重路由......0100101010010010101001001000与网络无缝兼容集成化的实践：多插卡的功能集成FW1000-BladeIPS2000-BladeUAG3000-BladeFW1000-Blade-EIPS2000-Blade-EUAG3000-Blade-EADX3000-BladeProbe3000-Blade-ESSL VPN-BladeADX3000-Blade-AGuard3000-Blade-EnFlow-Blade虚拟化的实践：N：M虚拟化......App-1......App-21:M......App-3......App-4......App-5Group-1Group-2Group-N跨机框虚拟化跨板卡虚拟化典型应用—中国电信云计算城域网CN2出口路由器出口路由器DPtech防火墙DPtech防火墙DPtech防火墙DPtech防火墙汇聚交换机汇聚交换机服务器群上海节点四川节点凭借高性能、N:M虚拟化、高可靠等领先技术， DPtech 云安全防火墙成功应用于中国电信云计算三大节点中的上海节点、四川节点电信其它部分客户：上海电信