ott防火墙应用场景介绍.pptx

WEB2.0VIRTUALTEAM技术交流——ott防火墙应用场景介绍OliverXu许锋

OliverTechTalk@OTTFirewall安全互联网公司奇虎360数据中心无防火墙防火墙是企业IT数据中心的核心（内控）防火墙是OTT业务数据中心“天敌”当然不能否认的是……IT配套/特殊类型业务需求还是不少的 当然销售的能量是无穷的…….

速度决定一切，时间就是金钱

HowMuchPerformanceMattersintheCloud47%期望在网页中以两秒钟或更少加载40%如果花费超过三秒钟加载将放弃网页14%如果页面加载缓慢将到不同的网站开始购物，23％将停止购物，甚至離開自己的计算机64%不满意者下次会去别的地方购物52%快速页面加载增加消費者对一个网站的重要的忠诚度Source:Akamaireport2009

时延对OTT业务的影响2secondsslowerresultedina4.3%dropinrevenue/user1500msdelaycauseda20%dropintraffic.2400msofextraloadtimecauseda5to9%increaseinthenumberofpeoplethatclickedbackbeforethepageevenloaded.3every100msoflatencycostthem1%insales4Source：

阿里巴巴交易系统2-5-8s用户体验法则

OTT领域/面对互联网行业，数据中心流量经过防火墙？安全的最高境界“不可见、不可达网络”流量分离架构模型优于“防火墙”流量核心“防火墙”集中vs系统松耦合“服务器”设计“防火墙”与“用户体验”相违背李大忽悠权威统计：流量经过防火墙至少增加30-200ms转发时延业务数据中心有没有业务安全需求？有!!随着业务越来越开放和战略合作

OTT防火墙可替代的解决方案？OTT防火墙可替代的解决方案安全的最高境界“不可见、不可达网络”内外网隔离的数据中心设计真实服务器隐藏到内网中，通过外网的负载均衡平台服务器来实现流量的访问OTT数据中心基本采用此架构设计,而传统IT架构还采用DMZ等方式无状态防火墙替代有状态防火墙核心交换机设备ACL–路由器ACL?时延增加10-100us服务器LINUXIPTABLE安全防护OTT目前采用的方式腾讯开放平台多合作方业务隔离PVLAN+ACL方式阿里巴巴，奇虎360核心交换机配置ACL进行安全隔离

我的一个设计案例-互联网金融客户客户接受我们的设计理念，客户来自于传统金融领域

反面典型案例-大型电商转型客户错误的选择：IBM咨询-IBMSAP-无处不在防火墙-失败电商

OTT防火墙的销售机会在哪？防火墙的销售机会在哪？当然不能否认的是……IT配套/特殊类型业务需求还是不少的 当然销售的能量是无穷的…….可以违背合理的设计模式

应用场景1:IDC业务专区安全需求例如支付宝，财付通等业务涉及大量的交易数据传输，要求部署防火墙和中间服务器要求即使多个IDC之间数据传输，需要采用IPSEC方式进行传输内网数据中心模块中间服务器群内网核心交换机防火墙内网数据中心模块中间服务器群内网核心交换机防火墙IPSEC加密流量银行等访问流量

应用场景2：IDC业务风险专区安全需求WINDOW平台业务.COM公司的业务并不是全部迁移到linux平台，还是有相当部分业务会部署在windows平台，WINDOW平台安全漏洞和风险高于Linux区域避免对其他区域业务造成影响，避免出现安全风险渗透等，需要对window平台业务区域进行安全加固。防护流量为window区域访问linux区域流量，WINDOW内部不需要防护内网数据中心模块防火墙IDCLinux区IDCLinux区IDCWindows区内网核心交换机

应用场景3：IDC基础架构监管区访问安全需求IDC基础架构监管区每个IDC模块都部署了相应的基础架构监管区对服务器和网络设备进行不同层面的管理和监管，存在大量的功能性服务器需要实时或不定时对数据中心访问同时监管区提供应急外链模块便于特殊情况下维护人员从互联网进行访问内网数据中心模块IDC监管区服务器群IDC业务区IDC服务器群内网核心交换机外网核心交换机IPSEC安全通道

应用场景4：跨城市IDC数据交互安全访问需求面对海量用户和移动互联网扩张场景，.COM公司会考虑在多个城域网部署相应的IDC数据中心存在中等的内部实时数据交互和非实时的海量异地备份数据等，不定时存在数据中心业务在不同IDC模块进行迁移租用