迪普云安全解决方案DP+xCloud解决方案主打胶片20130827
DP xCloud 云数据中心方案
DP xCloud 云数据中心方案发布时间:2014-11-01 08:41:00 来源:it168网站作者:佚名关键字:DP xCloud 解决方案云数据中心一、云数据中心的演进随着业务的逐步集中和整合,承载业务的数据中心已经成为信息化建设的核心,传统的数据中心正在纷纷向云数据中心过渡。
从传统数据中心向云数据中心的演进大致会分为两个阶段。
■虚拟化阶段:利用虚拟化技术建设IaaS架构的私有云,将应用从传统的物理服务器迁移至云中,也即将应用的部署从物理服务器改为虚拟主机。
这样可以使应用的部署和迁移时间从几个小时缩短到几分钟,并且显著的提高了服务器的资源利用率,降低运行维护的复杂性和成本。
■弹性扩展阶段:自建私有云意味着刚性的IT投资,在进行资源规划时,如果按照所需的峰值资源来进行规划,则意味着平时的资源闲置,这不符合通过云计算提高资源利用率节约成本的初衷。
因此,自建私有云无法提供应用所需要的弹性。
自建私有云与公有云/行业云中租用资源组建的虚拟私有云结合,形成私有混合云,是未来的趋势。
▲云数据中心的演进二、云数据中心需求要点云数据中心的需求要点有如下三点:■虚拟化虚拟化给网络和安全带来了前所未有的挑战,虚机与物理主机的解耦合,以及在数据中心的自由迁移,让传统的基于接入交换机物理端口区分应用的方法彻底失效。
这使得所有的网络和安全策略部署失去了最基本的依据。
因此,如何在虚拟化环境下,对不同租户的虚机、同一租户的不同虚机进行识别和隔离成为云数据中心网络需要解决的首要问题。
对此,目前常用的解决方案是利用虚拟化软件自带的vSwitch来实现对虚机的识别和基于VLAN的隔离。
但是虚拟化软件自带的vSwitch特性不丰富,很难与物理网络很好的配合,并且还模糊了主机和网络的边界,无法进行流量监控和安全管理。
因此虚机感知的要点在于通过新的网络协议,将虚拟主机之间的流量牵引至物理交换机,实现虚拟网络到物理网络的映射。
与此同时,虚机在迁移过程中要求应用不能中断,也就是说虚机迁移时虚机的IP地址不能改变,这就使得整个云数据中心要采用二层组网。
信息安全IPS解决方案
入侵防范系统网络安全解决方案1.需求分析1.1权威争论报告指出系统入侵/渗透是目前最大的安全威逼VanDyke Software 组织的一次广泛而具有影响力的调查显示,66% 的公司认为系统渗透是政府、组织和企业所面临的最大威逼。
该项调查还显示,被调查企业所经受的最为严峻的八种威逼分别是:病毒〔占 78%〕、系统渗透〔占 50%〕、DoS (占 40%)、内部人员错误操作〔占 29%〕、电子欺诈〔占 28%〕、数据或网络故障〔占 20%〕以及内部人员的非法访问〔占 16%〕。
图 1 权威调查提醒 2/3 的受访者认为系统渗透/入侵是面临的最大安全威逼1.2现有的安全架构无法应对系统入侵的威逼虽然在被调查的企业中,有 86% 已经部署了防火墙〔狡猾说,相对于时代的进展和今日的大环境,这个数字低得让人无法承受〕,但很明显,防火墙面对很多入侵行为仍旧无计可施。
一般的防火墙设计旨在拒绝那些明显可疑的网络流量〔例如,企业的安全策略完全制止 Telnet 访问,但仍有某些用户试图通过 Telnet 访问某个设备〕,但仍允许某些流量通过〔例如,发送到内部 Web 效劳器的 Web 流量〕。
图 2 现有的 FW 无法识别拦截应用层面攻击问题在于,很多攻击都会尝试利用那些外围防火墙允许通过的协议的漏洞,而且,一旦 Web 效劳器遭到攻击,攻击者会以此为跳板连续对其它内部效劳器发起攻击。
一旦效劳器上被安装了“rootkit”或“后门”,那么黑客们就能够在将来的任何时间里“大摇大摆”地访问这台机器。
一般来说,我们仅将防火墙部署在网络外围。
但很多攻击,无论是全球性攻击还是其它类型的攻击,往往都是从组织内部发起的。
虚拟专用网、便携式计算机以及无线网络都能够接入到内部网络,而且常常会越过防火墙。
入侵检测系统在检测可疑活动时可能很有效,但却不能供给对攻击的防护。
臭名昭著的蠕虫〔例如Slammer 和 Blaster〕都具有惊人的传播速度,当系统发出警报时,蠕虫实际上已经导致了损失,而且正在飞速地向外集中。
迪普科技DPtechDPX8000深度业务交换网关主打胶片XXX
•防漏洞攻•木击马
•负载均衡
•防网页篡改
•非法扫描•应用加速 •…
•带宽滥用
•木马
•防火墙
•VPN
网络层
•ACL
•VoIP •防火墙
•DDoS
•交换
•…
•VPN/NAT •ARP攻击…
网络产品硬件平台 •ASIC+NP
APP-X •多核 + FPGA
Crossbar+ ASIC应用产品硬件平台 •网络接口•X模8块6、ASIC、NP、多核
DPX8000系列深度业务交换网关旨在为大型企业、运营商和数据中心提供业界性能最 高、安全服务最全面、扩展性最强的安全防护
DPX8000-A12
DPX8000-A5
DPX8000-A3
DPX8000 产品全家福
DPX
主控
DPX8000-A12
DPX8000-A5
DPX8000-A3
大主控MPUA
带万兆口大主控MPUA
全面的MPLS •Martini 模式 •Kompella 模式 •VLL / VPLS •快速重路由 •......
0100101010010010101001001000
与网络无缝兼容
业务功能的按需配置、按需扩展
无缝融合高容量2~3层交换与4~7层业务 数据中心:FW、IPS、ADX 园区汇聚:FW、IPS 网络边界:FW、IPS、UAG、ADX
1990
2000
22001005
20210
当前IP网络建设的趋势和挑战(一)
多媒体 数据 ... 外联
业务 业务
业务
应用层
网络层
•趋势:多业务承载和融合网络 •挑战:网络层与应用层割裂
迪普自安全园区网解决方案
楼宇2
DPX8000/DPX17000
楼宇3
策感 略知 同用 步户 下信 发息
......
汇聚层
iNAC
iNAC
LSW安全接入交换机
AP
LSW安全接入交换机
AP
LSW安全接入交换机
AP
......
终端接入层
四个步骤完成自安全网络演进
互联网
防火墙
防病毒
行为审计 DDoS防护 其它安全设备
网管平台
策感 略知 同用 步户 下信 发息
迪普科技自安全园区网解决方案
内网安全问题越来越受到重视
非法访问
病毒扩散
内网
……
财务
人力
研发
市场
……
网络攻击
内网威胁具有易进入、传播快、危害大等特点
2017年爆发的WannaCry勒索病毒进入内网后即可通过445端口传播
在内网传播速度极快 对内网造成了极大破坏
传统内网防护手段面临的挑战
Internet
通过管理平台将全网策略自动同步
全网溯源 安全可见
用户信息感知和全网回溯
管理平台
用户 账号 访问权限
一卡通系统 教学资源区 网上选课系统
接入点
教学楼7层A区
访问目的
教学资源区 一卡通系统 教务管理区
时间
07:58 14:37 19:03
异常行为
无 无 越权访问 是否阻断:是 否
小明
Xiaoming
溯能力,真正实现了“网随人动,安全无忧”
让网络更简单、智能、安全
杭州迪普科技股份有限公司
肉鸡检测
打印机防护
物联终端防护
ARP攻击防护
DP xFabric 迪普的变革
DP xFabric 迪普的变革作者:暂无来源:《计算机世界》 2014年第20期DPxFabric解决方案架构是迪普科技“应用即网络”技术理念的进一步落实,也是其新面貌的有力诠释。
本报记者甘露2013 年夏天,杭州迪普科技有限公司推出新一代云级业务核心平台DPX19000。
当时业界有些惊诧,因为这似乎超出了迪普的业务范畴。
现在,迪普又拿出新一轮“杀手锏”——DPxFabric解决方案架构,实现了从设备厂商向整体解决方案厂商的跨越。
经过6 年的高速成长,迪普已然变身了。
“这是顺应行业变化趋势的选择。
”迪普科技CEO王冰说:“现如今,用户对IT承载网络的期望早已不仅仅局限于互联互通,而是需要一张可以感知业务和应用,可管、可控的智能网络。
如何让网络能够“理解”应用,更加高效、安全、可靠的把应用交付给用户,成为新时代智能网络的变革主题。
“此时,迪普就是秉持“让网络变得简单、智能、可靠”的企业愿景,并根据多年践行提出“应用即网络”的技术理念,将安全、应用交付等应用层功能与网络深度融合,让网络天然地满足应用对于安全与效率的需求。
正是依附于这样的理念,迪普科技开发了业内第一个真正意义上的L2~7 融合操作系统ConPlat,以及高性能硬件架构APP-X、应用识别与威胁特征库APP-ID等核心技术。
而DPxFabric解决方案架构也是迪普科技“应用即网络”技术理念的进一步落实。
可以说,DPxFabric解决方案架构的核心实力是VSM虚拟交换矩阵、VEM虚拟扩展矩阵、OVC操作系统级虚拟化、紧耦合和流定义等多种创新技术的结合,不仅解决了传统IT网络、安全及应用交付系统建设模式中业务与网络割裂等种种弊端,也带来了全新的“智能网络”体验,并将应用支持能力从单设备扩展到整网。
迪普科技市场部副总裁康亮表示:“当前网络建设模式开始从分系统建设的传统模式向多系统共享的云网模式转变,DPxFabric解决方案架构充分考虑了这些需求,以安全为核心重筑网络,致力为更多客户创造更高的价值。
让网络变得简单、智能、可靠——迪普科技推出DP xFabric解决方案架构
让网络变得简单、智能、可靠——迪普科技推出DP xFabric
解决方案架构
龚略
【期刊名称】《数字通信世界》
【年(卷),期】2014(0)6
【摘要】5月28日,迪普科技在北京推出DP xFabric解决方案架构,该架构是迪普科技数年来技术积累的成果,也是迪普科技"应用即网络"技术理念的进一步落实。
"智能网络"趋势不可逆转信息技术日新月异,传统IT承载平台在云计算、大数据、移动互联网、物联网等新兴技术的驱动下酝酿转型,带来了新一轮的机遇和挑战。
如今,用户对IT承载网络的期望早已不仅仅局限于互联互通,而是需要一张可以感知业务和应用,可管。
【总页数】1页(P71-71)
【关键词】迪普;DP;xFabric;新兴技术;互联互通;物联网;承载平台;信息技术;技术积累;技术理念;交换矩阵
【作者】龚略
【作者单位】
【正文语种】中文
【中图分类】TP393.09
【相关文献】
1.监控因此变得简单H3C推出iVS IP监控解决方案 [J], 张小刚
2.中国电子37亿战略入股奇安信/C3安全峰会:预建未来、构建安全数字世界/迪普科技:让网络更简单、智能、安全 [J],
3.凌华科技推出AdvancedTCA新品aTCA-8505五槽机箱系列体积小散热快针对高性能网络安全架构及电信设备解决方案设计 [J],
4.顺应智能网络发展潮流迪普科技推出DP xFabric解决方案架构 [J],
5.迪普科技推出云安全解决方案 [J], 文竹
因版权原因,仅展示原文概要,查看原文内容请购买。
迪普安全产品线主打胶片
FW1000-TM-E
国家发改委
国家环保部
FW1000-TS-E
FW1000-GE-N FW1000-GA-N FW1000-GA-E FW1000-GM-N
中国银行 中国邮政
FW1000-GS-N FW1000-GC-N FW1000-ME-N FW1000-MA-N FW1000-MS-N
• 中国联通集采,防火墙中标50%份额,中国移动防火墙集采全线入围 • 中国银行三家安全产品供应商之一,全面应用于中行总行及全国十余家省行 • 国家电网变电二次装置协议库存采购,防火墙连续三年份额保持第一份额,IDS
中标份额超过40% • 国家电网信息协议库存货物招标,防火墙、IPS连续两年全线中标 • 南方电网二次安全防护防火墙招标,中标份额超过50%
教育行 业解决 方案
医疗行 业解决 方案
……
OVC虚拟化
紧耦合与流定义
L2~7虚拟化 全网融合
N:1虚拟化
产品技术体系
纵向虚拟化
1:M虚拟化 安全、应用交付与网络融合
APP-X
ConPlat
APP-ID
迪普安全产品线主打胶片
产品技术创新
L2~7融合操作系统ConPlat、高性能硬件架构APP-X、应用识别与威胁特征库APP-ID使得迪普 科技的产品在具有丰富网络特性的同时,天然识别和支持应用,全面满足应用对安全及效率的 需求
迪普安全产品线主打胶片
专业安全研究及服务能力
• 具备公安部、保密局、解放军、国家测评中心、国家认证中心等国内安全资质 • 当前国内最高的信息安全服务二级资质 • 经验丰富的服务成员,持有包括CISSP、ISO27001实施专家、ISO20000、CISP 、
迪普科技公安视频专网IPC准入控制解决方案
1)建立网络地址准入数据库:提取各接入IPC摄像头的IP地址,建立IP地址准入白名单;2)只允许授权IP地址认证通过授权准入的IPC摄像头,当数据流到达认证网关后,如果数据包中的IP地址在准入白名单中,则认为数据为合法视频流,反之则为非法数据流并丢弃。
应用层协议控制
1)通过L4~7协议特征与动态端口号控制流量开启应用感知功能,识别传输数据的L4-7层协议特征与动态端口号,只允许授权的数据流及控制信令进入视频监控系统,禁止其他非法数据接入。2)实现与主流监控厂家平台的对接及联动:应用感知协议库已经包含海康、大华、宇视等主流厂家IPC端发起的协议类型,包含IPC注册、视频流、音频流、服务、告警日志等公有及私有协议。
公安交警视频专网IPC准入控制解决方案
杭州迪普科技股份有限公司
视频专网安全问题分析
视频监控安全问题频发
视频监控安全建设刻不容缓
《意见》要求建立公共安全视频监控系统联网应用的分层安全体系,实现重要视频图像信息不失控,敏感视频图像信息不泄露,加强网络安全传输、严格准入机制等技术手段建设,提升视频监控系统安全防护能力。
视频安全可视化平台
异构监控系统资产统一监测,设备上线、离线、非法私接等实时告警
DAC设备统一配置
策略模板配置
选择DAC进行策略下发
无需登录到每台DAC上进行配置,安全策略由UMC基于配置模板统一下发
平台分级管理
实现省厅、地市、区县公安分级分权限管理,如市公安管全使,区公安管本区
专业的安全评估及服务
DPX8000
DAC-Blade-A
DAC-Blade
LSW工业交换机
LSW商用交换机
案例分享—杭州市交警视频专网
该市交警支队的视频专网需要承载实时监控、实时指挥等业务的关键流量,迪普科技DAC设备在汇聚层双机冗余部署,对前端数千路高清摄像头进行L2~7准入认证及控制,为用户建设了一张安全、合规、可靠的监控专用网络。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
通过跨设备链路聚合实现大二层 适合10000台以下的服务器接入
改造二层控制协议实现等价多路径 适合10000台以上的服务器接入
7
迪普科技VSM多合一虚拟化技术
路径优化:虚机迁移时的路径优化。
的同时,可实现快速故障切换。
广域网
VE-DCI 数据中心A
全局负载均衡 本地负载均衡 全局负载均衡 本地负载均衡
数据中心B
LAN扩展网络
SAN扩展网络
18
方案设计:云数据中心出口设计
ISP-1
防火墙
ISP-2
ISP-3
链路带宽优化
VSM(Virtual Switching Matrix,虚拟交换机矩阵)
是一种控制平面虚拟化技术,可将多个机框虚拟成为一个。
业务平面
VSM虚拟化
控制平面
主引擎
备引擎
转发平面
8
虚拟化组网:Inter-DC大二层组网
二层互联方案
1 2
裸光纤 二层VPN(VLL/VPLS) MAC in IP/UDP 广域网
用户 1 2 3
本地负载均衡配置对外地址,接受客户请求
1. 2. 应用迁移前,用户直接访问DC-A 应用迁移后,用户原连接依然通过 DC-A访问 GLB发布新地址,用户的新建连接直 接访问DC-B
广域网
VE-DCI
数据中心A
全局负载均衡
3.
全局负载均衡
数据中心B
本地负载均衡
本地负载均衡
运营业务区
网络运维区
普通业务资源池
VIP业务资源池
托管业务区
14
安全体系架构:租户安全防护
租户安全策略:租户可自行定义和部署自己的安全策略
− 通过虚拟化技术,为租户提供虚拟业务设备(VSA)。租户通过VSA部署自己的安全 策略。所提供的业务能力包括防火墙、IPS、流量控制、审计以及应用交付等。 − VSA可同时作为虚拟路由网关使用 增值安全业务:提供流量清洗、WAF、漏洞扫描等
IPS
根据租户需要,灵活分配出口链路 带宽
流量控制 VSM
链路资源优化
出口智能选路,降低访问延迟,提 升用户体验
链路负载均衡
智能安全接入
依据不同用户采用不同的接入和访 问控制策略
全局负载均衡
智能攻击防范
针对各种攻击进行防范,可识别隧 道内的攻击
19
欢迎访问公司网站:
异常流量清洗
异常流量监测
WAF群集
漏洞扫描群集
15
安全体系架构:业务资源池
迪普科技N:M虚拟化技术,可以将多个业务设备/板卡资源整合,并在此基础上按需 建立VSA,从而建立业务资源池。
Resource Pool
VSA VSA VSA VSA VSA VSA VSA VSA VSA VSA VSA VSA VSA VSA VSA VSA VSA VSA VSA VSA VSA VSA VSA VSA
只有得到虚拟化软件支持,以上才会实现!
5
基于现有虚拟化软件能力的虚机感知
基于虚拟交换机的VLAN/PVLAN特性对虚机加以区分并将流量引入物理交换机 将虚机配置在不同的Secondary VLAN中,实现虚机隔离。 同一租户的虚机放置在同一个Primary VLAN之中。 在物理交换机上启用ARP Proxy,实现同一Primary VLAN内的虚机互访。
11
多租户环境:虚拟租户网
租户管理自己的虚机的同时,也存在管理虚机间逻辑网络的需求,不同租户自定义的网络可能
存在地址重叠。
不同租户部署在不同的VPN之中 不同业务都部署在不同VLAN中 不同的业务之间通过虚拟网关进行互通
租户1 VPN 1 VLAN101 VLAN102
云数据中心
VPN 2 VLAN201
租户2
VLAN202
192.168.111.0/24
192.168.112.0/24
192.168.111.0/24
192.168.112.0/24
பைடு நூலகம்
12
多租户环境:租户间隔离与互通
通过VLAN/VRF实现虚拟租户网,区分和隔离不同的租户
租户间互访需要通过安全设备进行控制
业务网关
Control Plane Services Services Services
Forwarding Plane APP-X
Forwarding Plane APP-X
Forwarding Plane APP-X
Forwarding Plane APP-X
16
方案设计:单数据中心设计
设计要点 虚机感知:支持业界标准的同时,可实 现现有条件下的虚机流量牵引。 方案优势 可实施:方案设计充分考虑了目前的技 术现状,具有良好的可实施性。
租户隔离:为租户建立虚拟租户网,并
实现租户间隔离。 安全虚拟化:建立安全资源池,为租户 提供可自定义的安全防护。
应用可快速迁移 资源利用率高 整体具有弹性
1
云数据中心的建设目标与需求要点
租户单位
向租户提供资源弹性
虚拟私 有云
租户单位 私有
DC
广域网 公有云
虚拟私 有云
租户单位
虚拟私 有云
需求要点: 1、虚拟化
› › 虚机的感知与隔离 虚机迁移与大二层组网
2、多租户
FW IPS UAG ADX
简化管理:一体化方案设计,能做到在
一个界面下完成全部配置管理工作。 灵活可靠:虚拟化技术保证组网灵活的 同时,确保网络的可靠性。
FW IPS UAG ADX
17
方案设计:双活云数据中心设计
设计要点 VE-DCI:跨广域的二层互联、双主模式 实现网关分离。 方案优势 互通性好:确保与第三方设备的互通性 高可靠性:双主模式保证本地网关转发
物理交换机
ARP Proxy
VLAN 11 VLAN 10
VLAN 20
租户1 Secondary VLAN Primary VLAN 10,11 101
租户2 20,21 102
VLAN 21
VLAN 101 VLAN 102
6
虚拟化组网: Intra-DC大二层组网
› › 租户的虚拟网络环境 租户应用间隔离与互通
3、安全防护与等保合规
› › 云DC基础架构安全 租户自身安全防护
2
云数据中心框架
VSA VSA VSA
VSA VSA VSA
虚拟化
核心 网络安全 FC/FCoE/Ethernet Swtich Acess Swtich Acess Swtich 核心 应用交付
跨数据中心的二层互联
虚机无缝跨数据中心迁移
通过任播技术实现三层网关的 优选和自动切换
广域网
VE-DCI
数据中心A
本地网关 本地网关
数据中心B
10
虚拟化组网:Inter-DC大二层组网
通过全局/本地负载均衡技术实现虚机迁移中的路径优化
全局负载均衡发布迁移信息
802.1Qbg
(VEPA)
解决方案的思路
将虚机间的流量通过标签加 以区分,再通过物理交换机 进行交换从而实现虚机感知 802.1Qbg采用QinQ的变 体,使用VLAN标签 802.1BR定义了新的标签
V.S.
物理交换机
802.1Qbh 802.1BR
VN-LINK VN-TAG
可感知物理服务器 无法感知虚拟机
DP xCloud解决方案
——迪普科技云数据中心解决方案
部门:产品行销部 日期:2013年7月 密级:内部公开
云数据中心的演进
传统数据中心 私有云 私有混合云
公有云 私有云
应用1
应用2
应用n
虚拟化
应用1 应用2 应用n
获取弹性
私有云 私有云
应用部署时间长 资源利用率低 缺乏灵活与弹性
应用可快速部署 资源利用率较高 整体缺乏弹性
跨租户访问控制
租户隔离(VRF)
VRF VRF VRF
同一租户业务隔离 (VLAN)
虚机感知与隔离
13
安全体系架构:基础架构安全
各个安全域边界部署多业务安全网关,安全策略统一部署,构建基础架构的安全核心。
广域网
安全核心
FW IPS UAG FW IPS UAG
VE-DCI
3
LAN扩展网络
1、裸光纤
› › 性能高、组网简单 成本高、距离受限
2、二层VPN
› › 技术成熟、互通性好 复杂、未考虑广播问题
3、MAC in IP/UDP
› › 简单、解决广播问题 技术不成熟、不互通
9
迪普科技VE-DCI技术
VE-DCI:Virtual Ethernet – Data Center Interconnect
存储系统
Server Farm
网管中心
3
云数据中心安全网络架构设计
虚拟化组网 多租户环境 安全体系架构
虚机感知
大二层组网
虚拟租户网
租户间隔离 广域网
基础架构安全
租户安全防护
4
虚拟化组网:虚机感知
N:M Virtualization
业务网关
Control Plane Services Services Services