数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16
-
Upload
jeremy-good -
Category
Documents
-
view
221 -
download
0
description
Transcript of 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16
![Page 1: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/1.jpg)
www.hillstonenet.com.cn1 www.hillstonenet.com.cn
数据中心的演化和安全挑战
蒋东毅研发副总裁,山石网络
2014/5/16
![Page 2: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/2.jpg)
www.hillstonenet.com.cn2
议程1
2
3
数据中心的演化
当前数据中心网络的局限性
灵活弹性的云化数据中心设计
4云化数据中心带来的安全挑战
5山石 vEFA 全并行架构的解决方案
6山石下一代智能防火墙
![Page 3: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/3.jpg)
www.hillstonenet.com.cn3
大型主机 C/S 架构 多层分布式架构 SOA 架构 大数据的应用
数据中心的演进
应用系统架构的演进 服务器平台的演进 基础网络架构的演进 运营模式的演进
CPU 性能越来越高,体积越来越小,密集度增高
虚拟化技术的引入,逻辑和物理机的分离
服务器虚拟化 存储虚拟化 网络虚拟化
复杂性增加 共享、按需、动
态的模式 自动化部署,敏
捷性 一体化运营
ISB
ESB
DW
Portal
![Page 4: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/4.jpg)
www.hillstonenet.com.cn4
目前数据中心网络三层架构:接入、汇聚、核心
![Page 5: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/5.jpg)
www.hillstonenet.com.cn5
当前数据中心的流量
南北向流量 : 进出数据中心的流量东西向流量 : 数据中心内部的流量东西向流量是南北向流量的数十倍以上
![Page 6: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/6.jpg)
www.hillstonenet.com.cn6
网络隔离和安全• 二层使用 VLAN 实现隔离• 三层使用 VRF 实现隔离• 三层到三层的安全由部署在汇聚和核心的防火墙提供
![Page 7: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/7.jpg)
www.hillstonenet.com.cn7
当前数据中心网络设计的局限性
这种设计不能满足基于资源池的云化数据中心的需求,实现动态、灵活的资源
池配置,满足业务敏捷性要求 :
• 性能的扩展能力有限 – 三层网络架构设计更利于南北向流量,但并不适用于越来越占据主导地位的东西向流量
– 数量巨大的虚拟机( VM) 网络端口( vNIC ),导致网络设备 MAC 激增引起网络风暴
• 效率低下– 物理链路使用生成树协议 (STP) 转发数据,导致链路利用率低下
• 虚拟机迁移受限– 网络扁平化受限于 4K VLAN 数量,无法实现规模化
– 大量独立的交换和路由设备,增加了操作和维护的复杂性 .
![Page 8: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/8.jpg)
www.hillstonenet.com.cn8
云化数据中心设计CISCO FabricPath and DFA• L2 、 L3 (二、三层网)的边界消失 , 网络扁平化• L2 、 L3 的标记都将终结( terminate )在接入层边界,基于 MAC/IP 的寻址变为
基于交换机 ID 的传输• 数据包在接入交换机内封装了新的包头,植入目的交换机的 ID 并转发• 目的交换机收到报文后,基于目的 MAC/IP 完成最后一跳
![Page 9: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/9.jpg)
www.hillstonenet.com.cn9
云化数据中心设计Juniper QFabric• 数据中心大量的交换 / 路由等物理设备收敛到一个单一的巨型逻辑设备• 控制平面 : Qfabric 控制器• 数据平面交换矩阵 : Qfabric 内部互联• 数据平面接口模块 : Qfabric 接入节点• 支持 1600万 L2 network
![Page 10: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/10.jpg)
www.hillstonenet.com.cn10
云化数据中心设计VMware NSX• 构建在叠加网络 (Overlay Network) 技术之上 , 如 VxLAN, NVGRE 等 .• 数据中心交换矩阵静态配置,通过 IP 单播和多播提供物理机 IP 到 IP 的链接• 在 Hypervisor 内部的 Edge 决定下一跳并且将数据包被封装在 VxLAN隧道里转发• VxLAN 隧道最终节点 (VTEP) 网关桥接叠加网络和物理网络
![Page 11: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/11.jpg)
www.hillstonenet.com.cn11
三家供应商方案的利与弊CISCO FabricPath/DFA
• 保护现有的客户投资 , 但是• 破坏了分层网络结构所带来的优势
Juniper QFabric• 保留了分层网络设计的优势• 需要建设全新的数据
Mware NSX• 静态的数据中心交换矩阵配置 , 当网络中的
一个子网拓扑结构变化时,基本不需对交换矩阵重新配置
• 从管理的角度看,由于 VTEP(s) 数量巨大,管理的可扩展性存在问题
![Page 12: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/12.jpg)
www.hillstonenet.com.cn12
云化数据中心的安全挑战
网络的物理边界消失• 由于网络和资源全虚拟化和分布化,网络与资源的物理边界消失,使安全和服务部
署十分困难
效率和性能• 如果设计不合理,网络的流量可能在实际网络上多次往返,造成倍增的延时和流量 浪费
动态和灵活性• 虚拟机迁移要求动态感知的安全服务• 持续不断的据中心变化要求安全服务动态调整,以提供对用户 SLA 的保证
管理复杂• 随着租户的增长和资源的增加,数据中心管理本身就是复杂的事情,安全更加增加
了这个复杂性
![Page 13: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/13.jpg)
www.hillstonenet.com.cn13
当前的方案和局限性高性能硬件安全设备
南北向流量• 数据中心网关位
置 东西向流量
• 单臂部署• 租户 VM 流量转
发到设备
弹性受硬件设备限制 数据中心的网络瓶颈,延时加大
虚拟化软件安全设备
同时服务于南北向和东西向流量
VM级设备服务于单用户
计算资源浪费 动态流量处理性能低
下 多设备管理复杂
In-Hypervisor 安全设备
虚拟操作系统厂商在Hypervisor 层安全模块
因为 Hypervisor稳定性要求,功能简单
![Page 14: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/14.jpg)
www.hillstonenet.com.cn14
山石分布式安全架构硬件基于分布式、弹性安全服务 (EFA) 架构
SCM
Switch Fabric
IOM IOM IOM
SCM SSM SSM SSM
Interface Interface Interface
HillStone X7180 360G FW
要点 :• 建立在全分布式防火墙架构的专利技术之上• 性能和容量能够随着 CPU 的数量增加而线性增长• 规模可以从数十到数百个 CPU
![Page 15: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/15.jpg)
www.hillstonenet.com.cn15
虚拟分布式、弹性安全架构 (vEFA)
• 扩展已有的分布式架构到云安全解决方案• 完全可扩展的分布式体系架构• 利用云中计算与网络资源的全软件解决方案,无任何专用硬件• 管理简单,人机交互与单一设备管理完全相同• 基于 VSYS (虚拟安全系统)对每个租户提供安全服务
Cloud Orchestration
Cloud Orchestration
![Page 16: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/16.jpg)
www.hillstonenet.com.cn16
vEFA 重朔数据中心的安全边界
• vEFA 不但重朔数据中心安全边界
• 而且将边界推向服务器边缘
• 数据中心安全边界随虚拟化而消失
![Page 17: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/17.jpg)
www.hillstonenet.com.cn17
vEFA 的优势
高度动态和灵活性
不需要硬件设备 天然适应云化数据中
心架构 随系统的规模扩展而
增加支付 为新的租户增加虚拟
系统扩展安全
管理简单且灵活
单一的虚拟安全设备负责整个数据中心的安全服务
虚拟机迁移无需更改安全策略配置
高性能和可伸缩性
按需弹性增加或减少 vIOM 和 vSSM
vIOM 接近租户的虚拟机节省带宽
高可扩展的吞吐量 :容易扩展到 1Tbps
低延时: vIOM/vSSM 独占 CPU ,避免 VM切换延时
VM VM VM
VEB
VM VM VM
VEB
VM VM VM
VEB
VM VM VM
VEB
TOR TOR
![Page 18: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/18.jpg)
www.hillstonenet.com.cn18
智能化、下一代网络安全解决方案
FirewallUTM NGFW
Intelligent NGFWFirewall
山石网络是 iNGFW 的原创者、领导者
Gartner “Enterprise Network Firewalls Magic Quadrant”
![Page 19: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/19.jpg)
www.hillstonenet.com.cn19
山石全面网络安全架构 : 智能防火墙
主机服务器网络行为建模 ,预测和异常分
析NGFW/
WAF/AD 检测 ,阻挡
全周期检测 : 大数据 Malware
检测
证据收集
管理员智能
异常及威胁确认
样本上传学习,动态策略加载
大数据分析 , 云计算 , 云沙箱
知识库
![Page 20: 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16](https://reader034.fdocuments.net/reader034/viewer/2022050620/5681309c550346895d9683d8/html5/thumbnails/20.jpg)
www.hillstonenet.com.cn20
www.hillstonenet.com.cn如有问题,请联系我们服务热线: 400-828-6655
www.hillstonenet.com.cn
非常感谢!