《Crossbeam_增值安全服务解决方案.ppt》由会员分享,可在线阅读,更多相关《Crossbeam_增值安全服务解决方案.ppt(38页珍藏版)》请在三一办公上搜索。
1、Crossbeam增值安全服务解决方案,张玉山,IDC用户的安全需求,IDC业务特征-开放性:直接面向客户-多样性:网络形态多样,客户层次多样-不可控:非信任模型,用户行为不可控-扩展性:不断扩充新业务 易遭受黑客攻击和病毒威胁 易遭受由恶意竞争引起的攻击,IDC用户所需的安全应用,防火墙-通过安全策略,只允许用户访问开放的服务端口入侵检测和防护-防止黑客利用开放的服务端口发起攻击-防止蠕虫病毒的传播防病毒/防间谍软件-阻止病毒文件和间谍软件的上传和下载,增值安全服务面临的问题,如何实现设备共享,降低设备开支如何降低管理开支,集中管理不影响现网用户如何保证系统的高可用性/高可靠性如何实现全面的
2、安全防护未来如何扩展(性能/功能/端口),路由器,网络交换机,安全区域,Internet,防毒墙,IPS,防火墙,传统方式下的增值安全架构,结构复杂非冗余架构无法实现分级服务,所有用户只能定制相同的安全服务安全效率低,所有数据流必须通过所有安全设备难以扩展,路由器,网络交换机,安全区域,Internet,防毒墙,IPS,防火墙,传统方式下的增值安全架构(冗余架构),结构更加复杂无法实现分级服务安全效率低难以扩展,Crossbeam X 系列产品简介,1:N 冗余电源,分离供电,1:1 冗余风扇,1:1 冗余控制处理模块,冗余网络处理模块最多可配4块NPM每个网络端口可定义备份端口,冗余应用处理
3、模块同时运行多种安全应用安全应用负载均衡安全应用N+1备份自愈合自保护技术,Confidential,Crossbeam X系列运营商级安全平台,9,Crossbeam X系列架构,无源背板,全交叉总线NPM是数据流的出入口,负责数据流的分类和调度,APM是安全应用的执行者,每个APM是一个独立的子系统CPM是设备的集中管理点,监控设备所有模块的状态,网络处理模块 NPM,数据流的调度者基于NP+FPGA:网络处理器+可编程逻辑门阵列高速数据包分类及分发及智能数据流处理根据源/目的地址、端口、协议、VLAN等调度数据流在同一安全应用组内实现负载均衡以串行或并行方式在多种安全应用之间进行数据流调
4、度支持各种常用网络交换设备的功能多链路聚合(IEEE 802.3ad LACP)VLAN:802.1Q支持常见路由功能:RIP/OSPF/BGP/PIM等网络接口NPM2:8个千兆端口或16个百兆端口NPM6:10个千兆端口2个10G端口支持RJ-45、多模光纤、单模光纤等接口类型可扩展性:每个Crossbeam X系列设备机架可安装1-4块NPM,应用处理模块APM,安全应用的执行者每块APM是一个独立的子系统,均有独立CPU、独立总线、独立存储等多块APM运行一种应用,实现性能的线性增长(负载均衡)虚拟应用处理器:实现板卡与应用之间的独立APM模块热插拔:热插拔不需要重新配置,配置将自动灌
5、入。支持N+1备份功能,备份模块不需要license性能单模块最高8Gbps的防火墙吞吐量,控制处理模块CPM,设备的管理者所有设备部件的监控:包括硬件、应用进程等,其CPU、内存等状态的监控HA Monitoring and failover实时轮询APM的负载状况,使NPM实现动态负载均衡设备的集中控制管理点带外管理安全引擎均预装在CPM上专用带外管理端口专用日志端口(千兆)专用HA端口(for dual-box HA)管理与业务的分离CPM的故障仅会影响设备的管理,对当前承载的安全应用没有影响,业界最佳安全应用的整合,Crossbeam 提供综合的多层次安全保护,可同时支持的安全应用包括
6、:防火墙/VPN/SSL VPN Check Point 虚拟防火墙 通过 Check Point VSX 提供虚拟防火墙解决方案 IDS/IPSIBM ISS,IDS/IPS市场占有率第一 内容安全:防病毒/防间谍软件/网站过滤 趋势科技/Websense其他安全应用 数据库保护、XML安全等,iBeam!,Crossbeam 增值安全解决方案,接入交换机,核心交换机,核心路由器,X80安全交换机,托管服务器群组,托管服务器群组,Crossbeam 增值安全解决方案,在核心交换机上通过策略路由方式或VLAN透传方式将定制了安全业务的数据流引到X80上未定制安全业务用户的数据流仍然沿原有路径传
7、递原有网络架构不受影响,接入交换机,核心交换机,核心路由器,X80安全交换机,托管服务器群组,托管服务器群组,定制了安全业务用户的数据流向,接入交换机,核心交换机,核心路由器,X80安全交换机,托管服务器群组,托管服务器群组,未定制安全业务用户的数据流向,Crossbeam解决方案的扩展性,Crossbeam X系列设备具有非常好的可扩展性,包括性能、安全功能及端口密度等均可随着需求灵活扩展安全应用的扩展:通过增加APM板卡和相应安全应用许可证的方式实现功能的扩展。(Sourcefire/Trend Micro/Websense等)性能的扩展:通过在原有安全应用组中增加新的APM板卡实现性能线
8、性扩展端口扩展:通过增加NPM板卡实现端口扩展未来的扩展:Crossbeam未来新研发出的模块仍可安装在现有X设备机架内,可简单的提升现有设备的性能、端口密度、功能等到新的高度。,Crossbeam X系列的性能扩展,通过NPM/CPM自然实现CPM监控每个APM的健康及负载状况,并将信息及时通知NPM,NPM根据这些信息自动调整流量分配与APM运行的安全应用无关,即使该应用本身不支持负载均衡。防火墙、AV、内网安全、邮件安全、IDS/IPS等均可实现负载均衡性能线性扩展/成本更低/网络结构更简单,IPS负载均衡组,防火墙负载均衡组,Crossbeam方案的高可靠性高可用性,专用性专用硬件平台
9、:NP+FPGA专用操作系统:XOS,智能实时数据流调度系统设备级高可靠性高可用性无源背板总线全冗余设计电源/NPM/APM/CPM/网络端口,均可冗余。设备无单一故障点所有板卡可热插拔99.9999%高可靠性,SBHA 单机高可用性,SBHA:Single Box High Availability冗余数据交换(多NPM)冗余控制管理(双CPM)冗余网络处理器(网络端口-端口备份)冗余安全应用处理模块(1-10个APM)模块的N+1备份冗余电源(可提供4个独立电源),网络/端口/NPM模块的高可用性Redundant links from X-Series to a network Serv
10、ice Provider,Internet,Corporate etc.2层连接的高可用性:Active/Standby 主链接故障时,备份连接将自动被激活IP将被重新映射到备份端口备份端口将接管原有端口MAC地址同时保有其自身MAC地址同时向对端网络交换机发ARP更新MAC地址表,单机HA 端口冗余和CPM冗余,CPM 高可靠性/高可用性 CPM 工作于Active/Standby模式 当活动的CPM故障时,备份CPM自动接管任务,Layer 2 or 3networkconnections,单机HA-负载均衡和N+1备份,负载均衡和N+1备份 IDS应用组的一块板卡故障NPM 瞬时将流量切
11、换到正常板卡上备用板卡加载IDS安全策略NPM 重新进行负载均衡防火墙应用组的一块板卡故障NPM 瞬时将流量切换到正常板卡上一个IDS板卡将自动切换为防火墙板卡NPM 重新进行负载均衡发生故障的防火墙板卡在线更换该板卡将自动作为IDS板卡运行发生故障的IDS板卡在线更换该板卡自动作为备份板卡运行,VAPsFirewallStandby IDSFailed,100%Load0%,23,24,2008 Crossbeam Systems,Inc.,安全业务的分级定制,防火墙,防病毒,IPS,用户1,用户3,用户2,用户1:防火墙 用户2:防火墙+IPS 用户3:防火墙+IPS+防病毒,数据流的安全
12、调度 安全效率的提高,不同的用户有不同的安全需求,需要定制不同的安全服务不同的数据流类型需要进行不同的安全检测,例如HTTP应该进行病毒检测,而视频数据流就没有必要通过防毒模块Crossbeam专利的X-Stream数据流可以根据不同的数据类型、应用、网段、用户进行数据流的调度,实现安全业务的分级定制,提高安全效率。,虚拟系统的优越性,可以为不同用户分配独立的虚拟防火墙每个用户拥有独立的安全策略为虚墙分配固定的系统资源支持虚墙的负载均衡和切换单台设备最大支持500个虚墙,运行虚拟防火墙的APM模块,虚拟防火墙,虚拟路由器,用户1,用户2,用户3,针对漏洞的防护 IBM ISS Proventi
13、a,传统的IPS是针对攻击特征的防护针对同一个漏洞,黑客可以开发多种攻击工具,攻击特征不断变化漏洞的发现远早于攻击特征的发现。基于攻击特征的防护只能在攻击发生后才能进行,无法实现零日防护IBM ISS实现了真正基于漏洞的防护,是目前市场占有率最高的IPS产品。,国内管理安全服务成功案例,河北网通,河北网通在城域网二期扩容项目中引入增值安全服务,提供给城域网的接入用户要求:-局端部署-支持虚拟系统-高可靠性,全冗余结构-可以灵活增加新的安全服务,解决方案提供,采用 Crossbeam X80/Checkpoint VSX虚拟防火墙24台X80分布在河北省11个城市采用Checkpoint VSX
14、,在一台X80上虚拟出多套防火墙,每个企业VIP用户拥有独立的防火墙,独立的安全策略。X80并联在汇聚层交换机旁通过策略路由的方式或VLAN透传方式将VIP用户的流量转移到X80上采用全冗余结构:网络模块冗余,应用模块冗余、主控模块冗余准备二期扩容,增加防病毒/网站过滤模块,部署方式,与汇聚层设备并联对用户的当前的接入方式不做修改用户地址不需要做任何修改,部署方式,其他案例,广东电信-对中小企业和宽带用户提供服务-以惠州为试点-提供防火墙/防病毒/网站过滤服务上海电信-针对IDC托管主机-提供防火墙/IPS/防病毒服务,Crossbeam 公司介绍,关于Crossbeam,成立于2000年3月
15、总部位于美国波士顿,在全球几十个国家设有办事机构或分公司,包括北美、EMEA、亚太。美国成长最快的新技术公司之一,近3年销售额每年增长接近100%2005年美国100家最好新技术公司之一2006/2007年美国最热门公司之一,Crossbeam is“Transformational”,Number One In High-End UTM,Enterprise&Service Provider ClassOver 65%market share in the high end(IDC)Nine times the revenue of the nearest competitor,全球部分用户列表,Service Providers and Systems Integrators,Enterprises and Government Agencies,谢谢!,For questions about this and future Crossbeam events,send e-mail to.,
