安全技术发展趋势.ppt
《安全技术发展趋势.ppt》由会员分享,可在线阅读,更多相关《安全技术发展趋势.ppt(54页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、安全技术发展趋势安全技术发展趋势2自我介绍自我介绍孙晓明孙晓明杭州迪普科技有限公司解决方案部部长杭州迪普科技有限公司解决方案部部长Mobile:E-mail:3提纲提纲n应用的变化应用的变化n现有安全技术现有安全技术n安全技术趋势安全技术趋势4应用的变化应用的变化从从web 2.0到云计算到云计算物联网的兴起物联网的兴起5从从web 2.0到云计算到云计算用户创造内容用户创造内容应用放在云端应用放在云端应用的新挑战应用的新挑战Web 2.0代表的新应用走向企业云计算代表的新架构改变企业基础设施6Cloud:What?Infrastructure(SaaS)Platform(PaaS)Softw
2、are(SaaS)SaleForceMicrosoftNetSuiteGoogle AppEngineBungee LabsHerokuAmazon EC2GoGridMossoPublicCloudeVirtual Private CloudPrivate Cloude7Cloud:How?Phase 打破硬件界限,将数据中心整合为统一的资源池。打破硬件界限,将数据中心整合为统一的资源池。IaaSIaaSCPUCPU资源池资源池虚拟资虚拟资源池源池物理服物理服务器务器虚拟业虚拟业务主机务主机内存资源池内存资源池存储资源池存储资源池8Cloud:How?Phase 将全部系统服务与业务应用都纳
3、入云中。将全部系统服务与业务应用都纳入云中。PaaS&SaaSPaaS&SaaSCPUCPU资源池资源池系统服系统服务云务云基础架基础架构云构云业务应业务应用云用云内存资源池内存资源池存储资源池存储资源池SQLSQL中间件中间件中间件中间件WWWWWW程序接口程序接口程序接口程序接口9物联网的核心是对信息数据的采集和处理物联网的核心是对信息数据的采集和处理物联网的核心是对信息数据的采集和处理物联网的核心是对信息数据的采集和处理 物联网物联网(The Internet of(The Internet of things)things),把新一代,把新一代IT IT技术充技术充分运用在各行业中,如
4、能源、分运用在各行业中,如能源、交通、建筑、家庭、市政系交通、建筑、家庭、市政系统等,然后与现有通信网结统等,然后与现有通信网结合,实现人类社会与物理系合,实现人类社会与物理系统的整合。统的整合。人类可以更加精细和动态人类可以更加精细和动态的方式管理生产和生活,达的方式管理生产和生活,达到到“智慧智慧”状态,提高资源状态,提高资源利用率和生产力水平,改善利用率和生产力水平,改善人与自然间的关系。人与自然间的关系。物联网的兴起物联网的兴起10物联网的应用物联网的应用车载应用车载应用工控应用工控应用对讲应用对讲应用消防远程监控消防远程监控11新应用带来的安全挑战新应用带来的安全挑战n新应用带来的新
5、威胁新应用带来的新威胁n应用越来越集中,越来越重要带来的管理压力应用越来越集中,越来越重要带来的管理压力n网络流量的快速增长,网络复杂性的增加网络流量的快速增长,网络复杂性的增加12现有安全技术现有安全技术常见信息安全技术图谱常见信息安全技术图谱常见安全威胁与安全产品常见安全威胁与安全产品13信息信息信息信息安全安全安全安全连接连接管理管理数据数据还原还原识别识别技术技术重定重定向向加密加密状态检测状态检测Syn ProxyDNS重定向重定向代理代理透明代理透明代理HTTP重定向重定向反向代理反向代理数字签名数字签名流量异常流量异常行为识别行为识别内容加密内容加密报文正规化报文正规化通信加密通
6、信加密身份认证身份认证数字签名数字签名/水印水印PKI体系体系IP碎片重组碎片重组加密技加密技术术加密应加密应用技术用技术对称加密算法对称加密算法TCP流恢复流恢复非对称加密算法非对称加密算法哈希算法哈希算法编码还原编码还原常见信息安全技术图谱常见信息安全技术图谱14基本技术基本技术基于状态表转发基于状态表转发如收到的数据包为新如收到的数据包为新建建TCP连接的数据包,连接的数据包,则根据预定义规则决则根据预定义规则决定是否转发。定是否转发。如确定需要转发则在如确定需要转发则在状态表中增加相关表状态表中增加相关表项,并开始跟踪项,并开始跟踪TCP握手信息。握手信息。如收到的数据包为非如收到的数
7、据包为非新建连接,则检查状新建连接,则检查状态表表项。态表表项。如有相关表项则根据如有相关表项则根据表项进行转发,否则表项进行转发,否则丢弃该数据包。丢弃该数据包。如该数据包为如该数据包为TCP FIN包,则转发后删除相包,则转发后删除相关表项。关表项。状态表中的表项都有状态表中的表项都有预定义的老化时间。预定义的老化时间。如超过老化时间仍没如超过老化时间仍没有新的数据包通过,有新的数据包通过,则删除该条记录。则删除该条记录。无老化时间的记录称无老化时间的记录称为长连接,用于某些为长连接,用于某些特殊应用特殊应用?新建连接新建连接新建连接新建连接非新建连接非新建连接非新建连接非新建连接状态表老
8、化状态表老化状态表老化状态表老化15基本技术基本技术特征匹配技术特征匹配技术特征库特征库特征库特征库*http:/10.74.16.88/scripts/.%c0%af./winnt/system32/cmd.exe?/c+dir+c:X5O!P%AP4PZX54(P)7CC)7$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*数据报文数据报文数据报文数据报文以太网帧头以太网帧头IP头头TCP头头应用层数据应用层数据对比对比对比对比161.基于攻击工具、或漏洞利用的特征进行检测。2.基于协议交互的异常进行检测。3.基于流量统计的异常进行检测。4.基于病毒样本特征
9、进行检测。5.攻击事件智能关联分析。6.网络行为自学习、流量基线自学习。7.反向认证。检测方法检测方法1.报文正规化。2.IP重组。3.TCP流恢复。4.TCP会话状态跟踪。5.协议解码。6.基于应用层协议的状态跟踪。7.可信报文处理。报文处理方式报文处理方式基于特征匹配的多种检测方法基于特征匹配的多种检测方法17网络安全设备部署模式网络安全设备部署模式旁路部署旁路部署在线部署在线部署交换机上设置镜像端口,安全设备交换机上设置镜像端口,安全设备旁路进行抓包和特征匹配。旁路进行抓包和特征匹配。某些网关类安全设备(如某些网关类安全设备(如VPN)的)的单臂部署模式在拓扑形式上与此类单臂部署模式在拓
10、扑形式上与此类似,但是数据包需要进行转发的。似,但是数据包需要进行转发的。网关类安全设备大多采用此种将设网关类安全设备大多采用此种将设备串入链路中的在线部署方式。备串入链路中的在线部署方式。透明模式透明模式向网线一样工作向网线一样工作桥模式桥模式相当于交换机相当于交换机路由模式路由模式相当于路由器相当于路由器混合模式混合模式既有路由模式也既有路由模式也有桥模式有桥模式18安全技术趋势安全技术趋势重新认识信息安全重新认识信息安全技术上的挑战与应对技术上的挑战与应对19目录目录n应用带来的挑战应用带来的挑战n高性能与集成化高性能与集成化n虚拟化与强组网虚拟化与强组网20组网模型正在发生变化组网模型
11、正在发生变化组网扁平化,安全成为事实上的核心组网扁平化,安全成为事实上的核心组网扁平化,安全成为事实上的核心组网扁平化,安全成为事实上的核心服务器区服务器区业务终端业务终端接入层接入层汇聚层汇聚层核心层核心层服务器区服务器区21超大型数据中心组网超大型数据中心组网22终端迁入云中后终端迁入云中后?怎样保证终端安全策略的一致性?怎样保证终端安全策略的一致性?终端不在管理员的直接控制下,统一部署策略难度大。终端不在管理员的直接控制下,统一部署策略难度大。终端用户有意或无意的违反安全策略,难发现难处理。终端用户有意或无意的违反安全策略,难发现难处理。终端应该怎样进行归属?终端应该怎样进行归属?终端往
12、往会处理多个业务,造成归属不清。终端往往会处理多个业务,造成归属不清。终端在不同网络位置接入,难以精确归属。终端在不同网络位置接入,难以精确归属。怎样找到问题终端?怎样找到问题终端?终端众多,当出现安全事件时,快速终端众多,当出现安全事件时,快速定位问题终端困难。定位问题终端困难。传统的终端安全问题,都将不复存在传统的终端安全问题,都将不复存在23网络流量的变化一网络流量的变化一云计算使得设备云计算使得设备利用率大幅提升利用率大幅提升24网络流量变化二网络流量变化二数据中心内部流量增加并变得更加复杂数据中心内部流量增加并变得更加复杂25对安全产品的挑战对安全产品的挑战高性能高性能40G100G
13、10G10G10G如何实现如何实现40G100G的线速?的线速?26流量变化使得安全边界消失流量变化使得安全边界消失边界在哪里?边界在哪里?27从网络访问控制到内容访问控制从网络访问控制到内容访问控制IP/端口是否合法端口是否合法?应用是否合法?应用是否合法?行为是否合法?行为是否合法?需要多大性能?需要多大性能?28云的虚拟化要求网络虚拟化云的虚拟化要求网络虚拟化N=1VLAN 1VLAN 2VLAN n1=N跨设备链跨设备链路聚合路聚合业务迁移业务迁移的自适应的自适应29物联网带来的物联网带来的IPv6需求需求奥运奥运“龙形水系龙形水系”景观照明控制景观照明控制系统采用系统采用IPv6IP
14、v6网络,让上万支可网络,让上万支可调亮度灯及调亮度灯及LEDLED灯实现多种变化灯实现多种变化的景观效果,成为北京市夜间的的景观效果,成为北京市夜间的城市新地标。城市新地标。物联网只有物联网只有IPv6IPv6才能够支撑才能够支撑30目录目录n应用带来的挑战应用带来的挑战n高性能与集成化高性能与集成化n虚拟化与强组网虚拟化与强组网31安全产品的发展方向安全产品的发展方向集成化集成化高性能高性能控制流交换网GE总线XG总线业务流交换网 主控引擎32功能融合的基础通用的实现功能融合的基础通用的实现Session报文正规化处理及应用层数据恢复报文正规化处理及应用层数据恢复协议分析协议分析特征匹配特
15、征匹配防火墙防火墙流量控制流量控制IPS防毒墙防毒墙Web防火墙防火墙33集成化举例:特征库整合集成化举例:特征库整合n卡巴斯基专业防病毒特征库卡巴斯基专业防病毒特征库拥有拥有20万种病毒特征万种病毒特征n漏洞库漏洞库漏洞特征库数量漏洞特征库数量3000+n协议库协议库可实时检测和识别近千种应用层协议可实时检测和识别近千种应用层协议漏洞库漏洞库漏洞库漏洞库协议库协议库协议库协议库病毒库病毒库病毒库病毒库综合防御综合防御业界最全面业界最全面34高性能的前提硬件的发展高性能的前提硬件的发展业务能力业务能力L3L3 L4 L4 L7 L7适应各种业务处理适应各种业务处理分布式并行硬件体系分布式并行硬
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全技术 发展趋势
限制150内