华为 USG6000V技术主打胶片 201607
- 格式:pptx
- 大小:3.68 MB
- 文档页数:41
文档推荐
-
华为企业业务主打胶片页数:73
-
华为服务器主打胶片_图文页数:43
-
华为检察院IT解决方案技术主打胶片页数:32
-
华为MicroDC技术主打胶片页数:41
-
华为FusionSphere5.0技术主打胶片页数:116
下载文档原格式
合集下载
华为 USG6000V虚拟综合业务网关 详版彩页
华为USG6000V虚拟综合业务网关随着云计算技术的广泛应用,IT与CT技术出现了快速融合的局面;公有云/私有云的部署,客户对业务快速上线,业务按需迁移,定制化防护等需求激增,传统的专有硬件业务网关慢慢无法适应云网络新架构的部署要求。
华为USG6000V(Universal Service Gateway)是基于NFV架构的虚拟综合业务网关,虚拟资源利用率高,资源虚拟化技术支持大量多租户共同使用,产品具备丰富的网关业务能力,如vFW,vIPSec,vLB,vIPS,vAV,vURL过滤等,可根据对虚拟网关的业务需求,按需使用,灵活部署。
USG6000V系列虚拟综合业务网关兼容多种主流虚拟化平台,提供标准的API接口,可以与华为FusionSphere云平台、Agile Controller控制器以及开源的Openstack平台共同构成开放的SDN数据中心解决方案。
USG6000V可以与传统硬件设备统一被Agile Controller控制器进行管理,构建统一的智能化云安全平台,实现业务灵活定制,资源弹性扩缩,网络可视化管理,满足企业业务快速上线、变化频繁,运维简单、高效等诉求。
产品特性与优势一机多能,精准管控具备丰富的特性功能,能够为数据中心提供虚拟层防护,也可为租户灵活提供安全增值业务。
• 一机多能:集传统防火墙、VPN、入侵防御、防病毒等功能于一身,简化部署,提高管理效率。
• 入侵防护(IPS):超过5000种漏洞特征的攻击检测和防御。
支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等。
• 防病毒(AV):高性能病毒引擎,可防护500万种以上的病毒和木马,病毒特征库每日更新。
• 上网行为管理:采用基于云的URL分类过滤,预定义的URL分类库已超过1.2亿,阻止员工访问恶意网站带来的威胁,满足合规要求。
并可对员工的发帖、FTP等上网行为进行控制。
可对上网记录进行审计。
• Anti-DDoS:可以识别和防范SYN flood、UDP flood等10+种DDoS攻击,识别500多万种病毒。
华为网络能源产品线主打胶片
中国联通空港数据中心
• 关键部件冗余设计
• 效率高达96%
• 站点面积仅1m2
直流变频领导者,新一代按需制冷解决方案
NetCol5000行级精密空调
NetCol8000房间级精密空调
20~35kW(风冷型) 30~60kW(冷冻水型)
20~100kW(风冷型)
20~150kW(冷冻水型)
高效节省 可靠稳定
双向逆变器(10kW)
SUN8000(500kW)
1MW集装箱解决方案
BMP&CP
BMP(15~800W) 14
POL(14~132W)
业界最高效率电源,全球出货量第一
嵌入式电源(30~400A)
室外供电与收容(30~400A)
室内电源(100~24,000A)
接入网
Small cell 中小容量站点 大容量站点
可靠稳定
关键器件/部件冗余;Tier1到 Tier4平滑演进
高效节省 PUE≤1.5,节省30% TCO
灵活易用
模块化按需部署,灵活扩容, 统一监控
17
• 高效:PUE<1.5, TCO节省30%以上
• 节省机房面积50%, 南方基地高效模块化数据中心 建设周期仅14周
全负载高效,模块化UPS领导者
UPS2000-G
UPS5000-E
UPS5000-A
UPS8000-D
1-20kVA
40-480kVA
可靠稳定 关键器件预警,1400+严格测试
高效节省 96%@40%负载率,320kVA/柜
灵活易用
模块化设计理念,扩容维护简易 智能电池管理,有效延长电池寿命
18
30-800kVA
华为USG6000系列防火墙产品技术白皮书(总体)
华为USG6000系列防⽕墙产品技术⽩⽪书(总体)华为USG6000系列下⼀代防⽕墙技术⽩⽪书⽂档版本V1.1发布⽇期2014-03-12版权所有? 华为技术有限公司2014。
保留⼀切权利。
⾮经本公司书⾯许可,任何单位和个⼈不得擅⾃摘抄、复制本⽂档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本⽂档提及的其他所有商标或注册商标,由各⾃的所有⼈拥有。
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本⽂档中描述的全部或部分产品、服务或特性可能不在您的购买或使⽤范围之内。
除⾮合同另有约定,华为公司对本⽂档内容不做任何明⽰或暗⽰的声明或保证。
由于产品版本升级或其他原因,本⽂档内容会不定期进⾏更新。
除⾮另有约定,本⽂档仅作为使⽤指导,本⽂档中的所有陈述、信息和建议不构成任何明⽰或暗⽰的担保。
华为技术有限公司地址:深圳市龙岗区坂⽥华为总部办公楼邮编:518129⽹址:/doc/38e0646559eef8c75fbfb3f8.html客户服务邮箱:ask_FW_MKT@/doc/38e0646559eef8c75fbfb3f8.html 客户服务电话:4008229999⽬录1 概述 (1)1.1 ⽹络威胁的变化及下⼀代防⽕墙产⽣ (1)1.2 下⼀代防⽕墙的定义 (1)1.3 防⽕墙设备的使⽤指南 (2)2 下⼀代防⽕墙设备的技术原则 (1)2.1 防⽕墙的可靠性设计 (1)2.2 防⽕墙的性能模型 (2)2.3 ⽹络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于⽤户的管控能⼒ (4)2.7 基于应⽤的管控能⼒ (4)2.8 应⽤层的威胁防护 (4)2.9 业务⽀撑能⼒ (4)2.10 地址转换能⼒ (5)2.11 攻击防范能⼒ (5)2.12 防⽕墙的组⽹适应能⼒ (6)2.13 VPN业务 (6)2.14 防⽕墙管理系统 (6)2.15 防⽕墙的⽇志系统 (7)3 Secospace USG6000系列防⽕墙技术特点 (1)3.1 ⾼可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防⽕墙技术 (16)3.8 业务⽀撑能⼒ (17)3.9 ⽹络地址转换 (18)3.10 丰富的攻击防御的⼿段 (21)3.11 优秀的组⽹适应能⼒ (23)3.12 完善的VPN功能 (25)3.13 应⽤层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的⽇志报表系统 (31)4 典型组⽹ (1)4.1 攻击防范 (1)4.2 地址转换组⽹ (2)4.3 双机热备份应⽤ (2)4.4 IPSec保护的VPN应⽤ (3)4.5 SSL VPN应⽤ (5)华为USG6000系列下⼀代防⽕墙产品技术⽩⽪书关键词:NGFW、华为USG6000、⽹络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要:本⽂详细介绍了下⼀代防⽕墙的技术特点、⼯作原理等,并提供了防⽕墙选择过程的⼀些需要关注的技术问题。
华为USG6000系列防火墙 硬盘使用指南
第12页
步骤1
步骤3
为什么双硬盘挂载这么慢?
如前所述,3U设备的双硬盘必须组成RAID1磁盘阵列,以提高数据安全性和读取性能。组成 RAID1的两块硬盘完全镜像,所以又称为Mirror或Mirroring(镜像)。RAID1的构建过程通常约 需要4~5个小时,有时甚至更久。
RAID1的构建过程主要是硬盘的读写过程。硬盘的读写速度与硬盘自身的速度、控制器的速度、 CPU的速度等多种因素有关。防火墙选用的是速度较快的SAS盘、LSI控制器(可检查display disk information输出信息的DiskIOC_Vendor字段)。
这么多硬盘挂载场景,记不住怎么办?
下 电 单硬盘 安 装 双硬盘
带 电 单硬盘 更 换 双硬盘
硬件操作
上电
查看状态
设置主盘
等待4~5小时
查看状态
保存配置
下线硬盘
等待30秒
上线硬盘
等待30秒
删除RAID
硬件操作
设置主盘
等待4~5小时
1U,无硬盘>单硬盘
带 电 3U,无硬盘>单硬盘 扩 容 3U,无硬盘>双硬盘
1. 保存配置 2. 安装硬盘单元 3. 等待10分钟,检查硬盘状态(display disk information)
1. 保存配置 2. 安装硬盘单元 3. 等待10分钟,指定主盘并开始构建RAID1(reset raid primary-disk disk-id) 4. 等待4~5小时,检查硬盘状态(display disk information)
USG6507 USG6530 USG6550 USG6570
硬盘组合SM-HDD-SAS300G-B
硬盘组合、硬盘插卡不支持热插拔 硬盘单元支持热替换
步骤1
步骤3
为什么双硬盘挂载这么慢?
如前所述,3U设备的双硬盘必须组成RAID1磁盘阵列,以提高数据安全性和读取性能。组成 RAID1的两块硬盘完全镜像,所以又称为Mirror或Mirroring(镜像)。RAID1的构建过程通常约 需要4~5个小时,有时甚至更久。
RAID1的构建过程主要是硬盘的读写过程。硬盘的读写速度与硬盘自身的速度、控制器的速度、 CPU的速度等多种因素有关。防火墙选用的是速度较快的SAS盘、LSI控制器(可检查display disk information输出信息的DiskIOC_Vendor字段)。
这么多硬盘挂载场景,记不住怎么办?
下 电 单硬盘 安 装 双硬盘
带 电 单硬盘 更 换 双硬盘
硬件操作
上电
查看状态
设置主盘
等待4~5小时
查看状态
保存配置
下线硬盘
等待30秒
上线硬盘
等待30秒
删除RAID
硬件操作
设置主盘
等待4~5小时
1U,无硬盘>单硬盘
带 电 3U,无硬盘>单硬盘 扩 容 3U,无硬盘>双硬盘
1. 保存配置 2. 安装硬盘单元 3. 等待10分钟,检查硬盘状态(display disk information)
1. 保存配置 2. 安装硬盘单元 3. 等待10分钟,指定主盘并开始构建RAID1(reset raid primary-disk disk-id) 4. 等待4~5小时,检查硬盘状态(display disk information)
USG6507 USG6530 USG6550 USG6570
硬盘组合SM-HDD-SAS300G-B
硬盘组合、硬盘插卡不支持热插拔 硬盘单元支持热替换
光网络产品主打胶片(MSTP)华为
汇报提纲:
配置培训
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 9
汇报提纲:
MSTP系列设备 MSTP系列设备 配置培训 原理培训 品牌培训 策略培训
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
1路/2路155M光口 路 路 光口
8个2M 个
110V、 110V、220V AC电源接 AC电源接 入
精巧设计! 高度 高度, 深度, 精巧设计! 1U高度,200mm深度,单面操作 深度 功耗不到18W,自然散热,噪音低 ,自然散热, 功耗不到 重量不到2.8KG,安装方式多样化! ,安装方式多样化 重量不到 ETSI 300 mm深机柜 ETSI 600 mm深机柜 19英寸机柜 壁挂 户外机柜 桌面安装
组网能力: 组网能力:
提供20路DCC,单子架提供6 STM-16或16×STM提供20路DCC,单子架提供6×STM-16或16×STM-4或 40×STM-1 40×STM-
完备的保护: 完备的保护:
网络保护:4/2MSP,1+1MSP,SNCP,DNI,共享光纤虚拟路径保 网络保护:4/2MSP,1+1MSP,SNCP,DNI,共享光纤虚拟路径保 护、VP/IP Ring保护实现带宽动态分配 Ring保护实现带宽动态分配 设备保护:交叉、时钟、供电1+1热备份 设备保护:交叉、时钟、供电1 TPS:支路单元1.5M/2M/34M/45M/155M 1: TPS:支路单元1.5M/2M/34M/45M/155M 1:n,2M与155M 2M与 混合1 混合1:n保护, 保护,
华为USG6000系列下一代防火墙
不是IP和端口。
攻击防不住:攻击越来越隐蔽,手段越来越多样,防护起来愈发吃力 性能撑不住:出口流量越来越大,威胁防护越来越复杂,开启防护后性能已经成为网络瓶颈
NGFW
3
目录
1 USG6000产品亮点 2 USG6000 硬件介绍 3 USG6000 应用场景
4
1
精 最 准的访问控制
-- 6维管控,应用识别“多、细、准、快”
白名单模式
80
VS
需要识别尽量多的应用。最小授权,仅有业务需要的应用被允许,无法识别的应用被阻断不会带来危害。典型的FW式管理方式更安全。
• Emule • Games
黑名单模式
80
仅识别少量的应用。无法识别的应用被放行可能带来危害。“上网行为管理”方式的NGFW,不够安全。
8
应用识别有什么用?
访问控制
业务感知
智能分析
URL IPS
策略下发
AV DLP
优化建议
Policy A:******** Policy B: ********** Policy C:********* Policy D:********** Policy E: ********
基于策略的流量学习,感知网络整体业务环境,基于业务和安全风险进行智能化 分析,最终自动生成策略建议。
12
IP位置
识别粒度:
• 中国:地市级别 • 美国:州级别 • 其他:国家级别 • 支持根据地址段自定义位置
应用场景:
• 流量地图:基于位置的流量统计分析报表 • 威胁地图:基于位置的威胁统计分析报表 • 位置策略:位置不同,访问权限不同
举例:
• 在公司总部可以访问的数据,在分公司不允 许访问
攻击防不住:攻击越来越隐蔽,手段越来越多样,防护起来愈发吃力 性能撑不住:出口流量越来越大,威胁防护越来越复杂,开启防护后性能已经成为网络瓶颈
NGFW
3
目录
1 USG6000产品亮点 2 USG6000 硬件介绍 3 USG6000 应用场景
4
1
精 最 准的访问控制
-- 6维管控,应用识别“多、细、准、快”
白名单模式
80
VS
需要识别尽量多的应用。最小授权,仅有业务需要的应用被允许,无法识别的应用被阻断不会带来危害。典型的FW式管理方式更安全。
• Emule • Games
黑名单模式
80
仅识别少量的应用。无法识别的应用被放行可能带来危害。“上网行为管理”方式的NGFW,不够安全。
8
应用识别有什么用?
访问控制
业务感知
智能分析
URL IPS
策略下发
AV DLP
优化建议
Policy A:******** Policy B: ********** Policy C:********* Policy D:********** Policy E: ********
基于策略的流量学习,感知网络整体业务环境,基于业务和安全风险进行智能化 分析,最终自动生成策略建议。
12
IP位置
识别粒度:
• 中国:地市级别 • 美国:州级别 • 其他:国家级别 • 支持根据地址段自定义位置
应用场景:
• 流量地图:基于位置的流量统计分析报表 • 威胁地图:基于位置的威胁统计分析报表 • 位置策略:位置不同,访问权限不同
举例:
• 在公司总部可以访问的数据,在分公司不允 许访问
华为FusionSphere 5.1 技术主打胶片(服务器虚拟化)
硬件基础设施 服务器 存储 网络&安全 日志
3
FusionSphere 5.1变化一览表
类型 特性名称
虚拟机生命周期管理 无共享热迁移 克隆虚拟机 大虚拟机内存 CPU虚拟化 大型物理服务器 单服务器最大上电1024台虚拟机 虚拟机支持UEFI固件 在线调整CPU和内存 基于主机复制的容灾 虚拟机备份 用户自助服务、自运维;服务目录、服务定义;开箱即用服务目录、 服务申请审批、申请单管理、自定义审批流程 根因分析
8
虚拟化综合性能业界持续领先
2014年:SPECvirt_sc2013官网测试结果:
虚拟化厂商 服务器类型
/virt_sc2013/results/specvirt_sc2013_perf.html
处理器配置 SPECvirt VM数 SPECvirt得分 排名
针对大规格、高性能虚拟机场景,适用Oracle、 SQL Server等关键应用
技术特点
应用价值
Guest NUMA能够使得虚拟机内部程序运行时针对NUMA
结构进行优化,CPU会优先使用同一个Node上的内存
19
减小内存访问延时、提高访问效率,以此达到提升应 用性能的目的。
FusionSphere 5.1特性介绍
FusionCompute
精简型 精简型
技术特点
存储无关,虚拟机用户看到的始终是配置容量,但实际物理
磁盘占用空间随使用空间而动态调整
普通型
20GB
虚拟机备份 (增强)
增加LAN-Free备份模式。 增加文件级恢复功能。
6ห้องสมุดไป่ตู้
FusionSphere 5.1新特性
华为 USG6000V虚拟综合业务网关 简版彩页
华为技术有限公司华为USG6000V 虚拟综合业务网关产品概述随着云计算技术的广泛应用,IT 与CT 技术出现了快速融合的局面;公有云/私有云的部署,客户对业务快速上线,业务按需迁移,定制化防护等需求激增,传统的专有硬件业务网关往往无法适应云网络新架构的部署要求。
USG6000V 系列虚拟综合业务网关具备丰富的网关业务能力,如vFW ,vIPSec ,vLB ,vIPS ,vAV ,vURL 过滤等。
全部安全功能实现虚拟化,支持多租户共享虚拟资源,可根据租户需求灵活部署,满足安全合规要求。
产品特点一机多能,精准管控•一机多能,集传统防火墙、VPN 、路由、负载均衡、入侵防御、防病毒、URL 过滤等功能于一身,简化管理,提升资源利用率。
•通过应用、内容、时间、用户、威胁和位置六个维度的组合,感知日益增多的应用层威胁,实现精准防护。
•精细化带宽管理,可基于应用、网站分类,确保关键业务带宽并确保优先转发,提升用户体验。
按需弹性,业务部署灵活•租户按需订购业务,资源动态加载、回收,资源分配灵活、弹性。
•租户业务配置自助,自动化开通,减少90%手工配置工作量,实现业务分钟级上线。
•L2~L7层安全业务全部虚拟化,灵活编排,快速满足不同租户、不同场景下的需求。
•支持虚拟资源一虚多(vSYS ),租户资源基于vSYS 精细化分配,降低建网成本。
统一管理,运维可视化•物理/虚拟资源统一管理,安全策略统一配置,自动下发;自动感知业务变化,动态迁移。
•提供全网虚拟资源到物理资源的拓扑互视,实现网络故障的快速定位。
•提供基于租户的网络虚拟化管理视图,实现租户的网络拓扑、配额、流量、告警可视,满足合规要求。
建立生态,广泛被集成•兼容主流虚拟机平台VMware 、Linux KVM 、XEN 、Hyper-V 、华为FusionSphere ,支持裸金属主机安装。
•支持NETCONF 、RESTCONF 北向API 接口,通过SDN 控制器编程实现新业务快速上线。
华为USG6000v虚拟综合业务网关
华为USG6000V虚拟综合业务网关随着云计算技术的广泛应用,IT与CT技术出现了快速融合的局面;公有云/私有云的部署,客户对业务快速上线,业务按需迁移,定制化防护等需求激增,传统的专有硬件业务网关慢慢无法适应云网络新架构的部署要求。
华为USG6000V(Universal Service Gateway)是基于NFV架构的虚拟综合业务网关,虚拟资源利用率高,资源虚拟化技术支持大量多租户共同使用,产品具备丰富的网关业务能力,如vFW,vIPSec,vLB,vIPS,vAV,vURL过滤等,可根据对虚拟网关的业务需求,按需使用,灵活部署。
USG6000V系列虚拟综合业务网关兼容多种主流虚拟化平台,提供标准的API接口,可以与华为FusionSphere云平台、Agile Controller控制器以及开源的Openstack平台共同构成开放的SDN数据中心解决方案。
USG6000V可以与传统硬件设备统一被Agile Controller控制器进行管理,构建统一的智能化云安全平台,实现业务灵活定制,资源弹性扩缩,网络可视化管理,满足企业业务快速上线、变化频繁,运维简单、高效等诉求。
产品特性与优势管具备丰富的特性功能,能够为数据中心提供虚拟层防护,也可为租户灵活提供安全增值业务。
• 一机多能:集传统防火墙、VPN、入侵防御、防病毒等功能于一身,简化部署,提高管理效率。
• 入侵防护(IPS):超过5000种漏洞特征的攻击检测和防御。
支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等。
• 防病毒(AV):高性能病毒引擎,可防护500万种以上的病毒和木马,病毒特征库每日更新。
• 上网行为管理:采用基于云的URL分类过滤,预定义的URL分类库已超过1.2亿,阻止员工访问恶意网站带来的威胁,满足合规要求。
并可对员工的发帖、FTP等上网行为进行控制。
可对上网记录进行审计。
• Anti-DDoS:可以识别和防范SYN flood、UDP flood等10+种DDoS攻击,识别500多万种病毒。
华为虚拟综合业务网关负载均衡白皮书
HUAWEI USG6000V系列NFV防火墙技术白皮书之服务器负载均衡技术白皮书目录1背景和概述 (2)2全局服务器负载均衡(GSLB) (3)3本地服务器负载均衡(LSLB) (4)3.1使用目的MAC地址转换的服务器负载均衡(DR) (4)3.2使用网络地址转换实现的服务器负载均衡(L4 SLB) (5)3.3使用轻量代理和网络地址转换的服务器负载均衡(L4 lwProxy SLB) (7)3.4使用全量Socket 代理的服务器负载均衡(L7 Socket Proxy SLB) (9)3.4.1socket代理加业务会话关联保持 (9)3.4.2根据URL类型不同的分担,静态资源访问和动态计算访问分开多种服务器103.4.3SSL卸载 (10)3.4.4链路优化:压缩、协议优化、本地cache、多路复用 (11)3.5业务保持技术 (13)4华为USG系列防火墙支持的SLB功能列表 (14)1 背景和概述随着互联网的快速发展,用户访问量的快速增长,使得单一的服务器性能已经无法满足大量用户的访问,企业开始通过部署多台服务器来解决性能的问题,由此就产生了服务器负载均衡的相关技术方案。
在实际的服务器负载均衡应用中,由于需要均衡的业务种类以及实际服务器部署场景的不同(比如是否跨地域、跨ISP数据中心等),存在多种负载均衡的技术。
如下典型的组网方式如图所示:服务提供方为了支撑大批量的用户访问,以及跨不同地域、不同接入ISP的用户都能够获得高质量的业务访问体验,其已经在不同地域、不同ISP数据中心搭建了服务器,这样就带来一个需求,也就是客户的访问能够就近、优先选择同一个ISP数据中心的服务器,从而获得高质量的业务访问体验。
同时,基于单台服务器能够提供的业务访问并发是有限的,那么就自然想到使用多台服务器来形成一个“集群”,对外展现出一个业务访问服务器,以满足大量用户访问、而且可以根据业务访问量的上升可以动态的进行业务能力扩容的需要。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
OS
1 2 3
vNGFW是独占虚机式软件防火墙 产品以三层网关形式部署
Access
vSwitch vSwitch
• 缺乏全局安全态势呈现:传统安全缺乏宏
观的安全态势感知,只能“事后感知”而 无法“事前防护”
租户1 租户2 租户3
7
安全需要适配云数据中心的新属性
模块化 安全 互操作 多租户 融合 可靠 多厂商
自动化
多站点
标准化
弹性
8
目录 1 2 3
4
虚拟化安全的趋势与挑战 华为USG6000V价值功能 典型应用场景 成功实践
80G防火墙吞吐量
24000条安全策略 500个vSYS虚拟系统
虚拟云平台: Vmware/KVM/XEN/FusionSphere/AWS
11
软件防火墙的部署架构
Telnet/SSH/SNMP/…
Restful/Netconf
控制接口 Open NBI Multiple Instance
OSPF/BGP/VPN/…
2018年10月31日星期三
华为USG6000V虚拟综合业务网关 技术主打胶片
目录 1 2 3
4
虚拟化安全的趋势与挑战 华为USG6000V价值功能 典型应用场景 成功实践
1
趋势:数据中心云化,软件定义一切
ICT
虚拟化 私有云 电信云 公有云
业 务
弹性 自动化 软件定义 被集成
2
安全挑战:突破传统形态,适应弹性架构
12
12
产品概述
SDN Controller Northbound API Service
vNGFW
Traffic Policy …
Virtual Resource Management
Security Policy IPSec Conf
Nat Policy IPS/AV... Routing Data Path Plane
已知类型威胁向未知类型威胁转变,如高级持续性威胁(APT),更加具备危害性; 缺乏综合性威胁分析和协同防护手段
6
安全管理复杂
??? 云的安全失控趋势,缺乏整体呈现
• 可审查性、取证困难:计算资源共享、 数
管理员
据存储位置未知、网络边界崩、不可控的
外部供应商
• 策略管理复杂,部署依赖手工:基于IP的 安全策略不体现业务,策略管理复杂,如 何感知业务,并自动分发到租户
Internet
Extranet/ 租户
WAN
vSwitch
VM
VM
VM
VM
安全不适应VM的变化迁移
DC下VM的迁移较多且IP不变,传统安全基于IP的访
VM上线
VM迁移
VM下线
问控制策略策略,无法适应数据中心这种频繁的变化 例:VM迁移后
4 ① ② Internet->DMZ FW ->内网 FW ->VM; Extranet/Subscriber->边界 FW ->内网 FW ->VM;
区域DC 分支 容灾DC
安全不适应频繁的应用扩展
新增一个业务,需要在DCN边界、DCN内网涉及数 10台安全设备连续开访问策略,花费1个多月才能处 理完! 例:分区1新的WEB业务上线
① ② ③ ④ Internet->DMZ FW ->内网 FW ->VM; Extranet/Subscriber->边界 FW ->内网 FW ->VM; DC1 VM -> DC1 内网FW ->DC1边界 FW-> DC2 边网FW ->DC2 内网 FW ->VM …….
虚拟化打破传统网络安全边界
在云计算服务中,用户最关注的就是安全问题
60%的虚拟化数据中心的安全性都将令人堪忧……
------IDC 的高级副总裁兼首席分析师Frank Gens ------- Gartner报告
过去-1:1攻击 现在-1:N攻击 VM相互攻击 vSwitch A 虚拟化二层流量直接通 过vSwitch交互 B C D E
5
传统威胁向未知威胁演进
Web挂马 定向攻击 感染邮件木马 收集内网信息 内网渗透
LAN
Email服务器 普通用户终端 用户侧服务器 普通服务器 重要服务器 管理员
云端渗透
租户假冒,非授权访问 获取后端服务器管理员权限
DMZ服务器
APP/DB服务器
APT 蠕虫/木马 病毒
云中心的虚拟大二层结构,打破了传统网络边界清晰的控制方法,访问控制边界建立的难度大大增加,随着VM的扩容和迁 移,传统威胁的扩散及APT攻击变得更加容易。
2个vCPU
6000条安全策略
*VCPU:1个Thread (Intel CPU 有多个core, 1个core有2个Thread,1 个Thread对应1个VCPU)
20G防火墙吞吐量 50个vSYS虚拟系统
4个vCPU
8个vCPU
40G防火墙吞吐量
12000条安全策略 200个vSYS虚拟系统
USG6000V
软件防火墙
管理接口 CLI, GUI, O&M
(Vmware/KVM/XEN/FusionSphere/AWS)
虚拟云平台
数据 转发
Forwarding Tables Fast Path Forward (DPDK)
通用服务器
(X86 架构)
Hardware NIC (SR-IOV/…)
9
NFV与SDN背景下的软件防火墙定义
NFV->安全功能虚拟化 SDN->软件定义安全
部署在主流虚拟化云平台上或X86服务器上, 可被Controller调度的,具备已知/未知威胁防御能力的虚拟化防火墙软件。
10
华为USG6000V虚拟综合业务网关产品介绍
1个vCPU 10G防火墙吞吐量 3000条安全策略 20个vSYS虚拟系统
应用弹性扩展 边界在延伸 威胁升级 安全管理复杂
• 公有云/私有云/混合云 • 应用弹性伸缩
• 虚拟化,服务器边界延伸 • 移动互联,用户边界延伸
• 内部APT攻击/Outbound DDoS • OS/WEB/APP/DB 0 day漏洞
• 安全策略需跟随虚拟机变化 • IP语言,不感知业务
3
传统安全不适应应用弹性拓展
VM VM VM VM VM 1 2 3 4 5
虚拟化二层网络下,可信区域不复存在
• 虚拟化二层流量直接通过vSwitch交互,流量不可视不可控 • VM跨POD、DC或跨公有云迁移,扩大了网络犯罪者的活 动范围
安全分区与网络解耦,更底层的攻击形态出现
• 对某一台虚拟机的控制,就可以对其他虚拟机发起攻击1: N,从而获得整个服务器群的控制权
1 2 3
vNGFW是独占虚机式软件防火墙 产品以三层网关形式部署
Access
vSwitch vSwitch
• 缺乏全局安全态势呈现:传统安全缺乏宏
观的安全态势感知,只能“事后感知”而 无法“事前防护”
租户1 租户2 租户3
7
安全需要适配云数据中心的新属性
模块化 安全 互操作 多租户 融合 可靠 多厂商
自动化
多站点
标准化
弹性
8
目录 1 2 3
4
虚拟化安全的趋势与挑战 华为USG6000V价值功能 典型应用场景 成功实践
80G防火墙吞吐量
24000条安全策略 500个vSYS虚拟系统
虚拟云平台: Vmware/KVM/XEN/FusionSphere/AWS
11
软件防火墙的部署架构
Telnet/SSH/SNMP/…
Restful/Netconf
控制接口 Open NBI Multiple Instance
OSPF/BGP/VPN/…
2018年10月31日星期三
华为USG6000V虚拟综合业务网关 技术主打胶片
目录 1 2 3
4
虚拟化安全的趋势与挑战 华为USG6000V价值功能 典型应用场景 成功实践
1
趋势:数据中心云化,软件定义一切
ICT
虚拟化 私有云 电信云 公有云
业 务
弹性 自动化 软件定义 被集成
2
安全挑战:突破传统形态,适应弹性架构
12
12
产品概述
SDN Controller Northbound API Service
vNGFW
Traffic Policy …
Virtual Resource Management
Security Policy IPSec Conf
Nat Policy IPS/AV... Routing Data Path Plane
已知类型威胁向未知类型威胁转变,如高级持续性威胁(APT),更加具备危害性; 缺乏综合性威胁分析和协同防护手段
6
安全管理复杂
??? 云的安全失控趋势,缺乏整体呈现
• 可审查性、取证困难:计算资源共享、 数
管理员
据存储位置未知、网络边界崩、不可控的
外部供应商
• 策略管理复杂,部署依赖手工:基于IP的 安全策略不体现业务,策略管理复杂,如 何感知业务,并自动分发到租户
Internet
Extranet/ 租户
WAN
vSwitch
VM
VM
VM
VM
安全不适应VM的变化迁移
DC下VM的迁移较多且IP不变,传统安全基于IP的访
VM上线
VM迁移
VM下线
问控制策略策略,无法适应数据中心这种频繁的变化 例:VM迁移后
4 ① ② Internet->DMZ FW ->内网 FW ->VM; Extranet/Subscriber->边界 FW ->内网 FW ->VM;
区域DC 分支 容灾DC
安全不适应频繁的应用扩展
新增一个业务,需要在DCN边界、DCN内网涉及数 10台安全设备连续开访问策略,花费1个多月才能处 理完! 例:分区1新的WEB业务上线
① ② ③ ④ Internet->DMZ FW ->内网 FW ->VM; Extranet/Subscriber->边界 FW ->内网 FW ->VM; DC1 VM -> DC1 内网FW ->DC1边界 FW-> DC2 边网FW ->DC2 内网 FW ->VM …….
虚拟化打破传统网络安全边界
在云计算服务中,用户最关注的就是安全问题
60%的虚拟化数据中心的安全性都将令人堪忧……
------IDC 的高级副总裁兼首席分析师Frank Gens ------- Gartner报告
过去-1:1攻击 现在-1:N攻击 VM相互攻击 vSwitch A 虚拟化二层流量直接通 过vSwitch交互 B C D E
5
传统威胁向未知威胁演进
Web挂马 定向攻击 感染邮件木马 收集内网信息 内网渗透
LAN
Email服务器 普通用户终端 用户侧服务器 普通服务器 重要服务器 管理员
云端渗透
租户假冒,非授权访问 获取后端服务器管理员权限
DMZ服务器
APP/DB服务器
APT 蠕虫/木马 病毒
云中心的虚拟大二层结构,打破了传统网络边界清晰的控制方法,访问控制边界建立的难度大大增加,随着VM的扩容和迁 移,传统威胁的扩散及APT攻击变得更加容易。
2个vCPU
6000条安全策略
*VCPU:1个Thread (Intel CPU 有多个core, 1个core有2个Thread,1 个Thread对应1个VCPU)
20G防火墙吞吐量 50个vSYS虚拟系统
4个vCPU
8个vCPU
40G防火墙吞吐量
12000条安全策略 200个vSYS虚拟系统
USG6000V
软件防火墙
管理接口 CLI, GUI, O&M
(Vmware/KVM/XEN/FusionSphere/AWS)
虚拟云平台
数据 转发
Forwarding Tables Fast Path Forward (DPDK)
通用服务器
(X86 架构)
Hardware NIC (SR-IOV/…)
9
NFV与SDN背景下的软件防火墙定义
NFV->安全功能虚拟化 SDN->软件定义安全
部署在主流虚拟化云平台上或X86服务器上, 可被Controller调度的,具备已知/未知威胁防御能力的虚拟化防火墙软件。
10
华为USG6000V虚拟综合业务网关产品介绍
1个vCPU 10G防火墙吞吐量 3000条安全策略 20个vSYS虚拟系统
应用弹性扩展 边界在延伸 威胁升级 安全管理复杂
• 公有云/私有云/混合云 • 应用弹性伸缩
• 虚拟化,服务器边界延伸 • 移动互联,用户边界延伸
• 内部APT攻击/Outbound DDoS • OS/WEB/APP/DB 0 day漏洞
• 安全策略需跟随虚拟机变化 • IP语言,不感知业务
3
传统安全不适应应用弹性拓展
VM VM VM VM VM 1 2 3 4 5
虚拟化二层网络下,可信区域不复存在
• 虚拟化二层流量直接通过vSwitch交互,流量不可视不可控 • VM跨POD、DC或跨公有云迁移,扩大了网络犯罪者的活 动范围
安全分区与网络解耦,更底层的攻击形态出现
• 对某一台虚拟机的控制,就可以对其他虚拟机发起攻击1: N,从而获得整个服务器群的控制权