云数据中心安全解决方案.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,4/25/2010,#,云数据中心安全解决方案,云数据中心安全解决方案,第1页,传统安全防护方式,Internet,防火墙,交换机,服务器,内部业务区,交换机,服务器,DMZ区,互联网区,以边界为关键安全防护模型：,依据信任等级划分安全区域,服务器布署于不一样物理位置,服务器、网络设备、安全设备之间完全独立,布署各种安全设备进行防护,防火墙,关键交换机,云数据中心安全解决方案,第2页,云计算含糊了物理边界,当虚拟机成为主流，物理边界在哪里？,关键交换机,接入交换机,物理服务器,虚拟机,云数据中心安全解决方案,第3页,云架构中安全无标准,物理设备,物理设备,Hypervisor,物理设备,计算虚拟化,存放虚拟化,自动化云管理,网络虚拟化,APP,APP,APP,APP,APP,APP,标准云架构,计算,VMware,、,KVM,、,XEN,、,Docker,、,Nova,网络,VEPA,、,VN-TAG,、,OpenFlow,、,VXLAN,、,SPB,、,TRILL,、,Fabric,Path,、,Neutron,存放,HDFS,、,Hbase,、,Swift,、,Cinder,安全？,云数据中心安全解决方案,第4页,澄清一个概念：什么是NFV？,服务器,VA,VA,VA,VA,VA,VA,服务器,VA,vRouter,vIPS,vDPI,vLB,vWAF,VM,NFV经典组网一,NFV经典组网二,NFV,vFW,服务器,VM,NFV,：,Network,Function,Virtualization,采取服务器以软件方式处理传统独立网络服务,VA,VA,VA,VA,VA,VA,云数据中心安全解决方案,第5页,NFV更适合公有云平台,公有云,私有云,NFV,专长：,虚拟化能力强,业务功效丰富,业务定义灵活,NFV,不足：,计算与安全未分离,纯软件平台，占用计算资源,性能较低,管理难度较大,云数据中心安全解决方案,第6页,云安全,安全云 云管理,01001001,00100000,01100001,01101101,00100000,01011010,01100101,01110010,01101111,01100110,01101100,01100001,01100111,00101110,云数据中心安全解决方案,第7页,VXLAN Fabric,Spine节点,云安全处理方案,VXLAN Security,Gateway,Leaf节点,服务器,VM,采取VXLAN实现Overlay，处理多租户隔离安全问题,云安全,云数据中心安全解决方案,第8页,VXLAN 1000,VXLAN,VLAN 100,VLAN,VXLAN L3 Gateway,VXLAN 1000,VXLAN,VXLAN ,VXLAN,VXLAN组网中Gateway类型,VXLAN L2 Gateway,VXLAN,二层网关,n,实现,VXLAN,网络与标准以太网互通,n,在,VXLAN,与,VLAN,之间进行一对一转换,n,布署形态为,TOR,交换机,VXLAN,三层网关,n,实现不一样,VXLAN,之间互通,n,报文跨,VXLAN,转发时，,VXLAN,报文头重新封,装，,Overlay,层报文进行三层转发,n,布署形态包含路由器、融合安全网关,云数据中心安全解决方案,第9页,L3 Gateway工作原理,VXLAN,Fabric,n,报文跨,VXLAN,转发时，,L3,GW,对,VXLAN,报文头重新封装，,Overlay,层报文经过进行三层转发,L3 Gateway,SVI,SVI,L3转发,L3 Gateway,VTEP,VTEP,VXLAN 1000,VXLAN ,云数据中心安全解决方案,第10页,防火墙,IPS,流控,负载均衡,Anti-DDoS,WAF,安全业务板卡,独立安全设备，易于布署,安全与计算分离,专业安全能力,专用硬件，易于布署,一体化集中式管理,云数据中心安全解决方案,第11页,云安全 ,安全云,云管理,01001001,00100000,01100001,01101101,00100000,01011010,01100101,01110010,01101111,01100110,01101100,01100001,01100111,00101110,云数据中心安全解决方案,第12页,安全云处理方案,VXLAN Security,Gateway,Spine节点,Leaf节点,服务器,VM,经过主机与板卡虚拟化技术，可取得安全功效和性能扩展,安全云,云数据中心安全解决方案,第13页,虚拟化技术：多虚一,将多个物理安全设备,/,板卡虚拟成为一个虚拟设备，性能、功效按需扩展,逻辑设备 ,业务板卡 ,物理设备 ,VSM,虚拟化 ,云板卡 ,业务板卡虚拟化 ,安全资源池,云数据中心安全解决方案,第14页,虚拟化技术：一虚多,1,个租户、,1,个,VSA,（虚拟安全设备）、,1,个配置界面、,N,个,VNID,VSA,VNID,CPU,内存,吞吐量,并发连接数,新建连接数,路由协议,VSA1,1000,15%,20%,500M,100万,10万,OSPF,VSA2,25%,30%,800M,150万,20万,RIP,VSA3,3000,45%,40%,1G,300万,30万,BGP,经典配置图 ,安全资源池,云数据中心安全解决方案,第15页,FW,资源池,IPS,资源池,DDoS,资源池,WAF,资源池,业务流定义,DDoS,WAF,防火墙,入侵,防御,病毒,防范,DDoS,WAF,防火墙,入侵,防御,病毒,防范,流定义实现安全按需调度,可按需定义租户数据流经过不一样安全业务,安全资源按需调度,云数据中心安全解决方案,第16页,高性能安全业务平台,DPX19000/DPX8000,防火墙,SSL VPN,NAT,入侵防御,异常流量清洗/检测,负载均衡,流控,漏洞扫描,WEB应用防火墙,分布式硬件平台，业界性能最高,多虚一虚拟化技术快速提升性能,多板卡提供丰富安全增值服务,云数据中心安全解决方案,第17页,云安全 安全云 ,云管理,01001001,00100000,01100001,01101101,00100000,01011010,01100101,01110010,01101111,01100110,01101100,01100001,01100111,00101110,云数据中心安全解决方案,第18页,云管理,云业务,自动化云管理,云基础设施,安全资源,网络资源,计算、存,储资源,云租户,云租户,云租户,虚拟化资源池,自动编排,Netconf,WebService,云数据中心安全解决方案,第19页,云安全，硬实力,专业高性能安全设备,VXLAN,组网能力,多虚一,/,一虚多虚拟化,安全业务流定义,OpenStack,云管理能力,云数据中心安全解决方案,第20页,