Upload
jeremy-good
View
221
Download
0
Embed Size (px)
DESCRIPTION
数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16. 议程. 1. 数据中心的演化. 2. 当前数据中心网络的局限性. 3. 灵活弹性的云化数据中心设计. 4. 云化数据中心带来的安全挑战. 5. 山石 vEFA 全 并行架构的解决方案. 6. 山石 下一代智能防火墙. 数据 中心的演进. 应用系统架构的演进. 服务器平台的演进. 基础网络架构的演进. 运营模式的演进. 大型 主机 C/S 架构 多层分布式架构 SOA 架构 大 数据的应用. CPU 性能越来越高,体积越来越小,密集度增高 - PowerPoint PPT Presentation
Citation preview
www.hillstonenet.com.cn1 www.hillstonenet.com.cn
数据中心的演化和安全挑战
蒋东毅研发副总裁,山石网络
2014/5/16
www.hillstonenet.com.cn2
议程1
2
3
数据中心的演化
当前数据中心网络的局限性
灵活弹性的云化数据中心设计
4云化数据中心带来的安全挑战
5山石 vEFA 全并行架构的解决方案
6山石下一代智能防火墙
www.hillstonenet.com.cn3
大型主机 C/S 架构 多层分布式架构 SOA 架构 大数据的应用
数据中心的演进
应用系统架构的演进 服务器平台的演进 基础网络架构的演进 运营模式的演进
CPU 性能越来越高,体积越来越小,密集度增高
虚拟化技术的引入,逻辑和物理机的分离
服务器虚拟化 存储虚拟化 网络虚拟化
复杂性增加 共享、按需、动
态的模式 自动化部署,敏
捷性 一体化运营
ISB
ESB
DW
Portal
www.hillstonenet.com.cn4
目前数据中心网络三层架构:接入、汇聚、核心
www.hillstonenet.com.cn5
当前数据中心的流量
南北向流量 : 进出数据中心的流量东西向流量 : 数据中心内部的流量东西向流量是南北向流量的数十倍以上
www.hillstonenet.com.cn6
网络隔离和安全• 二层使用 VLAN 实现隔离• 三层使用 VRF 实现隔离• 三层到三层的安全由部署在汇聚和核心的防火墙提供
www.hillstonenet.com.cn7
当前数据中心网络设计的局限性
这种设计不能满足基于资源池的云化数据中心的需求,实现动态、灵活的资源
池配置,满足业务敏捷性要求 :
• 性能的扩展能力有限 – 三层网络架构设计更利于南北向流量,但并不适用于越来越占据主导地位的东西向流量
– 数量巨大的虚拟机( VM) 网络端口( vNIC ),导致网络设备 MAC 激增引起网络风暴
• 效率低下– 物理链路使用生成树协议 (STP) 转发数据,导致链路利用率低下
• 虚拟机迁移受限– 网络扁平化受限于 4K VLAN 数量,无法实现规模化
– 大量独立的交换和路由设备,增加了操作和维护的复杂性 .
www.hillstonenet.com.cn8
云化数据中心设计CISCO FabricPath and DFA• L2 、 L3 (二、三层网)的边界消失 , 网络扁平化• L2 、 L3 的标记都将终结( terminate )在接入层边界,基于 MAC/IP 的寻址变为
基于交换机 ID 的传输• 数据包在接入交换机内封装了新的包头,植入目的交换机的 ID 并转发• 目的交换机收到报文后,基于目的 MAC/IP 完成最后一跳
www.hillstonenet.com.cn9
云化数据中心设计Juniper QFabric• 数据中心大量的交换 / 路由等物理设备收敛到一个单一的巨型逻辑设备• 控制平面 : Qfabric 控制器• 数据平面交换矩阵 : Qfabric 内部互联• 数据平面接口模块 : Qfabric 接入节点• 支持 1600万 L2 network
www.hillstonenet.com.cn10
云化数据中心设计VMware NSX• 构建在叠加网络 (Overlay Network) 技术之上 , 如 VxLAN, NVGRE 等 .• 数据中心交换矩阵静态配置,通过 IP 单播和多播提供物理机 IP 到 IP 的链接• 在 Hypervisor 内部的 Edge 决定下一跳并且将数据包被封装在 VxLAN隧道里转发• VxLAN 隧道最终节点 (VTEP) 网关桥接叠加网络和物理网络
www.hillstonenet.com.cn11
三家供应商方案的利与弊CISCO FabricPath/DFA
• 保护现有的客户投资 , 但是• 破坏了分层网络结构所带来的优势
Juniper QFabric• 保留了分层网络设计的优势• 需要建设全新的数据
Mware NSX• 静态的数据中心交换矩阵配置 , 当网络中的
一个子网拓扑结构变化时,基本不需对交换矩阵重新配置
• 从管理的角度看,由于 VTEP(s) 数量巨大,管理的可扩展性存在问题
www.hillstonenet.com.cn12
云化数据中心的安全挑战
网络的物理边界消失• 由于网络和资源全虚拟化和分布化,网络与资源的物理边界消失,使安全和服务部
署十分困难
效率和性能• 如果设计不合理,网络的流量可能在实际网络上多次往返,造成倍增的延时和流量 浪费
动态和灵活性• 虚拟机迁移要求动态感知的安全服务• 持续不断的据中心变化要求安全服务动态调整,以提供对用户 SLA 的保证
管理复杂• 随着租户的增长和资源的增加,数据中心管理本身就是复杂的事情,安全更加增加
了这个复杂性
www.hillstonenet.com.cn13
当前的方案和局限性高性能硬件安全设备
南北向流量• 数据中心网关位
置 东西向流量
• 单臂部署• 租户 VM 流量转
发到设备
弹性受硬件设备限制 数据中心的网络瓶颈,延时加大
虚拟化软件安全设备
同时服务于南北向和东西向流量
VM级设备服务于单用户
计算资源浪费 动态流量处理性能低
下 多设备管理复杂
In-Hypervisor 安全设备
虚拟操作系统厂商在Hypervisor 层安全模块
因为 Hypervisor稳定性要求,功能简单
www.hillstonenet.com.cn14
山石分布式安全架构硬件基于分布式、弹性安全服务 (EFA) 架构
SCM
Switch Fabric
IOM IOM IOM
SCM SSM SSM SSM
Interface Interface Interface
HillStone X7180 360G FW
要点 :• 建立在全分布式防火墙架构的专利技术之上• 性能和容量能够随着 CPU 的数量增加而线性增长• 规模可以从数十到数百个 CPU
www.hillstonenet.com.cn15
虚拟分布式、弹性安全架构 (vEFA)
• 扩展已有的分布式架构到云安全解决方案• 完全可扩展的分布式体系架构• 利用云中计算与网络资源的全软件解决方案,无任何专用硬件• 管理简单,人机交互与单一设备管理完全相同• 基于 VSYS (虚拟安全系统)对每个租户提供安全服务
Cloud Orchestration
Cloud Orchestration
www.hillstonenet.com.cn16
vEFA 重朔数据中心的安全边界
• vEFA 不但重朔数据中心安全边界
• 而且将边界推向服务器边缘
• 数据中心安全边界随虚拟化而消失
www.hillstonenet.com.cn17
vEFA 的优势
高度动态和灵活性
不需要硬件设备 天然适应云化数据中
心架构 随系统的规模扩展而
增加支付 为新的租户增加虚拟
系统扩展安全
管理简单且灵活
单一的虚拟安全设备负责整个数据中心的安全服务
虚拟机迁移无需更改安全策略配置
高性能和可伸缩性
按需弹性增加或减少 vIOM 和 vSSM
vIOM 接近租户的虚拟机节省带宽
高可扩展的吞吐量 :容易扩展到 1Tbps
低延时: vIOM/vSSM 独占 CPU ,避免 VM切换延时
VM VM VM
VEB
VM VM VM
VEB
VM VM VM
VEB
VM VM VM
VEB
TOR TOR
www.hillstonenet.com.cn18
智能化、下一代网络安全解决方案
FirewallUTM NGFW
Intelligent NGFWFirewall
山石网络是 iNGFW 的原创者、领导者
Gartner “Enterprise Network Firewalls Magic Quadrant”
www.hillstonenet.com.cn19
山石全面网络安全架构 : 智能防火墙
主机服务器网络行为建模 ,预测和异常分
析NGFW/
WAF/AD 检测 ,阻挡
全周期检测 : 大数据 Malware
检测
证据收集
管理员智能
异常及威胁确认
样本上传学习,动态策略加载
大数据分析 , 云计算 , 云沙箱
知识库
www.hillstonenet.com.cn20
www.hillstonenet.com.cn如有问题,请联系我们服务热线: 400-828-6655
www.hillstonenet.com.cn
非常感谢!