1 / 20

数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16

数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16. 议程. 1. 数据中心的演化. 2. 当前数据中心网络的局限性. 3. 灵活弹性的云化数据中心设计. 4. 云化数据中心带来的安全挑战. 5. 山石 vEFA 全 并行架构的解决方案. 6. 山石 下一代智能防火墙. 数据 中心的演进. 应用系统架构的演进. 服务器平台的演进. 基础网络架构的演进. 运营模式的演进. 大型 主机 C/S 架构 多层分布式架构 SOA 架构 大 数据的应用. CPU 性能越来越高,体积越来越小,密集度增高

jeremy-good
Download Presentation

数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石 网络 2014/5/16

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 数据中心的演化和安全挑战蒋东毅研发副总裁,山石网络2014/5/16数据中心的演化和安全挑战蒋东毅研发副总裁,山石网络2014/5/16

  2. 议程 1 数据中心的演化 2 当前数据中心网络的局限性 3 灵活弹性的云化数据中心设计 4 云化数据中心带来的安全挑战 5 山石vEFA全并行架构的解决方案 6 山石下一代智能防火墙

  3. 数据中心的演进 应用系统架构的演进 服务器平台的演进 基础网络架构的演进 运营模式的演进 • 大型主机 • C/S架构 • 多层分布式架构 • SOA架构 • 大数据的应用 • CPU性能越来越高,体积越来越小,密集度增高 • 虚拟化技术的引入,逻辑和物理机的分离 • 服务器虚拟化 • 存储虚拟化 • 网络虚拟化 • 复杂性增加 • 共享、按需、动态的模式 • 自动化部署,敏捷性 • 一体化运营 Portal ESB ISB DW

  4. 目前数据中心网络 三层架构:接入、汇聚、核心

  5. 当前数据中心的流量 东西向流量是南北向流量的数十倍以上 南北向流量: 进出数据中心的流量 东西向流量: 数据中心内部的流量

  6. 网络隔离和安全 • 二层使用VLAN实现隔离 • 三层使用VRF实现隔离 • 三层到三层的安全由部署在汇聚和核心的防火墙提供

  7. 当前数据中心网络设计的局限性 这种设计不能满足基于资源池的云化数据中心的需求,实现动态、灵活的资源池配置,满足业务敏捷性要求: • 性能的扩展能力有限 • 三层网络架构设计更利于南北向流量,但并不适用于越来越占据主导地位的东西向流量 • 数量巨大的虚拟机(VM)网络端口(vNIC),导致网络设备MAC激增引起网络风暴 • 效率低下 • 物理链路使用生成树协议 (STP)转发数据,导致链路利用率低下 • 虚拟机迁移受限 • 网络扁平化受限于4K VLAN数量,无法实现规模化 • 大量独立的交换和路由设备,增加了操作和维护的复杂性.

  8. 云化数据中心设计 • L2、L3 (二、三层网)的边界消失, 网络扁平化 • L2 、L3 的标记都将终结(terminate)在接入层边界,基于MAC/IP的寻址变为基于交换机ID的传输 • 数据包在接入交换机内封装了新的包头,植入目的交换机的ID并转发 • 目的交换机收到报文后,基于目的MAC/IP完成最后一跳 CISCO FabricPath and DFA

  9. 云化数据中心设计 • 数据中心大量的交换/路由等物理设备收敛到一个单一的巨型逻辑设备 • 控制平面: Qfabric控制器 • 数据平面交换矩阵: Qfabric内部互联 • 数据平面接口模块: Qfabric接入节点 • 支持1600万 L2 network Juniper QFabric

  10. 云化数据中心设计 • 构建在叠加网络(Overlay Network)技术之上, 如VxLAN, NVGRE等. • 数据中心交换矩阵静态配置,通过IP单播和多播提供物理机IP到IP的链接 • 在Hypervisor内部的Edge决定下一跳并且将数据包被封装在VxLAN隧道里转发 • VxLAN隧道最终节点 (VTEP)网关桥接叠加网络和物理网络 VMware NSX

  11. 三家供应商方案的利与弊 CISCO FabricPath/DFA • 保护现有的客户投资, 但是 • 破坏了分层网络结构所带来的优势 Juniper QFabric • 保留了分层网络设计的优势 • 需要建设全新的数据 Mware NSX • 静态的数据中心交换矩阵配置, 当网络中的一个子网拓扑结构变化时,基本不需对交换矩阵重新配置 • 从管理的角度看,由于VTEP(s)数量巨大,管理的可扩展性存在问题

  12. 云化数据中心的安全挑战 网络的物理边界消失 • 由于网络和资源全虚拟化和分布化,网络与资源的物理边界消失,使安全和服务部署十分困难 效率和性能 • 如果设计不合理,网络的流量可能在实际网络上多次往返,造成倍增的延时和流量浪费 动态和灵活性 • 虚拟机迁移要求动态感知的安全服务 • 持续不断的据中心变化要求安全服务动态调整,以提供对用户SLA的保证 管理复杂 • 随着租户的增长和资源的增加,数据中心管理本身就是复杂的事情,安全更加增加了这个复杂性

  13. 当前的方案和局限性 高性能硬件安全设备 虚拟化软件安全设备 • In-Hypervisor安全设备 • 南北向流量 • 数据中心网关位置 • 东西向流量 • 单臂部署 • 租户VM流量转发到设备 • 同时服务于南北向和东西向流量 • VM级设备服务于单用户 • 虚拟操作系统厂商在Hypervisor层安全模块 • 弹性受硬件设备限制 • 数据中心的网络瓶颈,延时加大 • 计算资源浪费 • 动态流量处理性能低下 • 多设备管理复杂 • 因为Hypervisor稳定性要求,功能简单

  14. 山石分布式安全架构 硬件基于分布式、弹性安全服务(EFA)架构 HillStone X7180 360G FW • 要点: • 建立在全分布式防火墙架构的专利技术之上 • 性能和容量能够随着CPU的数量增加而线性增长 • 规模可以从数十到数百个CPU

  15. 虚拟分布式、弹性安全架构(vEFA) • 扩展已有的分布式架构到云安全解决方案 • 完全可扩展的分布式体系架构 • 利用云中计算与网络资源的全软件解决方案,无任何专用硬件 • 管理简单,人机交互与单一设备管理完全相同 • 基于 VSYS(虚拟安全系统)对每个租户提供安全服务 Cloud Orchestration Cloud Orchestration

  16. vEFA重朔数据中心的安全边界 • vEFA不但重朔数据中心安全边界 • 而且将边界推向服务器边缘 • 数据中心安全边界随虚拟化而消失

  17. vEFA的优势 高度动态和灵活性 管理简单且灵活 • 高性能和可伸缩性 • 不需要硬件设备 • 天然适应云化数据中心架构 • 随系统的规模扩展而增加支付 • 为新的租户增加虚拟系统扩展安全 • 单一的虚拟安全设备负责整个数据中心的安全服务 • 虚拟机迁移无需更改安全策略配置 • 按需弹性增加或减少vIOM和vSSM • vIOM接近租户的虚拟机节省带宽 • 高可扩展的吞吐量:容易扩展到1Tbps • 低延时:vIOM/vSSM独占CPU,避免VM切换延时 VM VM VM VM VM VM VM VM VM VM VM VM VEB VEB VEB VEB TOR TOR

  18. 智能化、下一代网络安全解决方案 Gartner “Enterprise Network Firewalls Magic Quadrant” Intelligent NGFW NGFW UTM Firewall Firewall 山石网络是iNGFW的原创者、领导者

  19. 山石全面网络安全架构: 智能防火墙

  20. 非常感谢! 如有问题,请联系我们 服务热线:400-828-6655 www.hillstonenet.com.cn www.hillstonenet.com.cn

More Related