《ixiainlinesecuritypocppt课件》由会员分享,可在线阅读,更多相关《ixiainlinesecuritypocppt课件(42页珍藏版)》请在金锄头文库上搜索。
1、Inline Security,Agenda,传统网络分析 网络优化方案介绍 iBypass 40-10介绍 iBypass VHD介绍 V1 vs xStream Gigamon Inline,Data Center Traditional or “Classic” Deployment,Packet parsing, brute force security policy and load balancing is traditionally inline. Policy is simple and parsing does not require an extended lookup.,
2、IPS/IDS, DDoS mitigation and Forensics require a longer processing time for variable payload and pattern analysis. Traditionally out of band for extended latency and drops due to false positives.,Valid event detection triggers an event that will typically re-route or “black hole” the offending conne
3、ction.,SSL decrypt may be integrated into security appliance. This device represents large proxy to support web services.,原网络拓补,IPS设备部署在PE前端,成为整个网络的单点故障点,大幅降低了整个网络的可靠性。一旦IPS设备出现故障,会造成整个网络业务中断IPS设备容易成为整个网络的性能瓶颈如果需要增加新的安全网关设备,需要中断业务,割接工作量大,割接风险高,网络优化方案一,网络优化方案一,IPS设备部署在PE和交换机之间,位置更为合理 在每条线路上各部署一台智能byp
4、ass交换机,通过heatbeat报文实时监测IPS的状态,确保IPS设备出现故障时把流量bypass,防止业务中断。 可以考虑新增一台IPS设备,由网络负载均衡器实现两台IPS设备的负载均衡,解决IPS设备的性能瓶颈问题。 当其中一台IPS设备出现故障,网络负载均衡器可将所有流量引向另一台IPS设备。 网络负载均衡器能够确保同一个应用会话中的所有数据包由同一台IPS处理,避免非对称路由模式下IPS设备无法分析会话内容的问题。,方案一工作原理详解,方案一工作原理详解负载均衡,未经过滤的流量,过滤后的流量,网络的流量由两台IPS共同分担,避免出现性能瓶颈!,10G,5G,5G,方案一工作原理详解
5、负载均衡,未经过滤的流量,过滤后的流量,IPS不用关心流量来自哪条路由,工作状态完全一样!,10G,5G,5G,方案一工作原理详解IPS互为备份,未经过滤的流量,过滤后的流量,其中一台IPS出现故障,10G,5G,5G,10G,网络负载均衡器将流量引向另一台IPS,业务不会中断!,方案一工作原理详解IPS全部出现故障,未经过滤的流量,过滤后的流量,如果两台IPS出现故障,10G,5G,5G,智能Bypass设备会把流量bypass,业务不会中断!,方案一工作原理详解网络负载均衡器无法工作,未经过滤的流量,过滤后的流量,如果网络负载均衡器断电,10G,5G,5G,智能Bypass设备会把流量by
6、pass,业务不会中断!,方案一工作原理详解如果需要新增一台安全网关,如果需要增加一台安全网关,如APT攻击过滤网关,只需要把新设备接入到负载均衡器即可。,10G,5G,5G,10G,新增APT安全网关,网络负载均衡器会将流量先交给IPS设备过滤,IPS过滤后再由APT网关过滤,在网络中增加任何一台新的安全设备,割接变得异常简单!,任何一台安全设备出现故障,业务永远不会中断,网络变得非常可靠!,网络优化方案二 更为完美的解决方案,网络优化方案二,在方案一的基础上,增加一台网络负载均衡器,实现两台网络负载均衡器热备份。 此方案拥有方案一的全部功能 与方案一不同的是,当其中一台网络负载均衡器无法工
7、作时,流量仍然能够由备份网络负载均衡器送达IPS设备进行过滤,方案二工作原理详解,网络的流量由两台IPS共同分担,避免出现性能瓶颈!,方案二工作原理详解负载均衡,10G,5G,5G,IPS不用关心流量来自哪条路由,工作状态完全一样!,方案二工作原理详解负载均衡,10G,5G,5G,方案二工作原理详解网络负载均衡器HA,10G,5G,5G,两台网络负载均衡器配置相同且实时同步状态。如果一台网络负载均衡器无法工作。,智能Bypass设备会将流量引向备份网络负载均衡器。,备份网络负载均衡器的工作状态和原先保持完全一致,和方案一相比,即使一台网络负载均衡器无法工作,整个网络的安全过滤功能仍然能够工作,
8、增加了网络安全性,业务仍然不会中断,网络变得非常安全可靠!,5G,该方案的优点,iBypass 40-10,iBypass 40-10 多种工作模式,iBypass40-10通过Breakout线,最多可以提供4对网络端口(每对端口分别用A和B表示),4对监测端口(每对端口我们用1和2表示),故总共可提供4路通道,即4个Segments.iBypass40-10总共提供10种模式的高可靠性模式:standAloneactiveActive1activeActive2activeActive3activeActive4activeActive5activeActive6activeStandby
9、1activeStandby2activeStandby3,activeStandby2 工作原理,本次测试中使用的是activeStandby2模式,4个Segments分2对HA pairs。以下图为例,网络侧我们只使用1个Segment,监测侧使用了2个Segments,当Tool3 出故障时,流量会自动切换到Tool4。当Tool3和Tool4都出故障时,A和B直通。,activeStandby2 工作原理,1.正常状态:Segment2为Standby,2. Segment1 Fail后,Segment2切成Active,3. Segment1和Segment2的Monitor Po
10、rt都Fail后, Segment1的Network Port 直接Bypass,iBypass VHD Overview,Tap、Bypass、aggregation、 regeneration (All in One) Inline or Out of band deployment Preconfigured Heartbeats: only vendor integrated security tool heartbeats Central Management Support: Indigo Pro Active-standby/ Active-Active mode: Only v
11、endor Easy-to-Use Web Interface: Fail-Safe: even in case of power failure Module Design: up to 3 modules ( each module supports 16 SFP+ Ports = 4 Bypass Switchs),iBypass VHD GUI,Inline and copy traffic to 2 OOB tools (regeneration),Ordering Information,Inline Security HA (Active-Active) 测试拓扑,测试报告目录,
12、Features: xStream vs VisionOne,xStream配置过于复杂:学习曲线会很陡的,xStream Filters可视化和可读性不好,配置后,想改动,牵一发而动全身,在现网中应该没人敢轻易动配置,VisionOne可视化和可操作性都做得相当好,这才是客户想要的,V1 Demo Emulator,GigaHC2 with bypass modules,Gigamon n x 1/10G based inline solution,Gigamon的inline Solution: 内部Bypass模块 + Active-Standby,GigaBPS模块: 右边白色4对就是
13、Physical Bypass port pairs, 左边16个可作network/tool/Stacking/logical ports,2种Bypass mode: Physical : 支持断电时Bypass, 不断流 Logical : 使用HeartBeat,用于监测inline tool failureNPB有可能断电,故只能使用Physical mode,,Ixia Solution advantages,IXIA: 支持external Bypass Switch + Active-Active ModeGIMO: 只支持internal Bypass Module + Active-Standby ModeActive-Active Mode 优势:在相同价位上,提高所有设备的利用率,提供2倍于Active-Standby的处理能力External vs Internal in MTBF(hours):External : 450000 internal : 80000,IXIA Key differentiators:,NTO UI,谢谢!,
