1、 2018 Gigamon.All rights reserved.1安全节点新架构Gigamon inline 架构 和安全服务链编�����排GigamonGigamon /英国技盟英国技盟 技术经理 顾威180 1600 0621 2017-2020 Gigamon Inc.All rights reserved.1 2018 Gigamon.All rights reserved.2公司简介分支机构分支机构20 国家客户行业客户行业公共服务|金融服务 医疗健康|零售业高科技|运营商市场地位市场地位NGNPB市场开拓及领导者市场份额第一专利专利66 世界专利客户客户3,200+客户83%财富100
2、雇员雇员1000 雇员CEOPaul Hooper创立创立成立于成立于2004*Feb 2018:Offices,employee and patent informatio������n*Q1 2018:Customer count五位华人五位华人可视化可视化-网络架构中的重要元素网络架构中的重要元素Gigamon提供对物理,虚拟和云网络的前所未有的可视化,并且被广泛应用。Gigamon正在引领网络和安全的融合。我们的解决方案����有助于使安全威胁更加容易被识别,让您更灵活地部署资源并最大化提升工具效能,增加投资回报.全面可视全面可视 灵活资源部署灵活资源部署 工具效能最大化工具效能最大化 投资回报投资回报
3、2018 Gigamon.All rights reserved.3连续6年网络可视化市场份额全球#1IHS Markit:Gigamon is the 2019 Market Share LeaderSource:IHS Markit:Network Monitoring Equipment A����nnual Market Report,9 August 2019 by Matthias Machowinski38%2019年年市场份额2倍于竞争对手,市场份额第一21%2018年年市场份额超出排名第二的竞争21%”“IHS报告指出,从2013年以来,Gigamon一直保持市场占有率第一位,201
4、8年Gigamon收入保持平稳,市场占有率36%�������,继续领先第二位21%2018 Gigamon.All rights reserved.4Gigamon中国区部分客户 2018 Gigamon.All rights reserved.5全新安全架构-对安全设备的流量编排 2018 Gigamon.All rights reserved.6为什么需要下一代互联网出口架�������构1.众多的串联设备,带来众多的故障点2.安全设备的升级维护需要中断网络3.增加或删除设备需要中断网络4.任一设备出现瓶颈可能引起网络中断5.出口设备的故障排查非常复杂6.高带宽的网络骨干很难部署安全产品7.SSL加密流量带来安全产
5、品性能和网络整体安全性的问题SiSiSiSi防火墙防火墙1Switch x 2入侵防御入侵防御器器1WAF1防火墙防火墙2入侵防御入侵防御器器2WAF2 2018 Gigamon.All rights reserved.7二层安全设备典型的串接部署二层安全设备典型的串接部署痛点痛点 部署复杂效率低 单点故障点多 工具效率低 缺乏安全部署的灵活性 故障排查困难下一代边界安全架构:串联旁路(Inline Bypass)物理定义 vs 软件策略定义-安全服务架构最大限度发挥安全工具的性能灵活的流量策略提升安全工具监控效率简化inl������ine链接架构在串联链路上增加、移除、维护安全产品更加简便减少增加安全
6、工具带来的多故障点将多安全工具的多点故障变为单一故障点,并通过硬件bypass来解决提供串联、并联、监控 一体的解决方案提供SSL硬件解密T1T2T3T3T3T1T2Inline BypassT3T3T3 2018 Gigamon.All rights reserved.8应用场景1串接性能面临挑战�����串接性能面临挑战安全工具需要检查所有通过流量安全工具接口带宽线速处理性能业务促销带来流量瞬间突发Gigamon 解决方案解决方案对流量进行按工具类型进行编排不需要的流量不发送至工具WAF 仅收到基于http类型���的应用性能优化-按工具需求编排流量,物尽其用Traffic flowsInboundOut
7、boundDDoSIPSATPWAF������旁路VPNWebOtherVPNWebOther云应用ERP交易数据IMWebexSQL远程办公Web视频会议Zoom统一通信 2018 Gigamon.All rights reserved.9安全服务链环节当安全服务链中某一环节出现故障(可能是单台设备,或整个资源池),该节点自动bypass安全服务链:client-Server当安全服务链中的单个节点出现故障时,能够将该节点自动进行bypass,而该服务链中的其他节点依旧按次序提供安全服务.此外,也可通过服务链策略,设置当其中一个节点出现故障时,将整个服务链disable,或将主干链路接口down(促使
8、客户网络切换到standby线路)等操作.该切换时间基于具体设备的心跳包机制时间.2018 Gigamo����n.All rights reserved.10应用场景 2串接设备添加新设备面临的挑战串接设备添加新设备面临的挑战新产品选型测试周期长设备上线需要断网设备上线需要调整网络环境设备上线需要策略适配Gigamon 解决方案解决方案产品选型可以同时进行,同一时间,同样流量可以在线实时按需扩展无需中断网络即可提升性能无需产品执行HA或集群无需同品牌,可以异构并存性能优化-纵向弹性扩展NGFWIPSWAFATPRouterSwitch只需检查只需检查web特定应用特定应用全流量流量IPSWAFAVO
9、OBATPATPATPATP新增安全工具AV 2018 Gigamon.All rights reserved.11应用场景 3串接设备扩容面临的挑战串接设备扩容面临的挑战单台设备性能不足,需要扩展性能设备扩展至更高的型号成本过高无弹性可横向扩展部署架构Gigamon 解决方案解决方案可以在线实时按需扩展无需中断网络即可提升性能无需产品执行HA或集群无需同品牌,可以异构并存,构建安全产品资源池性能优化-横向弹性扩展,安全资源池IPSWAFAVOOBATPATP������ATPATPATP安全资源池 2018 Gigamon.All rights reserved.12安全工具的冗余和弹性扩展1+1 N+
10、1 冗余及N 负载分担工具1+1 主备主设备故障,流量绕经备用设备主备设备同时故障,流量直接通过工具恢复模式可定义为手工或自动工具N+1 主备N活动的任一工具失效,其流量绕经备用设备工具失效保护负载分担可自动将失效工具旁路降低����安全工具失效带来的业务影响工具1:1,N:1,N 分担(可基于权重)流量分担在多组同功能的工具安全功能灵活可扩展性基于硬件的线速工具资源负载均衡可基于权重以适应不同性能的工具上下行相同会话流量由同一安全工具处理避免在单个工具上会话不同步导致业务阻断工具失效时,流量被重新分配到剩余的工具。当多工具失效时,可以定义流量绕过剩余的工具直通以避免性能瓶颈StandbyActive
11、N+1 冗余模式加权hash模式 2018 Gigamon.All rights reserved.13Case1 方案加密流量加密流量解密流量解密流量汇聚交换机汇聚交换机防火墙防火墙IPSIPSIPS出口防火墙出口防火墙汇聚交换机汇聚交换机防火墙防火墙IPSIPS资源池资源池出口防火墙出口防火墙ActiveStandbyActiveStandbyIPSWAFDLPIPS������WAFDLPIPS 2018 Gigamon.All rights reserved.14应用场景 4网络链路变化网络链路变化新增线路线路从1G升级到10G需要升级原有安全工具Gigamon 解决方案�������解决方案新增链路仅需要在G
12、igammon串接解决方案中添加链路链路由1G升级至10G,原有工具依然可以通过Gigamon串接解决方案进行部署,保护投资全部升级工具预算超出项目预期,可以通过Gigamon解决方案进行平滑逐步扩容线路扩容-保护投资,兼顾过去NGFWIPSWAFATPRouterSwitch只需检查只需检查web特定应用特定应用全流量流量IPSWAFAVOOBATPATPATPATP 2018 Gigamon.All rights reserved.15应用场景 5安������全工具预算增长难以预计安全工具预算增长难以预计链路更换安全工具需要更换流量增长安全工具需要更换突发流量安全工具需要更换Gigamon 解决方案
13、解决方案优化输出至安全工具的流量适配任何网络带宽接口原有设备可利旧构建安全资源池弹性扩展保护投资,预算可控预算可控-拥抱未来NGFWIPSWAFATPRouterSwitch只需检查只需检查web特定应用特定应用全流量流量IPSWAFAV������OOBATPATPATPATP 2018 Gigamon.All rights reserved.16目前市场上 原有SSL 方案 所面临的挑战三种实现SSL������/TLS 流量解密的方式使用Web代理/防火墙使用负载均衡分配流量使用ssl解密工具复杂的流量分发配置Bypass能力弱Inline Tool(s)有限的流量分发选择有限的接口带来有限的选择InlineT
14、ool������(s)Decryptor(s)低性能流量无法给到其他分析工具FWProxy 2018 Gigamon.All rights reserved.17应用场景 6一次解密,多次使用加密流量加密流量解密流量解密流量客户端客户端互联网服务器互联网服务器企业服务器企业服务器客户端客户端APT防护防护IPS网络审计网络审计病毒扫描��������病毒扫描带内安全工具旁路安全工具网关设备网关设备互联网串接链路盲点串接链路盲点:对不断增长的SSL/TLS流量缺乏可视性和控制会导致盲点 无法检查用于C2通信使用SSL/TLS加密的恶意软件 现有工具中的SSL/TLS解密导致性能下降Gigamon 解决方案解决方案:用于解
15、密入站和出站TLS会话的TLS解密模块 集中式SSL/TLS解密,一次解密可以给多种工具使用 从其他工具中卸载昂贵的SSL/TLS处理 为带外工具提供SSL/TLS加密流量的可见性 集成URL分类以保护数据隐私 安全流量可直接通过,提高性能安全流量直接通过普通流量直接转发普通流量直接转发 2�������018 Gigamon.All rights reserved.18流量智能应用 SSL/TLS 解密,统一的SSL 加解密降低安全设备负载一次解密,工具共享+工具灵活部署痛点痛点:对不断增长的SSL/TLS流量缺乏可视性和控制会导致盲点 无法检查用于C2通信使用SSL/TLS加密的恶意软件 现有工具中的S
16��������、SL/TLS解密导致性能下降Gigamon 解决方案解决方案:用于解密入站和出站TLS会话的TLS解密模块 集中式SSL/TLS解密,一次解密可以给多种工具使用 从其他工具中卸载昂贵的SSL/TLS处理 为带外工具提供SSL/TLS加密流量的可见性 集成URL分类以保护数据隐私 安全流量可直接通过,提高性能SSL/TLS(加密数据加密数据)SSL/TLS(加密数据加密数据)1223加密数据加密数据解密明文数据解密明文数据串接安全设备串接安全设备IPS旁路安全设备旁路安全设备SIEM串接安全设备串接安全设备WAF4互联网互联网服务器服务器客户端客户端安全流量SSL/TLS(加密数据加密数据)20
17、18 Gigamon.All rights reserved.19 APIGigaVUE-HC3GigaVUE-FMLBNGFWWAFWAF资源池资源池IPSIPS资源池资源池管理地址ip可达LB加密流量加密流量解密流量解密流量镜像镜像流量流量Case2-方案采用我司Inline SSL方案,实现以下需求:l多线路共享安全设备 l安全设备资源池化,并可横向弹性扩展l安全设备间松耦合 l安全设备切换,纵向增加节点不影响业务l不同业务流量自定义安全服务链编排lS�����SL可视化编排,加密&在加密l对加密/明文流量,实现灵活镜像l带物理硬件bypass,减少故障节点l便于故障诊断,协调分析100Gb li
18、nk10Gb link 2018 Gigamon.All rights reserved.20逻辑拓扑GigaSMARTLACP bypass SSL to decryption需检测流量 to wafCollector bypassInline-net AInline-net BInline-tool 1-AInline-tool 1-B优先级:(从上往下)1.(如有)对portcha����nnel二层通信包放行,使得上下游设备建立通道.1.1(如需)指定网段/ip,无需解密或给到安全设备,直接放行.2.将需解密后给到waf设备的ss���l流量,发送到引擎进行解密,再给到waf.3.对明文流量,需直接
19、给到waf进行检测.(通常为所有IPv4流量)4.剩余流量(未匹配到过的流量),统一bypass�����,或给到waf.2018 Gigamon.All rights reserved.21硬件bypass性能当Gigamon设备自身故障时,设备自动基于硬件能力bypass正常工作模式断电后BYPASS模式 2018 Gigamon.All rights reserved.22网络可视化-TAP镜像网络建设 2018 Gigamon.All rights reserved.23我们期望的网络应用及安全可视化效果网络/应用/交易的流量与性能;网络安全检测及防御 2018 Gigamon.All righ
20、ts reserved.24远程远程站点站点私有云私有云数据数据中心中心运营商运营商公有云公有云用户用户合作伙合作伙伴伴客户客户雇员雇员客户客户Revenue合作伙伴合作伙伴未知未知各种应用各种应用IP及及终端终端IP及及终端终端未知未知各种应用各种应用未知未知网络数据用户安全威胁工具数字化不断发展带来管理的窘境快速发展导致当前的监控体系不可持续-分散的、效率低 无层次网络设备直接发送流量给工具工具系统直接从网络中采集流量部署越来越多的监控工具,无统一无统一规划规划。工具效能低工具效能低,处理无关数据不统一的流量采集导致工具的部署和管理分散独立分散独�����立的信息孤岛。端口镜像资源������本身的限制导致工具
21、无法取得所需流量无法取得所需流量。网络虚拟化虚拟化应用带来的可视化问题。完整可视性“the single source of truth”2018 Gigamon.All rights reserved.2525Gigamon 可视化网络架构PERFORMANCE&SECURITY TOOLSGigamon|可视化 架构混合基础设施CloudVirtualPhysicalCont����ainers andMicroservicesMobilityLegacySystemsOperationalTechnologyThreatINSIGHTIPSFWNPMDSIEMAPM设备&应用 2018 Giga
22、mon.All rights reserved.2626分析过滤优化汇聚接入CloudVirtualPhysicalContainers andMicroservicesMobilityLegacySystemsOperationalTechnology设备&应用PERFORMANCE&SECURITY TOOLSThreatINSIGHTIPSFWNPMDSIEMAPM混合基础设施Gigamon 可视化网络架构 2018 Gigamon.All rights reserved.27串接流量故障取证串接链路中很难排障单个设备性能问题影响整个链路故障诊断多部门协调分析�����Gigamon 可以可以对各
23、个设备串接流量的前后端进行流量采集可实现临时流量直通规则可提供metadata输出各个部门紧密合�������作 2018 Gigamon.All rights reserved.28REST APIsSoftware-Defined VisibilityInternet虚拟化,私有云SSLDecryptionNetFlow/IPFIXGenerationApplicationSession FilteringAdaptivePacket FilteringHeaderStrippingAPMAnti-MalwareIDSDLPNetwork ForensicsAPT Centralized ToolsAp
24、plication Per������formanceNetwork PerformanceCustomer ExperienceSecurityMonitoringDe-cap VXLANVirtual TrafficVXLAN=6000SSL DecryptedNetFlow/IPFIXTAPsGigaVUE-VMFiltered and Sliced Virtual TrafficNSX APIs,Gigamon Service InsertionvCenter APIs,EventsvCenterNSX ManagerGigaVUE-FM2.Apply“Visibility”PolicyGigaV
25、UE-VM2.Apply“Visibility”��������Policy租户,应用可视化 2018 Gigamon.All rights reserved.29数据集中管理提供集中网络流量可视化解决方案入侵入侵检测检测业务质业务质量量监测监测业务质业务质量量监测监测其它流量收集网网络络性能性能监测监测入站端口入站端口出站端口出站端口仅仅仅仅特定流量被送往各个工特定流量被送往各个工具,具,这这大幅降低了�������出站流量,大幅降低了出站流量,显显著提高工具著提高工具性能性能Flow Mapping 是入站/出站流量中转分配站Map 操作允许随时增加和删除 Input 端口,对实际操作提供了最大的便利。结合出站过滤器,
26、能更进一步定位流量。VOIPIDSCEMWEBMap RuleMap RuleMap RuleMap RuleFlow Mapping:基于背板的基于背板的过滤过滤引擎引擎网网络络性能性能监测监测负载均衡过滤+复制互联网互联网Routers“Spine”Switches“Leaf”Switches虚拟机虚拟机工具设备群 2018 Gigamon.All rights r����eserved.3010 Gbps基于应用的过滤技术视频流量占据52%的带宽来自这些站点的威胁风险极低 提高检测性能提升工具性能降低运营成本减少误判Use Case:Filtering-Reducing High Volume,
27、Low Risk Traffic4.8 GbpsInternal NetworkFilter-Netflix-YouTube 2018 Gigamon.All rights reserved.3110 Gbps基于应用的过滤技术不同的网络安全产品专注于不同类型的网络流量需要检查的流量发送至正确的工具从广泛的流量类别开始逐步调优关注的重点流量排除不相干的流量优化检测性能提高部署效率Use Case#2:Focusing-I�����solating Relevant Flows6 GbpsInternal NetworkWebEmai��������l4 GbpsIDSEmailDetection 2018 Gigamo
28、n.All ����rights reserved.32Application Intelligence 简易测试架构&AMI设定画面 2018 Gigamon.All rights reserved.33SIEMs:Correlate and Analyze Log Data关联和分析日志数据利用元数据属性来发现鉴别数据渗透可疑的远程连接时间窗分析高权限用户活动异常登录活动HTTP客户端错误恶意DNS和DHCP服务请求弱密码 2018 Gigamon.All rights reserved.34全网可视化的目标复杂的数据中心网络网络结构 两地三中心:双活、灾备中心 多业务区域,多FW、LB设备 多分
29、支机构、外联、三方等 私有云,混合云网络监测 快速定位网络响应时间 时延分段分析(FW,LB)丢包、重传、建链、流量异常等监测 广域网容量规划、QoS监测网络监测应用、业务监测 业务性能指标、响应成功率、响应返回码 交易链路路径、交易渠道安全、SIEM监测 南北流量,东西流量 SIE������M 日志信息 2018 Gigamon.All rights reserved.35一次一次服务多次服务多次使用使用处理或筛选后的流量可复制给多台工具设备使用工具系统效率工具系统效率优化优化流量筛选过滤增进效益提高工具系统投资回报提高工具系统投资回报现有设备可适配网络带宽继续使用减少部署新系统的投资压力大幅提升架构稳定性大幅提升架构稳定性串接工具或网络变动不会互相影响SDSN 软件定义网络安全防御可视安全统一规划可视安全统一规划实体网络、虚拟网络、云端网络可视安全防御统一Gigamon 流量智能可视化安全平台 2018 Gigamon.All rights reserved.36Contact InformationThank You36
sgpjbg002
工作日 8:30 - 17:30
报告分类
