防火墙新技术剖析

  长久以来,业界普遍把安全网关产品的安全防护能力和性能水平看作两个不合的孪生兄弟,人们认为打开的安全防护功能多了性能势必受影响,性能高的产品必然不会具有太多功能。各级厂商也不断的在各种解决方案中游走,其中最著名的高性能方案可能是分布式交换和负载均衡,然而又会带来网络延迟大、系统臃肿、维护成本高的难题,那么,安全和性能真的不能兼得了吗?

  当今10GE以太网络已经成为大大小小的核心机房的标准配备,甚至40GE/100GE以太网也已渐成规模,大笔资金慷慨投入网络建设的时候,与10GE网络相匹配的网络安全建设却一直让人耿耿于怀,因为安全设备多数并不能以10Gbps的速度完成防病毒、入侵防御、内容过滤等安全防护任务,用户投资没有发挥出其应有价值。

  并且传统安全过滤带宽设计,很难达到80Gbps的线速处理能力,少数达到这种处理能力的方案基本都是采用分布式多业务板交换堆叠的方式,其带来的体积大、功耗大、维护工作量大问题是令用户异常头疼的,有用户发出感概“我的业务量增长了25%,我的机房设备维护人员也增加了25%,难道IT真的变成劳动密集型产业了吗?”。思来想去,我们不禁要问,设备体积是否也应该成为衡量设备技术水平高低的指标呢?假如占一间屋子的小型机和一台英特尔超极本的性能相同,那小型机还值得购买吗?

  网御星云做为业界领先厂商,多年来一直秉承技术创新宗旨,其“精五”、“强五”系列安全网关拥有广泛的业界知名度,2013年网御星云又推出 “威五”真万兆线速安全网关(以下简称:网御威五),该产品在64~1518字节多种数据包、TCP/UDP/HTTP多种协议混杂的网络环境下,具有防火墙、防病毒、入侵防御、内容过滤等全功能打开时的10Gbps全时线速处理能力,实现了10Gbps的安全处理能力和10GE的网络处理能力无缝对接,用户在部署10GE网络时不必再担心投入和产出不成正比。那么具体来说网御威五安全网关都有哪些特色呢?

  全功能万兆线速安全引擎



  网御威五全威胁检测10Gbps+线速处理能力

  通过业务处理引擎的高效预检机制和协议加速引擎的快速转发设计,网御威五可以在混合攻击包和病毒文件及多种应用特征的混合负载下,实现防火墙、防病毒、入侵防御、内容过滤等全功能打开时的万兆全时线速处理能力。

  但这还远远不能体现出网御威五的性能优势,我们假设威胁特征的检出率是70%(尽管业界一直在努力追求100%,多数时候这个假设仍是比较实际的),在4G负载的情况下达到这个检出率是正常水准,为了保持检出率不下降有些产品采用了牺牲性能的办法,就是当负载达到某个程度,比如4.5G的时候,系统吞吐量无法再继续上升。相对的,得益于特征匹配优化算法,网御威五可以在保持威胁特征检出率不变的情况下,支持达到万兆的吞吐处理能力。

  4G~80Gbps全天候线速防火墙吞吐



  双协议处理加速模块级联后网御威五可处理80Gbps线速吞吐

  在某些情况下,我们可以忽略复杂、多变流量,把所有流量都看作简单、重复流量来进行处理,就像通常在防火墙内所做的处理一样,在某些应用场合这种使用方式是很普遍的。这些用户通常都需要很强大的系统吞吐能力,他们只关心流量从哪里来、到哪里去,而不太关心流量的细节。

  这时协议加速引擎就可以完全发挥出威力了,协议加速引擎从一开始就是为了处理简单、重复流量而设计的,其核心部件协议处理加速模块的设计吞吐能力最高40Gbps,最低也不低于4Gbps,并且不管流量是由什么数据构成的均能实现全天候线速转发。通过协议处理加速模块的级联,网御威五可为不同需求的用户提供4Gbps线速、8Gbps线速、40Gbps线速、80Gpbs线速等多种不同线速吞吐能力组合,从而更好的让先进技术为用户提供量体裁衣式的服务。

  3μs(微秒)最低转发延迟



  采用先进技术网御威五的低传输延迟

  协议加速引擎使用相对独立的系统资源,有专用的快速内存为其提供运算支持,业务处理引擎采用并行计算的方式同时进行多项特征匹配,这些设计导致一个必然的结果:系统处理数据的单位耗时降低了,更准确的说是延迟降低了。低延迟对复杂的应用系统来说是影响使用效果的关键因素,拿北京首都机场T3航站楼举个例子,T3航站楼是目前世界第二大的单体航站楼,建筑面积90多万平方米,旅客容纳能力可想而知,但即使容纳旅客的数量非常多,如果不改变落后的手工更换登机牌操作,也只能是以队伍冗长、拥挤不堪为T3航站楼的建设画上一个不佳的句号。好在大量的登机牌自助更换设备解决了这一问题,在旅客容纳能力大幅提升的同时,保证了更换登机牌操作的单位耗时维持在较低水平。

  防病毒、入侵防御、内容过滤统一引擎

  网御威五从研发之初即采用了构建在专用硬件平台和VSP实时操作系统上的高度模块化的USE统一安全引擎。



  USE统一安全引擎

  网御威五不仅具有网络入侵防御和网络病毒防御功能,同时还具有丰富的应用监控功能。可以根据不同的时间、群组,来对即时聊天软件、网游、P2P软件等下达严格的管理策略。网御威五对应用的识别基于应用行为和数据特征,而不是基于端口号,有效地提升了应用的识别率,避免了误判。尤其对P2P应用中的加密传输,网御威五基于应用行为识别与主动探测相结合的方式,有效地克服了加密后无法识别的业内难题。

  网御威五系列具有多款型号,均可实现全时线速处理能力,网御威五的推出,开创了安全和性能、性能和体积、性能和功耗、投入和产出双赢兼得的至臻安全时代,又将在业界掀起一股追逐技术创新的热潮。

(0)

相关推荐

  • 下一代防火墙同传统防火墙、UTM的区别

    当前各种网络威胁层出不穷,企业的网络安全重要性日益凸显,抛开传统的IP.端口,并基于应用层进行重构安全的下一代防火墙,已成为企业网络安全防护的新选择.然而调查数据显示,企业用户(特别是中小型企业用户) ...

  • 新网络环境下应用层DDoS攻击的剖析与防御

    应用层DDoS攻击分析 1.Net-DDoS攻击与App-DDoS攻击 按攻击所针对的网络层次可以把DDoS攻击分为:网络层DDoS(Net-DDoS)攻击和App-DDoS攻击。Net-DDoS攻击 ...

  • 服务器防火墙的选择

    关于服务器安全,新手最常遇到的一个问题就是:该选择哪种防火墙?面对种类如此繁多的服务器防火墙,在选择的时候,是考虑厂商的知名度还是防火墙本身的性能?是选择国内防火墙好还是国外防火墙?该使用收费的企业级 ...

  • 什么是防火墙?防火墙的工作技术分类与基础原理

    什么是防火墙?防火墙的工作技术分类与基础原理 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合.它是不同网络或网络安全域之间信息的唯一出入口,通过监测 ...

  • win7防火墙设置(firewall)详解

    一、Windows防火墙的演变 Windows XP中的防火墙是一款简单、初级仅保护流入信息,拦截任何不是由你主动发启入站连接的软件--它是默认关闭的。SP2后它才被默认启动并可以通过组策略的方式由管 ...

  • 怎么用Win7防火墙来保护你的系统安全

    大部分人工作和生活都离不开互联网,可是当前的互联网安全性实在令人堪忧,防火墙对于个人电脑来说就显得日益重要,在XP年代,WinXP自带的防火墙软件仅提供简单和基本的功能,且只能保护入站流量,阻止任何非 ...

  • linux设置iptables防火墙的详细步骤(centos防火墙设置方法)

    我们 来讨论一下如何为你的CentOS 服务器来设置简单的防火墙。 这里我们以DigitalOcean的CentOS 6 VPS为基础来讨论的,同样也适用于 阿里云上其他类型的LINUX系统。 (阿里 ...

  • win7系统中的防火墙设置开机自启的方法与步骤

    系统防火墙是为了抵御木马或病毒入侵一层屏障,需要开机随机启动,才能起到主动防御病毒。那么,怎么设置win7系统防火墙开机自动开启呢? 方法/步骤 1、桌面计算机右击 打开管理。 打开管理 2、找到服务 ...

  • 微软发布Win10新技术预览版Build 9860:WP通知中心被搬到PC桌面

    10月22日消息,据国外媒体报道,Windows 10技术预览版(Technical Preview)发布3周后,微软发布了该技术预览版的第一次更新。 Windows10新技术预览版版本号为Build ...