防火墙新技术剖析
长久以来,业界普遍把安全网关产品的安全防护能力和性能水平看作两个不合的孪生兄弟,人们认为打开的安全防护功能多了性能势必受影响,性能高的产品必然不会具有太多功能。各级厂商也不断的在各种解决方案中游走,其中最著名的高性能方案可能是分布式交换和负载均衡,然而又会带来网络延迟大、系统臃肿、维护成本高的难题,那么,安全和性能真的不能兼得了吗?
当今10GE以太网络已经成为大大小小的核心机房的标准配备,甚至40GE/100GE以太网也已渐成规模,大笔资金慷慨投入网络建设的时候,与10GE网络相匹配的网络安全建设却一直让人耿耿于怀,因为安全设备多数并不能以10Gbps的速度完成防病毒、入侵防御、内容过滤等安全防护任务,用户投资没有发挥出其应有价值。
并且传统安全过滤带宽设计,很难达到80Gbps的线速处理能力,少数达到这种处理能力的方案基本都是采用分布式多业务板交换堆叠的方式,其带来的体积大、功耗大、维护工作量大问题是令用户异常头疼的,有用户发出感概“我的业务量增长了25%,我的机房设备维护人员也增加了25%,难道IT真的变成劳动密集型产业了吗?”。思来想去,我们不禁要问,设备体积是否也应该成为衡量设备技术水平高低的指标呢?假如占一间屋子的小型机和一台英特尔超极本的性能相同,那小型机还值得购买吗?
网御星云做为业界领先厂商,多年来一直秉承技术创新宗旨,其“精五”、“强五”系列安全网关拥有广泛的业界知名度,2013年网御星云又推出 “威五”真万兆线速安全网关(以下简称:网御威五),该产品在64~1518字节多种数据包、TCP/UDP/HTTP多种协议混杂的网络环境下,具有防火墙、防病毒、入侵防御、内容过滤等全功能打开时的10Gbps全时线速处理能力,实现了10Gbps的安全处理能力和10GE的网络处理能力无缝对接,用户在部署10GE网络时不必再担心投入和产出不成正比。那么具体来说网御威五安全网关都有哪些特色呢?
全功能万兆线速安全引擎
网御威五全威胁检测10Gbps+线速处理能力
通过业务处理引擎的高效预检机制和协议加速引擎的快速转发设计,网御威五可以在混合攻击包和病毒文件及多种应用特征的混合负载下,实现防火墙、防病毒、入侵防御、内容过滤等全功能打开时的万兆全时线速处理能力。
但这还远远不能体现出网御威五的性能优势,我们假设威胁特征的检出率是70%(尽管业界一直在努力追求100%,多数时候这个假设仍是比较实际的),在4G负载的情况下达到这个检出率是正常水准,为了保持检出率不下降有些产品采用了牺牲性能的办法,就是当负载达到某个程度,比如4.5G的时候,系统吞吐量无法再继续上升。相对的,得益于特征匹配优化算法,网御威五可以在保持威胁特征检出率不变的情况下,支持达到万兆的吞吐处理能力。
4G~80Gbps全天候线速防火墙吞吐
双协议处理加速模块级联后网御威五可处理80Gbps线速吞吐
在某些情况下,我们可以忽略复杂、多变流量,把所有流量都看作简单、重复流量来进行处理,就像通常在防火墙内所做的处理一样,在某些应用场合这种使用方式是很普遍的。这些用户通常都需要很强大的系统吞吐能力,他们只关心流量从哪里来、到哪里去,而不太关心流量的细节。
这时协议加速引擎就可以完全发挥出威力了,协议加速引擎从一开始就是为了处理简单、重复流量而设计的,其核心部件协议处理加速模块的设计吞吐能力最高40Gbps,最低也不低于4Gbps,并且不管流量是由什么数据构成的均能实现全天候线速转发。通过协议处理加速模块的级联,网御威五可为不同需求的用户提供4Gbps线速、8Gbps线速、40Gbps线速、80Gpbs线速等多种不同线速吞吐能力组合,从而更好的让先进技术为用户提供量体裁衣式的服务。
3μs(微秒)最低转发延迟
采用先进技术网御威五的低传输延迟
协议加速引擎使用相对独立的系统资源,有专用的快速内存为其提供运算支持,业务处理引擎采用并行计算的方式同时进行多项特征匹配,这些设计导致一个必然的结果:系统处理数据的单位耗时降低了,更准确的说是延迟降低了。低延迟对复杂的应用系统来说是影响使用效果的关键因素,拿北京首都机场T3航站楼举个例子,T3航站楼是目前世界第二大的单体航站楼,建筑面积90多万平方米,旅客容纳能力可想而知,但即使容纳旅客的数量非常多,如果不改变落后的手工更换登机牌操作,也只能是以队伍冗长、拥挤不堪为T3航站楼的建设画上一个不佳的句号。好在大量的登机牌自助更换设备解决了这一问题,在旅客容纳能力大幅提升的同时,保证了更换登机牌操作的单位耗时维持在较低水平。
防病毒、入侵防御、内容过滤统一引擎
网御威五从研发之初即采用了构建在专用硬件平台和VSP实时操作系统上的高度模块化的USE统一安全引擎。
USE统一安全引擎
网御威五不仅具有网络入侵防御和网络病毒防御功能,同时还具有丰富的应用监控功能。可以根据不同的时间、群组,来对即时聊天软件、网游、P2P软件等下达严格的管理策略。网御威五对应用的识别基于应用行为和数据特征,而不是基于端口号,有效地提升了应用的识别率,避免了误判。尤其对P2P应用中的加密传输,网御威五基于应用行为识别与主动探测相结合的方式,有效地克服了加密后无法识别的业内难题。
网御威五系列具有多款型号,均可实现全时线速处理能力,网御威五的推出,开创了安全和性能、性能和体积、性能和功耗、投入和产出双赢兼得的至臻安全时代,又将在业界掀起一股追逐技术创新的热潮。