|
|
在防火墙技术与产品发展过程中,随着网络、应用和攻击手段的不断演变,防火墙面临许多新的挑战,用户提出了许多新的需求。用户到底需要什么样的防火墙呢?通过大量的用户调研和需求分析,我们认为防火墙应该在安全性、时效性、可用性、可控性和可扩性方面具有卓越的品质。
用户需要高性能高安全防火墙
首先,防火墙作为保护网络的设备,在安全性方面要做到高屋建瓴,固若金汤。用户希望他们购买的防火墙具有多层防护措施,能够抵挡住非法访问和高级黑客的攻击,确保敏感信息的安全和重要网络的畅通。用户还希望他们购买的防火墙,能够魔高一尺,道高一丈,在新的攻击手段出现时,仍然可以游刃有余。
第二、如今的网络与应用需要防火墙在时效性方面能够做到收发自如,实时响应。我们知道,安全性和实效性之间是一对矛盾,要高安全性,则必然会牺牲时效性;反之,要提高时效性,也必然会牺牲安全性。在高安全性的前提下,确保时效性,是用户,特别是电信、金融等高端用户一贯的追求。因此防火墙不能成为信息高速公路的瓶颈,要像立交桥,而不是红绿灯。
第三、防火墙在可用性方面需要做到稳定运行,永不宕机。防火墙安装在网络或子网的边界,是信息交换的必经之地,必须确保用户的生产网或办公网连续稳定地运行。因此防火墙不应成为事故多发地带,不能宕机,而应该稳如泰山,巍然不动。
第四、防火墙在可控性方面需要做到精准管理,明察秋毫。管理、审计和监控是确保安全的最后一道防线,管理有效才能确保执行有力。同时这也是衡量防火墙好坏的一个极其重要的指标。
最后,防火墙在可扩展性方面需要做到按需分配,与时俱进。根据我国信息化建设跳跃式发展的特点,用户的信息系统常常也是不断完善和不断升级的,因此也要求防火墙能够可扩展、可升级。
在这五种需求中,安全性和时效性是一对矛盾,也是用户尤其亟须解决的。用户绝对不愿因为安全性而丧失了高性能,更不会因为性能而放弃安全性,如何在安全与性能这一矛盾中找到平衡点,是所有用户的期待,也将成为各个安全厂商的一贯追求。
联想“超五”安全与性能兼得
联想“超五”千兆线速防火墙——NFW4000是一款无操作系统、多机集群并基于NP(网络处理器)的4GB千兆线速防火墙,也是真正实现数据包内容过滤的防火墙。联想拥有完全自主知识产权,并已取得国家十多项技术专利,不仅在国内同类产品中名列前茅,而且在国际上也属领先水平。
在性能方面,“超五”防火墙采用了NP芯片架构,以联想独创的并流处理技术实现了全双工状态下的4Gb的吞吐率。
在安全方面,“超五”防火墙具有全部自主知识产权,独创的防火墙IPF(Intrusion Protection Filter,入侵保护过滤)技术可以提供基于状态的数据包内容深度检测,完整实现了二至七层全面的访问控制与防护;同时,“超五”无操作系统,通过芯片中的微码,可以不通过外围操作系统直接管理产品的所有硬件,在底层硬件设备中接管进出安全产品的数据并进行处理,大大减少了防火墙本身的安全漏洞,提升了防火墙本身的安全性和抗攻击能力。
在可用性方面,“超五”采用了多重电信级冗余配备标准:支持链路冗余、电源热插拔冗余、风扇模组热插拔冗余,并提供完善的自愈功能,保证永不宕机;同时,运用国内独创的防火墙HA集群技术,最多实现四个防火墙集群的主动负载均衡,可提供比双机热备、负载均衡更强的功能和高可用性。
在可管理性方面,“超五”提供的基于硬件的带宽管理,充分保证了QoS的实现。同时,“超五”还提供人性化的防火墙集群管理界面,提供分布式防火墙集中管理,支持远程配置管理及安全集中管理,具有完善的日志管理和的强审计功能,支持网御LeadSec Manager安全管理平台的统一管理,并可实现IDS产品联动与响应阻断。
在扩展性方面,“超五”在提供比Intel架构更快性能的同时,还提供比ASIC架构更高的灵活性。上期介绍过, NP的原理是多个CPU并行工作,CPU并行的机制可以用微码程序进行控制,这些微码程序正是联想看中的一个特点。一旦有新的攻击,联想可以通过及时修改微码,使这个芯片具有抵抗功能。由于控制模块与网络处理模块分离、主从可扩展接口可灵活配置,可以在网络安全不断变化与发展中及时升级防火墙在芯片中的核心安全模块,真正作到随时随地的安全。
联想“超五”千兆线速防火墙具有性能,安全,管理,可用,扩展性方面的五大优势,通过网络处理器(NP)芯片的多引擎多协议处理器、多层协议解析和强大的芯片级编程功能在提供应用层数据包深度过滤,确保网络安全的前提下实现了全双工状态下的4Gb的吞吐率,让用户安全与性能兼得。在赛迪评测中心60秒持续压力的测试报告记录:“64字节包双工单流100%,多流98.5%;延迟小于18µs;丢包率为0;最大并发连接数为100万;每秒新增连接数为2万。”
作为一款高性能的防火墙,“超五”主要采用了如下技术:
1、快速内存访问机制
采用on-Chip-SRAM 片内快速内存存储,保证处理器芯片对数据的高速访问存取。当数据报文抵达防火墙后,数据保存在NP芯片高速内存中,防火墙不做任何拷贝,避免性能降低。
2、三级并行处理机制
无论从硬件到软件,超五防火墙都采用了并行处理机制,最大限度地提高数据帧的处理速度。
处理器级的并行:网络处理器内嵌16个并行高速核心处理器(parallel core processor)。85个硬件协处理器(coprocessor)和硬件分类处理器Hw assis processor,使防火墙具有空前的高性能和广泛应用的处理能力。
线程级并行:采用并行线程处理技术(Parallel Thread Processing Technology),设计32个专用Firewall-Processing-Thread(防火墙处理线程),保证每一时刻防火墙能够一次并行处理32个frame。
指令级并行:将防火墙功能分解为多个安全功能组件,并利用专用功能协处理器完成对数据帧的流水处理。数据包从第一个bit进入到最后一个bit发送,延迟小于18微秒
3、快速查表机制
防火墙最主要的功能是状态检测和安全规则检查,而这两个功能最消耗处理器资源和内存资源。超五防火墙在硬件上采用专用硬件查表协处理器来提高查找速度;在软件上根据特点采用不同的分类算法优化,树型结构存储等技术来提高查表速度。
状态表倍速检测技术:
针对已建立连接,对数据包(请求和回应的数据包)的状态检查一次完成,保证每秒2万个新建连接,支持100万个并发连接。对流经防火墙的数据包进行基于IP地址、网络接口、服务、用户、时间等状态的动态过滤,完整地实现了基于RFC 2544的状态检测规范。
安全规则动态平衡存储技术:
传统防火墙的处理性能受限于设置的安全规则数目,随着安全规则数的增加,其搜索增长速率呈线性递增。超五防火墙实现了基于专用处理器的非线性快速规则匹配算法,对安全规则集进行动态平衡分布,使防火墙对规则集内任意一条规则的匹配时间近似恒定,从而保证防火墙每一次发起的规则查找在极短的时间内完成(平均一次安全规则时间基本恒定在1.6us),突破了传统防火墙的性能限制,极大的提高了网络处理性能。与快速状态表配合保证了防火墙线速处理的最小延时。 |
|
发表于 2009-12-23 12:19:59