紧贴应用层防护需求.docVIP

紧贴应用层防护需求 　　关于下一代防火墙市场的鏖战，安全厂商之间早已展开。对于这个近年来在信息安全领域曝光率极高的名词，似乎每个厂商都有自己的理解，也都根据自己的理解构建了自己的产品体系。 　　近日，东软集团发布了160G高性能下一代防火墙――东软NetEye NISG 7000-Ⅻ。对于这款产品的推出，东软方面显示出了极大的自信。对于国内早已开始的下一代防火墙市场竞争，东软是否有点后知后觉？面对强手如林的下一代防火墙市场，东软的自信又来自哪里？ 　　应用层的高性能 　　东软集团网络安全事业部副总经理张泉告诉记者，160G高性能下一代防火墙NISG 7000-XII依托东软集团自身技术优势与近20年的网络安全行业积累，针对运营商、金融、大型行业客户数据中心等超大规模业务应用场景而设计，旨在帮助大型行业客户完成数据中心边界的安全防护和应用安全管控。 　　事实上，东软集团在安全领域具有足够的积淀，总是希望在精耕细作之后，把最成熟的产品和技术推向市场。这是东软安全对产品负责的态度，也是其自信的原因之一。 　　东软集团网络安全事业部资深产品设计师翟海涛指出，当前企业数据中心网络中75%的安全风险都来自于应用层流量。他认为，传统的高性能安全网关类产品正在遭遇前所未有的尴尬。这是因为，它们的高性能都是指网络层，而网络层的高流量却无法完整地进行应用控制、IPS检测等工作，无法实现应用层的安全防护，使这类安全网关产品的防护能力大打折扣。 　　“东软这次推出的160G下一代防火墙，其应用层的吞吐量和网络层一致，同样可以达到160G。这是该产品的巨大优势。”翟海涛自信地认为，东软的下一代防火墙产品在应用层的出色表现，才能证明下一代防火墙对用户安全防护所具有的巨大价值。 　　翟海涛介绍，应用层的超高吞吐量得益于针对数据中心业务流量特征设计的Rocky高速并行计算架构，东软NetEye NISG7000-Ⅻ除了网络层160Gbps的吞吐量和160Gbps的应用识别与控制吞吐量，还具备每秒60万个新建应用层会话、最大并发连接数3000万等性能，真正称得上是“高性能”下一代防火墙。 　　翟海涛提到的Rocky高速并行计算架构，是东软安全基于Intel DPDK技术和东软安全操作系统NOS针对数据中心流量特性而设计的安全架构。通过对网络接口行为的重构，支持基于流的多核负载分配，确保全局无锁化，保证多核高速并行计算的性能。同时，NOS自主设计的调度系统解决了上下文切换带来的巨大开销，以及Cache失效带来的性能丢失，确保了每次数据访存都能命中Cache，极大地提升了性能;通过重构文件系统的方式大大优化了I/O操作的性能，并根据需求改变I/O行为，保证块模式扫描性能得到提升。 　　为数据中心而生 　　综观东软NetEye NISG 7000-Ⅻ的特性，不难发现，它正是为数据中心安全而生。 　　“在Rocky高速并行计算架构下重新调校的智能IPS引擎，更是把这款产品的IPS检测能力提升到了80Gbps的水平，完全满足数据中心在高带宽、高并发下，对复杂应用数据进行安全检测和管控的需求。”翟海涛介绍，该产品搭载的智能IPS引擎被称为NEL，是东软拥有完整自主知识产权和多项国家及国际专利的IPS检测引擎，它为东软NetEye NISG 7000-Ⅻ带来了强大的攻击事件描述能力和强大的扩展性，也对其检测机制进行了调优。它采用基于以位并行（Bit Parallelism）和q-grams作为技术基础并改进的模式匹配算法，通过概率计算预测运行效果，对模式集进行合理统筹分组，更智能优化了过滤效果，并通过多层过滤技术加速检测。首先从高速流量当中快速锁定有潜在威胁的数据区域，然后通过逐层局部放大的方式进行深入检查，在大幅提升检测效率的同时，也能够准确识别攻击数据。同时，各层次过滤条件可以根据实际网络流量实时调优，达到最高检测性能。 　　当然，该产品还具备强大的灾备能力，作为数据中心安全网关产品，这一点必不可少。在硬件设计上，系统采用双电源设计、网络接口硬件Bypass设计。在极端硬件故障情况下，保障数据业务的连贯性。在软件功能上，东软NetEyeNISG 7000-Ⅻ支持多系统、冗余接口、VPN冗余网关、链路备份、负载均衡、主-主模式热备、主-备模式热备等多种灾备解决方案，保证应用访问业务的连续性，增强运营的可靠性。 　　“这款产品具有高密度接口，可以通过选配达到最大单板配置为32个10GE接口或64个GE接口，同时支持40GE接口的选配。多种的接口配置使其更易于部署在数据中心网络中。”翟海涛说。 　　紧贴应用需求 　　尽管各个厂商对下一代防火墙的认知有些许不同，但是有一点可以肯定的是，下一代防火墙必须在应用层具备出色的表现，能够有效保障应