09年度从运营商角度看当前网络安全产品的发展.docVIP

09年度从运营商角度看当前网络安全产品的发展 09年度从运营商角度看当前网络安全产品的发展 转载自：创意安天论坛 原文链接：/thread-16174-1-1.html 以下是从国内运营商角度来看当前网络安全产品的发展，请大家，难免会有偏颇观点，请拍砖。 目前在运营商部署应用较多的主流网络安全产品包括防火墙、入侵检测/防御系统（IDS/IPS）、流量分析/清洗系统、深度包检测（DPI）、Web应用防火墙（WAF）等。 1、防火墙 防火墙设备经过十多年的发展，从第一代的PC机软件、工控机、PC-Box、MIPS架构，到第二代的NP、ASIC架构，直至目前的多核多线程专用安全处理芯片背板交换架构，其功能也由基本的包过滤功能开始逐步增加NAT、认证、VPN、抗攻击、虚拟防火墙等相关功能，功能逐步完善。各厂家防火墙的性能也在不断提升，Juniper、Crossbeam、华为等厂家推出了40G以上的产品，Hillstone、Fortinet、华三等厂家也推出了10G档次的产品，目前这些厂家的设备在功能和性能上基本可以满足在L3-L4进行访问控制的要求。目前防火墙设备有从传统三四层防护基础上向应用层安全防御方向发展的趋势，在传统防火墙架构上不断增加应用层防御功能。如Juniper、Fortinet、华三等厂家的产品在基于NP系统架构及防火墙基本功能的基础上，增加了内容处理器与通用处理器（CPU）配合使用处理应用层的攻击行为，实现将已知的威胁特征库（如病毒库、IPS库等）与内存中待检测对象进行匹配（待检测对象可以是数据包、文件，包括压缩文件等），其中内容处理器专门进行协议识别和解析，可以快速重组数据包，扫描发现可疑的内容。但由于应用层的防御对设备资源的消耗大幅度增加，因而应用层防御的高端设备有待各厂家完善及提高。 在运营商网络中，防火墙设备可以部署于DCN、办公网、网管网、业务系统等提供内外网的隔离，或者部署于IDC为客户提供安全业务。在防火墙设备选择时，应结合实际应用的业务环境进行综合考虑，选型设备时主要结合L3-4 吞吐量、每秒新建连接数、最大并发连接数、Goodput等方面的性能指标参数进行综合考察。 2、IDS/IPS IPS产品以在线方式（串接）部署，当旁路部署时作为IDS使用。IPS设备针对数据包进行深层次检测并实施告警阻断，这种技术机制大大增加了设备资源的开销，以目前产品技术状况来看，不适合在高吞吐量的网络中部署应用。 目前IPS产品分为独立设备和集中式网关两种方式，McAfee的IntruShield、Tippingpoint的Tippingpoint E、N系列等厂家的产品采用独立IPS设备的方式，而Juniper的SSG和SRX、Fortinet的Fortiguard等则采用集中式网关方式，将入侵防护作为一个功能模块集中到安全网关设备中。这两种方式各有优缺点，利用独立设备的产品功能扩展方便，但硬件设备的成本占很大比例；集中式网关方式成本相对较低，硬件扩充性较好，但是将入侵防护功能集成到综合网关会造成安全网关性能的下降。目前主流IPS厂家包括McAfee、Tippingpoint、Radware、Juniper、Cisco、Fortinet、启明、绿盟、华三等。 在运营商网络中，IPS设备可部署于DCN、办公网、业务系统，或者用于IDC为客户提供安全业务。选择IPS设备时，任何部署应用场景均要考核IPS设备检测、拦截的准确率、防护响应的实时性、自定义入侵防御特征、签名库的更新等参数指标，同时结合实际的应用场景，考虑IPS设备每秒新建连接数、最大并发连接数及应用层吞吐量等性能指标。如确定被保护的对象只对外提供Web服务，则可只选择HTTP协议的防护及其攻击签名库。 3、流量检测分析设备 流量检测分析设备是基于流技术的骨干网流量分析产品，能够分析诸如DDoS流量、网络滥用误用、蠕虫爆发、P2P流量等骨干网上的大部分异常流量。随着网络异常流量检测设备的判定准确性日益提高，流量检测分析设备逐步与异常流量控制技术结合。目前，部分厂家的异常流量检测分析设备可通过宣告黑洞路由、提供ACL过滤策略等方式与路由设备进行交互来有效处理异常流量。 为了满足对大型运营商承载网流量的检测需求，目前流量检测分析设备可采用一台控制器管理多个独立部署的收集器的分布式部署方式，通过多层次、分布式的结构满足对多个路由设备、总流量高达数百Gbps的骨干链路提供实时流量分析和异常检测，单台流量检测分析设备基本上能支持50,000 flow/s，部分厂家设备甚至可达到70,000 flow/sec。目前流量检测分析设备主要用于运营商骨干网络的监控检测和分析，应用较多的流量分析设备包括Arbor PeakFlow和Genie ATM。 选择设备时，应考察其支持采集的