更快、更智能—下一代防火墙新技术初探

日期: 2010-05-24 来源:TechTarget中国

  最近几年,传统防火墙解决方案在应对当前大量的威胁,以及不断变化的应用环境时,已经显得力不从心。

  首先,随着网络的发展,网络应用不断丰富。大量应用建立在HTTP等基础协议之上,或者随机产生端口号,或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户,协议端口号不等于应用,数据包不等于行为。如何“看清”应用中的内容并进行防御,这是对防火墙提出了新要求。其次,网络正在从千兆走向万兆,甚至10万兆,网络带宽增长迅速,防火墙应有足够的性能和扩展性来应对这种变化。再次,随着远程办公的快速增长,要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,尤其重要的是能够识别加密过的数据。

  显然,和其他网络设备一样,防火墙必须随需而变,升级到下一代防火墙,才能在变革的大潮中焕发新的生命力。

  越“跑”越快

  随着互联网的蓬勃发展,网络流量大幅提升,要求下一代防火墙必须具备更高性能、更低时延。Hillstone山石网科(以下简称山石网科)产品经理张龙勇向记者介绍,该公司的防火墙采用多核Plus G2架构和新一代的全并行流检测引擎技术,在同档的硬件配置下有多达5倍的性能提升。防火墙最高可达20万每秒新建连接、20Gbps吞吐量和1000万并发会话。

  SonicWALL的下一代防火墙技术Project SuperMassive也采用了大规模多核架构,运行于SonicWALL的多刀片机架之上。96核和384核的产品实施原型已经在Interop大会上展出。

  SonicWALL首席技术官兼工程副总裁John Gmuender说:“面对不断增加的带宽速度,以及互联网威胁的数量、频率及复杂性的不断上升,我们知道Project SuperMassive技术平台需要具备大规模的可扩展性。通过采用Cavium的卓越芯片技术,该平台可扩展到1024个核。同时,经安全与漏洞检测领先公司IXIA验证,其性能超过了40 Gbps。”

  华为赛门铁克的高端安全网关设备则采用“NP +多核+分布式”架构,具备优异的防火墙性能,最多可支持8个业务处理模块,整机吞吐量可达到80Gbps,每秒新建连接数为160万,最大并发连接数为3200万。此外该系列产品还具备完善的VPN性能。目前业务处理模块并发隧道数量为4万,整机最高支持32万。

  “性能与业务复杂度天生就是一对矛盾体,在一些要求较高的应用场合,就算是多核系统平台也很难做到功能、性能两全。”网御神州防火墙负责人王刚说。为了解决这个问题,网御神州的新一代防火墙基于“为多核加速”的设计理念,在多核架构上引入了可编程ASIC加速引擎技术和多核负载均衡技术。一方面,可编程ASIC加速引擎的引入,彻底解决了传统多核架构在网络层处理性能上的不足,尤其是“小包”处理性能的不足,可以达到64字节小包8G线速的处理性能; 另一方面,多核处理器计算性能优越、在应用层处理能力上的优势得到了很好的继承。而多核负载均衡技术,解决了传统多核架构下,由于没有高效的调度技术,导致多核的并行处理效能无法得到充分释放的难题。多核负载均衡技术能够将需要应用层处理的流量,按照比例分配到不同的CPU核上。最大程度地做到了多核间的并行处理, 大幅提升了设备的应用层处理性能。IPS吞吐可以轻松超过双向1Gbps线速。

  看透应用

  传统防火墙能够很好地防范网络层攻击。但是,随着富媒体应用的爆炸性增长,以及Web 2.0应用快速向业务环境渗透,隐藏在应用层中的恶意威胁越来越多。用户要求下一代防火墙必须能够检测出隐藏在应用层数据流中的攻击。

  Check Point的工程师向记者介绍,Check Point防火墙软件刀片采用智能检查技术——INSPECT,将网络层和应用层保护集成在一起。INSPECT支持多种应用程序和应用协议,可以方便地扩展支持新的应用程序和应用协议。

  在深度应用安全方面,山石网科的防火墙可对P2P、IM、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用进行控制。识别的应用多达几百种。而且随着应用的发展每天都在增加。应用特征库可独立升级,不影响系统的稳定性。而且其采用交叉检测技术,不仅对协议进行深度的分析,还通过综合分析用户状态、应用状态和行为状态来确认协议的真正含义,实现更精准和更快速的定位。

  当前Web 2.0 应用使企业面临着新的威胁,以及与应用检测和控制相关的策略与法规遵从问题。在迈克菲的新一代防火墙解决方案—McAfee Firewall Enterprise第八版中,迈克菲扩展了防火墙现有的应用保护功能,能够帮助安全管理员发现和识别数千种应用并执行相应的安全策略。而传统的防火墙技术无法做到这一点。通过集成迈克菲基于云的实时全球威胁智能感知系统,迈克菲防火墙还可提供更详细的内外部威胁和漏洞信息,降低法规遵从和运营成本。

  SonicWALL的“应用智能和控制”技术提供了对应用层流量的全面保护、管理和控制。通过持续地运用和更新2700多个独特的应用签名,应用智能可以根据应用标识、用户/群组标识及内容标识来识别和控制流量,并通过建立针对进入和外出带宽管理的政策(不是简单的‘阻止/允许’方案)来管理流量。另外,与其他只提供应用控制的方案不同,Project SuperMassive将应用智能与入侵防御及恶意软件拦截组件,集成到了下一代防火墙中,形成了一个功能强大的网络安全平台。

  现在,企业的数据中心普遍采用了虚拟化技术。但是,伴随虚拟化技术而来的,还有其本身的安全隐患。安全厂商已经着手解决虚拟化的安全问题。例如迈克菲的防火墙现在既可用于传统设备,也可用于新的虚拟化硬件设备,甚至可以作为一款基于软件的防火墙虚拟设备来使用。这些新的交付方式使客户能够在整合数据中心和应用环境,以及引入新的虚拟环境时,充分利用虚拟化技术来降低成本,提高灵活性,而不必担心安全性。

  从“云”中获取能量

  绿盟产品市场部崔云鹏曾向记者表示,云安全是利用云计算的技术,在分布式计算的基础上部署中心服务器或者安全系统,并利用互联网,将各个安全节点纳入到云安全中心系统中。在这个体系中,各个节点将会有效地利用云安全供应商提供的强有力服务和安全能力,实现原先单一节点不可能实现的安全防护机制。

  目前,应用威胁的数量众多,快速多变。传统安全设备的处理机制已经无能为力。因此,新一代防火墙需要引入云安全,利用云计算加强和加速防御,这是解决当前安全需要快速反应的重要手段。

  思科的防火墙已经率先进入“云”时代,思科将其称为云火墙。思科安全产品事业部技术专家郭庆向记者介绍,云火墙具备4大特征,包括:防僵尸网络/木马,防止网络内部主机感染;云检测——全球IPS联动;云接入——SSL VPN;云监控——唯一支持Netflow的防火墙,实现了NOC和SOC的二合一。云火墙的“大脑”是SensorBase。SensorBase提供全球安全威胁实时视图和电子邮件的“信用报告服务”,还能敏感监控僵尸网络的动态。SensorBase所更新的信息同步到所有云火墙。各种安全信息不但可以从SensorBase传到云火墙,还可以从云火墙传到SensorBase,云火墙中的IPS可以在第一时间把攻击同步给SensorBase,SensorBase再同步给其他云火墙。

  迈克菲的防火墙解决方案中同样使用了云安全——全球信誉技术。包括基于信誉的拦截和地理位置功能。可以在不需要的流量到达网络之前将其过滤,也就是在攻击发生之前将其阻止。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 整合NGFW和威胁分析后,防火墙这是要上天?

    早期的下一代防火墙(NGFW)构建于不同的时代,早在8到10年前,企业仍然主要依靠围绕网络构建外围来阻止恶意软件。Frost & Sullivan高级行业分析师Chris Rodriguez表示,但这已经不再是全方位的战略……

  • 改变网络安全现状:何不求诸下一代防火墙?

    下一代防火墙提供了很多新功能,但是如何将下一代防火墙添加到安全产品组件里面,这是个值得考虑的问题……

  • 选择下一代防火墙 助力网络安全资源优化

    下一代防火墙可以在网络安全资源的优化方面起着关键作用。哪种防火墙最值得青睐?企业应当选择具有哪些特性的下一代防火墙来武装IT安全团队,由此开始资源优化过程?

  • 下一代防火墙标准的全新诠释

    2014年9月,独立安全研究和评测机构NSS实验室,对业界几乎所有主流的下一代防火墙产品进行了统一的测评。Cisco的ASA下一代防火墙的三个型号,均以99.2%的成绩获得了最高安全效率评分。