擎天系列防火墙指明下一代防火墙发展方向

原创
安全
留给CSO们的问题也再清楚不过了,是淘汰防火墙更换其他边界安全防护设备呢?还是改进传统的防火墙,使之能够不断应对新的安全威胁?

【51CTO.com 独家特稿】在过去的十年中,以防火墙为主的安全防御体系得到了广泛的应用,但是,历史曾无数次证明,随着企业合理安全规划的失误和缺失,即便是部署了传统防火墙,CSO和IT经理们惊讶的发现,入侵依然时有发生,这不仅是因为受到多方的攻击,更重要的是黑客越来越倾向于针对应用程序的攻击。

事实上,那些认为通过防火墙进行访问控制就可以抵御绝大部分攻击的想法,已经不适合如今的网络安全现状了。越来越多的黑客不在乎防火墙关闭了多少端口,他们的目标直指防火墙一般都打开的端口——80和443等,比如通过HTTP携带恶意数据进行跨站脚本攻击等,或者将P2P通信应用在80端口上或干脆直接封包在HTTP协议中,而黑客完全可以通过未经授权的P2P通信进入企业网络内部。

留给CSO们的问题也再清楚不过了,是淘汰防火墙更换其他边界安全防护设备呢?还是改进传统的防火墙,使之能够不断应对新的安全威胁?

为了解答上述疑惑,我们不妨先来看是否淘汰防火墙的问题,目前业内普遍认为,防火墙不会消失,只会性能提升,功能改进。事实是最好的真理,下面两个案例就能充分说明防火墙为什么不会消失:

图1

这是一种常用的安全组网方式,把内部网络和外部网络通过防火墙隔离开,通过在防火墙上采用各种技术,来防止外部网络的不安全因素进入内部网络。在这种组网中,内部网络是不对外开放的区域,它不对外提供任何服务,所以外部用户检测不到它的IP地址,也难以对其进行攻击。通过防火墙的代理功能,内部网络用户可以正常访问Internet。

图中的DMZ区,对外提供各种服务,如网页浏览、邮件、FTP……等,换句话说,DMZ区的系统是对外开发的信息平台,正因为这样,才使这个区域成为黑客攻击的首要目标,但由于它与内部网络是隔离的,所以即使受到了攻击,也不会危及内部网络的安全。


图2的这种组网比较适用于有跨地域业务的企业,其中内网和Internet的互访与图1一样,只是增加了内部网络与外界的联系。除了经由防火墙访问外部网络外,内部网络不与Internet发生任何联系,通过和路由器采取的安全技术相配合,就保证了内网的安全,相比之下,这种组网方式要比图1的安全性更强。

由此可见,防火墙的应用不仅仅是抵御网络层的攻击,更重要的是整个安全策略中的一个非常重要的环节,因此,防火墙不可或缺。

但CSO们面临的问题还是没有解决。这也给新一代防火墙,或者说新一代安全网关的发展提出了严峻挑战。在防火墙技术的演进中,作为拥有我国自主知识产权的天融信公司,给我们提出了新的防火墙概念:X3-CyberSecX。

所谓X3-CyberSec是指:X-Service、X-Management、以及X-Wall。天融信认为,安全防御应该是立体的,不应单靠某一产品,强调在三个维度上的能力的打造,塑造业务系统的防护能力、管理能力和运维能力。通过对安全防护技术的整合和部署、全局化的安全态势感知、以及安全策略的统一制定,借助集中统一的安全管理和策略下发、以及各种安全部件对策略的执行,实现防护能力和管理能力的提升,借助业务生命周期的系列服务,保持业务系统的持续安全和持续优化。

在经历了单CPU、到NP技术、到ASIC与FPGA协处理技术、到多核技术的探索之后,采用多核多级处理器的超百G安全网关——“擎天”,在天融信安全研发团队的努力下,即将面市。

据天融信公司介绍,“擎天”继承了网络卫士防火墙系统的功能优势,采用业界领先的TMC架构,可以实现性能上的多级扩展,随需扩展安全动力,整机性能超100G,真正实现安全网关处理性能从超万兆到超百G的跨越。再加上动态自适应负载均衡保障服务的连续性,完备的全网安全控制功能构建完整可信的网络平台,通畅的无缝切换降低断网几率和故障恢复时间,绿色、节能、可持续应用等特点更节省数据中心空间,真正实现了低成本购买产品高回报反馈用户的设计思路。“擎天”自身的高性能特点将为云计算中心或大型数据中心撑起一片安全的天空。“擎天”将会为您的网络和业务带来真正可靠、可信、全方位的保障服务。

网络卫士防火墙系统集成了防火墙、IPSEC VPN、SSL VPN、带宽管理、防病毒、入侵防御、内容过滤等多种安全功能;用户可根据实际需求灵活选择针对行业应用特点及不同性能的产品。据天融信公司统计:遍布全国两万九千多个主干网和业务网在天融信TOPSEC平台保护下平稳运行。

“擎天”采用采用真正模块化设计思路,TMC架构中的各模块卡相互独立,可以随业务流量的需要任意扩展,而且拥有多项国家重点专利技术。而整机的三个层面:管理控制层面、数据转发层面、安全动力层面构成了全面的“一机三层面”立体防护系统。再加上自我保护能力极强的安全处理卡,以及具有完全自主知识产权的TOS (Topsec Operating System)安全操作系统,摆脱以往的直接处理理念,更多使用中间层架构,减少了系统对硬件的依赖性。同时,多种安全引擎有效保障了访问控制、内容过滤、带宽管理、抗攻击等功能的安全性。
 
擎天的的很多亮点中,有几个值得我们注意:
●多核多级,整机超百G
“擎天”安全处理卡具有8个处理内核,每个处理内核支持4个硬件线程,相当于4×8=32个单线程CPU,拥有高速的数据传输和转发能力。整机多个安全处理卡即可实现多级多核的处理能力,性能远远超越其他单一多核产品。同时,拥有高速的交换背板,可以提供超100G的吞吐量,支持所有端口L2/L3线速转发,完成安全网关处理性能从超万兆到超百G的跨越。

正是这一点,完全可以满足运营商级别安全需求。也奠定了擎天系列新一代防火墙的用户市场,一定是大型或超大型机构。

●性能扩展满足可持续应用需求
“擎天”各模块卡均相互独立,且均支持热插拔。整机性能、端口密度、安全功能等模块均可扩展,并且所有的扩展可以简单的通过增加模块卡的方式进行,对网络结构几乎没有影响,也无须对系统进行彻底的升级,如此一来就可以满足用户不断变化的需求。

由于良好的可扩展性设计,使得X-Firewall的理念得以实现,真正做到了“我一颗螺丝钉,哪里需要往哪里拧”。

●动态自适应负载均衡,保障服务的连续性
当多安全处理卡运行时,可自动实现多安全处理卡安全应用的负载均衡功能。系统如果检测到有备份的安全处理卡,会将会话自动同步到备份安全处理卡上,实现会话备份。如果主安全处理卡出现故障,备份安全处理卡能够接替主安全处理卡继续工作且保证流量不中断,为用户提供高可用性和可靠性。

在大型数据中心环境中,能够利用集群技术和负载技术提供安全服务的产品,在市场中并不多见,这对数据中心架构变革也产生了重要意义。

●绿色低碳节能
“擎天”可以在不增加设备的情况下,通过增加接口卡,整机多接口卡,单安全处理卡等端口输出,既节省了交换投入,又在不增加设备的同时,构建绿色环保网络,达到节省电耗、空间、节省投资及冷却等IT成本,满足节能减排的政策要求。

现在CSO面前的迷雾终于有了曙光。不过,或许有人还是会问一下,究竟什么事下一代防火墙?在记者看来,所谓下一代防火墙技术,或者说新一代安全网关的发展,一定是走统一平台,模块化、智能防护之路。

不过,在目前云计算和虚拟化大兴其道的情况下,防火墙技术还有很大的发展空间,云内的安全、云间的安全、云外的安全,都需要致力于保护企业安全的商家们花心思仔细研究。虽然在记者采访结束后,天融信公司依然没有透露了擎天——新一代防火墙的上市具体日期,但也表示,将在今年7月份,擎天或许会与大家见面。

责任编辑:赵毅 来源: 51CTO.com
相关推荐

2011-06-27 13:31:21

2012-12-10 16:15:43

下一代防火墙NGWF

2013-09-11 20:09:08

下一代防火墙NGFW

2010-09-29 11:01:46

2011-06-30 11:02:22

2012-12-12 10:29:57

2011-06-24 09:33:23

2011-12-08 10:16:53

2014-08-06 11:46:53

2010-12-10 10:16:54

下一代防火墙

2010-12-08 09:33:51

2013-09-27 10:14:46

2013-02-21 10:25:57

2011-07-13 10:30:34

2011-07-09 08:39:33

2013-06-19 10:38:58

下一代防火墙下一代智能防火墙山石网科

2010-12-06 16:45:32

下一代防火墙

2014-10-11 10:47:50

2010-12-08 09:02:24

2011-05-07 20:01:25

点赞
收藏

51CTO技术栈公众号