長久以來,業界普遍把安全閘道器產品的安全防護能力和效能水平看作兩個不合的孿生兄弟,人們認為開啟的安全防護功能多了效能勢必受影響,效能高的產品必然不會具有太多功能。各級廠商也不斷的在各種解決方案中游走,其中最著名的高效能方案可能是分散式交換和負載均衡,然而又會帶來網路延遲大、系統臃腫、維護成本高的難題,那麼,安全和效能真的不能兼得了嗎?
當今10GE乙太網路已經成為大大小小的核心機房的標準配備,甚至40GE/100GE乙太網也已漸成規模,大筆資金慷慨投入網路建設的時候,與10GE網路相匹配的網路安全建設卻一直讓人耿耿於懷,因為安全裝置多數並不能以10Gbps的速度完成防病毒、入侵防禦、內容過濾等安全防護任務,使用者投資沒有發揮出其應有價值。
並且傳統安全過濾頻寬設計,很難達到80Gbps的線速處理能力,少數達到這種處理能力的方案基本都是採用分散式多業務板交換堆疊的方式,其帶來的體積大、功耗大、維護工作量大問題是令使用者異常頭疼的,有使用者發出感概“我的業務量增長了25%,我的機房裝置維護人員也增加了25%,難道IT真的變成勞動密集型產業了嗎?”。思來想去,我們不禁要問,裝置體積是否也應該成為衡量裝置技術水平高低的指標呢?假如佔一間屋子的小型機和一臺英特爾超極本的效能相同,那小型機還值得購買嗎?
網禦星雲做為業界領先廠商,多年來一直秉承技術創新宗旨,其“精五”、“強五”系列安全閘道器擁有廣泛的業界知名度,2013年網禦星雲又推出 “威五”真萬兆線速安全閘道器(以下簡稱:網禦威五),該產品在64~1518位元組多種資料包、TCP/UDP/HTTP多種協議混雜的網路環境下,具有防火牆、防病毒、入侵防禦、內容過濾等全功能開啟時的10Gbps全時線速處理能力,實現了10Gbps的安全處理能力和10GE的網路處理能力無縫對接,使用者在部署10GE網路時不必再擔心投入和產出不成正比。那麼具體來說網禦威五安全閘道器都有哪些特色呢?
全功能萬兆線速安全引擎
網禦威五全威脅檢測10Gbps+線速處理能力
透過業務處理引擎的高效預檢機制和協議加速引擎的快速轉發設計,網禦威五可以在混合攻擊包和病毒檔案及多種應用特徵的混合負載下,實現防火牆、防病毒、入侵防禦、內容過濾等全功能開啟時的萬兆全時線速處理能力。
但這還遠遠不能體現出網禦威五的效能優勢,我們假設威脅特徵的檢出率是70%(儘管業界一直在努力追求100%,多數時候這個假設仍是比較實際的),在4G負載的情況下達到這個檢出率是正常水準,為了保持檢出率不下降有些產品採用了犧牲效能的辦法,就是當負載達到某個程度,比如4.5G的時候,系統吞吐量無法再繼續上升。相對的,得益於特徵匹配最佳化演算法,網禦威五可以在保持威脅特徵檢出率不變的情況下,支援達到萬兆的吞吐處理能力。
4G~80Gbps全天候線速防火牆吞吐
雙協議處理加速模組級聯後網禦威五可處理80Gbps線速吞吐
在某些情況下,我們可以忽略複雜、多變流量,把所有流量都看作簡單、重複流量來進行處理,就像通常在防火牆內所做的處理一樣,在某些應用場合這種使用方式是很普遍的。這些使用者通常都需要很強大的系統吞吐能力,他們只關心流量從哪裡來、到哪裡去,而不太關心流量的細節。
這時協議加速引擎就可以完全發揮出威力了,協議加速引擎從一開始就是為了處理簡單、重複流量而設計的,其核心部件協議處理加速模組的設計吞吐能力最高40Gbps,最低也不低於4Gbps,並且不管流量是由什麼資料構成的均能實現全天候線速轉發。透過協議處理加速模組的級聯,網禦威五可為不同需求的使用者提供4Gbps線速、8Gbps線速、40Gbps線速、80Gpbs線速等多種不同線速吞吐能力組合,從而更好的讓先進技術為使用者提供量體裁衣式的服務。
3μs(微秒)最低轉發延遲
採用先進技術網禦威五的低傳輸延遲
協議加速引擎使用相對獨立的系統資源,有專用的快速記憶體為其提供運算支援,業務處理引擎採用平行計算的方式同時進行多項特徵匹配,這些設計導致一個必然的結果:系統處理資料的單位耗時降低了,更準確的說是延遲降低了。低延遲對複雜的應用系統來說是影響使用效果的關鍵因素,拿北京首都機場T3航站樓舉個例子,T3航站樓是目前世界第二大的單體航站樓,建築面積90多萬平方米,旅客容納能力可想而知,但即使容納旅客的數量非常多,如果不改變落後的手工更換登機牌操作,也只能是以隊伍冗長、擁擠不堪為T3航站樓的建設畫上一個不佳的句號。好在大量的登機牌自助更換裝置解決了這一問題,在旅客容納能力大幅提升的同時,保證了更換登機牌操作的單位耗時維持在較低水平。
防病毒、入侵防禦、內容過濾統一引擎
網禦威五從研發之初即採用了構建在專用硬體平臺和VSP實時作業系統上的高度模組化的USE統一安全引擎。
USE統一安全引擎
網禦威五不僅具有網路入侵防禦和網路病毒防禦功能,同時還具有豐富的應用監控功能。可以根據不同的時間、群組,來對即時聊天軟體、網遊、P2P軟體等下達嚴格的管理策略。網禦威五對應用的識別基於應用行為和資料特徵,而不是基於埠號,有效地提升了應用的識別率,避免了誤判。尤其對P2P應用中的加密傳輸,網禦威五基於應用行為識別與主動探測相結合的方式,有效地克服了加密後無法識別的業內難題。
網禦威五系列具有多款型號,均可實現全時線速處理能力,網禦威五的推出,開創了安全和效能、效能和體積、效能和功耗、投入和產出雙贏兼得的至臻安全時代,又將在業界掀起一股追逐技術創新的熱潮。