论文部分内容阅读
随着网络环境复杂程度的不断升级和攻击手段的花样百出,网络通信不再是简单地依托存储转发应用,而是扩展到如即时通信(IM)、P2P应用、VoIP、流媒体和远程电话会议等实时协作工具中。此类沟通方式的出现为人们的工作和生活带来便捷,同时也为潜在的威胁入侵提供了可乘之机。
如今,一场精心策划的恶意攻击甚至能够渗透到传统的状态包检测产品中。因为传统的解决方案只侧重于确保基本网络性能,一般只扫描数据包的报头,而遗漏了数据包内隐藏的数据威胁。为了将安全防护进行到底,今天的统一威胁管理需要出色的硬件架构、实时的深度包检测(DPI)和足够强大的防御手段。
东软NISG的推出,曾被认为是集成安全网关3G时代来临的标志。对于3G,东软NetEye信息安全产品资深经理徐松泉做出了如下的解释:1G时代是状态包过滤技术,东软在1998年率先推出了状态检测防火墙;2G时代则是指东软在2002年推出的“内核流过滤”技术,它为现在的协议分析、内核并行过滤、蠕虫防护奠定了技术基础;2009年底,东软重磅推出NISG,它以全线速、全防护的表现开创了安全网关的3G时代。
手机3G的主要突破是在上网速度和应用多样性方面,而东软NISG的突破则主要体现在性能和深度防御的全面性上。东软NISG在开启包括防病毒等所有功能后,深度防御性能仍可达千兆线速,这是一个重大的技术突破。这一突破主要得益于东软NetEye的“内核流过滤”技术,采用多核架构并结合内核的并行调度机制,令深度防御性能可以满足高端千兆网络的部署环境,如电信、IDC等。同时,东软NISG采用了东软NEL平台,提供细粒度的协议解析控制,实现了防病毒、URL过滤、反垃圾邮件等功能的紧密集成。
慎重选择基础硬件平台
在不明显降低网络吞吐量的前提下,基础架构的性能对完成实时DPI至关重要。据徐松泉介绍,正是因为如此,东软NetEye在选择基础硬件平台时才慎之又慎。
多核架构在性能、可扩展性和节能性方面比其他安全平台更具优势,是进行实时DPI最好的硬件平台,而多核处理器与并行流过滤技术兼容的灵活性、经济性和能效性又构成了高性能信息安全防护的基础。
Nelahem多核技术源于Intel采用串行总线的NP技术,适用于大型机和高端服务器领域,具有强大计算能力,是集NP、并行处理和IA架构优点于一身的高性能、低成本计算架构。而且,与思科的QuantumFlow、RMI的XLR和CAVIUM的OCTEON多核芯片一样,Nelahem多核架构还属于新的多核低功耗架构。
由于Intel的Nelahem多核架构具备高性能、低功耗的特性,东软NISG具有出色性能表现的同时,也响应了今日绿色环保低碳的技术趋势。
出色性能确保安全
东软NISG卓越的硬件架构带来的出色性能,主要体现在吞吐量、每秒新建连接数和最大并发连接数三个重要指标上。
据徐松泉介绍,东软NISG的吞吐量可达双向万兆线速,每秒新建连接数达50万,远远高于市面上大多数的UTM及防火墙产品。新建连接数代表设备处理突发事件的能力,例如在DDoS攻击、蠕虫爆发等热点事件发生时,会出现网络流量陡增、用户数量激增、单位时间内出现大量正常或不正常连接等问题,这时就需要网关类安全设备既能过滤非正常连接,同时又能承受大量的正常请求。换句话说,它既要能够抵御非法入侵请求,又不会造成性能瓶颈导致正常业务受影响。
只有高性能、高稳定性并可灵活扩展的网关类安全设备才能很好地适应金融、电信、能源等高端行业用户7×24小时不间断的业务应用需求。尽管是一款集成安全网关,但东软NISG并发连接数可达到400万,超过了大多数独立形态的安全设备。
并发连接数反映了安全设备在同一时间内能够承受的连接数量。目前,开启一个P2P软件,其并发的连接数量就可以达到十几个甚至几十个。对于校园网、電信城域网这些大型网络来说,在网络出口处的并发请求可达到上百万,并且随着应用的增多,这个数字还在不断攀升。网关设备只有具备足够的并发连接处理能力才能充分适应和满足高端行业用户网络环境中的真实需求。
如今,一场精心策划的恶意攻击甚至能够渗透到传统的状态包检测产品中。因为传统的解决方案只侧重于确保基本网络性能,一般只扫描数据包的报头,而遗漏了数据包内隐藏的数据威胁。为了将安全防护进行到底,今天的统一威胁管理需要出色的硬件架构、实时的深度包检测(DPI)和足够强大的防御手段。
东软NISG的推出,曾被认为是集成安全网关3G时代来临的标志。对于3G,东软NetEye信息安全产品资深经理徐松泉做出了如下的解释:1G时代是状态包过滤技术,东软在1998年率先推出了状态检测防火墙;2G时代则是指东软在2002年推出的“内核流过滤”技术,它为现在的协议分析、内核并行过滤、蠕虫防护奠定了技术基础;2009年底,东软重磅推出NISG,它以全线速、全防护的表现开创了安全网关的3G时代。
手机3G的主要突破是在上网速度和应用多样性方面,而东软NISG的突破则主要体现在性能和深度防御的全面性上。东软NISG在开启包括防病毒等所有功能后,深度防御性能仍可达千兆线速,这是一个重大的技术突破。这一突破主要得益于东软NetEye的“内核流过滤”技术,采用多核架构并结合内核的并行调度机制,令深度防御性能可以满足高端千兆网络的部署环境,如电信、IDC等。同时,东软NISG采用了东软NEL平台,提供细粒度的协议解析控制,实现了防病毒、URL过滤、反垃圾邮件等功能的紧密集成。
慎重选择基础硬件平台
在不明显降低网络吞吐量的前提下,基础架构的性能对完成实时DPI至关重要。据徐松泉介绍,正是因为如此,东软NetEye在选择基础硬件平台时才慎之又慎。
多核架构在性能、可扩展性和节能性方面比其他安全平台更具优势,是进行实时DPI最好的硬件平台,而多核处理器与并行流过滤技术兼容的灵活性、经济性和能效性又构成了高性能信息安全防护的基础。
Nelahem多核技术源于Intel采用串行总线的NP技术,适用于大型机和高端服务器领域,具有强大计算能力,是集NP、并行处理和IA架构优点于一身的高性能、低成本计算架构。而且,与思科的QuantumFlow、RMI的XLR和CAVIUM的OCTEON多核芯片一样,Nelahem多核架构还属于新的多核低功耗架构。
由于Intel的Nelahem多核架构具备高性能、低功耗的特性,东软NISG具有出色性能表现的同时,也响应了今日绿色环保低碳的技术趋势。
出色性能确保安全
东软NISG卓越的硬件架构带来的出色性能,主要体现在吞吐量、每秒新建连接数和最大并发连接数三个重要指标上。
据徐松泉介绍,东软NISG的吞吐量可达双向万兆线速,每秒新建连接数达50万,远远高于市面上大多数的UTM及防火墙产品。新建连接数代表设备处理突发事件的能力,例如在DDoS攻击、蠕虫爆发等热点事件发生时,会出现网络流量陡增、用户数量激增、单位时间内出现大量正常或不正常连接等问题,这时就需要网关类安全设备既能过滤非正常连接,同时又能承受大量的正常请求。换句话说,它既要能够抵御非法入侵请求,又不会造成性能瓶颈导致正常业务受影响。
只有高性能、高稳定性并可灵活扩展的网关类安全设备才能很好地适应金融、电信、能源等高端行业用户7×24小时不间断的业务应用需求。尽管是一款集成安全网关,但东软NISG并发连接数可达到400万,超过了大多数独立形态的安全设备。
并发连接数反映了安全设备在同一时间内能够承受的连接数量。目前,开启一个P2P软件,其并发的连接数量就可以达到十几个甚至几十个。对于校园网、電信城域网这些大型网络来说,在网络出口处的并发请求可达到上百万,并且随着应用的增多,这个数字还在不断攀升。网关设备只有具备足够的并发连接处理能力才能充分适应和满足高端行业用户网络环境中的真实需求。