网络安全技术的新兴趋势
UTM 使用免重组深度包检测
采用状态包检测技术的传统解决方案只检查约 2%的防火墙流量,而使用深度包检测(DPI) 技术的 UTM 解决方案被设计成能够检查 100%的进出防火墙的流量。但是,并不是所有的
DPI 方法都是相同的。
免重组深度包检测(RFDPI)是由 SonicWALL 公司提出并实现的,可以实时扫描处理无限 大的文件和无限多的网络连接。RFDPI 技术是为多核硬件而量身打造的,它可以实现超高 速智能检测,与其它 DPI 方法相比它在可扩展性和性能方面更具优势。
与所有其他 DPI 方法不同,RFDPI 不需要停机和在内存中储存信息流量。通常,系统管理 员习惯性在高负荷状态下要么对超负荷流量不检测而放行,要么形成流量拥堵,这也发生在 正常的商业通讯中。此外,与其它 DPI 方法不同,RFDPI 不限制文件的大小,任何一个用 户都能下载,也不限制同时保护文件的用户数量。这使 RFDPI 架构成为业内可扩展性最强 的架构,并成为实现实时的统一威胁管理(UTM)功能最强大的解决方案。
图 1、统一威胁管理系统中的免重组深度包检测
网络安全架构比较
安全供应商开发的下一代安全产品已经在基础硬件设计上采取了多种方法。SonicWALL®选 择了多核处理器架构,其他供应商选择了通用处理器加单独的安全协处理器结构。甚至有一 些供应商选择设计并构建ASIC(专用集成电路)平台。下面我们探讨通用处理器和ASIC处 理器的自身局限性,并将这些局限性与多核技术的强大优势进行比较。
通用处理器的局限性
通用处理器依赖一个单一 CPU 来处理全部功能,它们不提供任何类型的安全升级服务,通 常情况下,这类处理器需要第三方的安全协处理器为其提供必要的安全方面的硬件操作。因 为通用处理器在超高的时频运转时需要附加协处理器,而且一般操作中还将消耗更多的功 耗。另外,通用处理器和安全协处理器具有不同的总线频率,这也会限制通用处理器解决方 案的性能。通用处理器也可能在存储器带宽方面受限制从而导致相对缓慢的数据包处理。总 而言之,通用单一处理器设计为 UTM 检测提供的硬件平台并不理想。
ASIC 处理器的局限性
ASIC 平台具有高速转发包能力,但是它们在网络安全设备中存在固有的设计问题和局限性。 一个尤为明显的问题——供应商在升级那些不断变化的处理安全问题时的 ASIC 微代码方 面的能力有限。采用 ASIC 解决方案,供应商不具备修改微代码的能力,从而给附加的用来 处理不断变化的协议的新功能带来麻烦。由于不能保证这些产品可以升级和满足用户未来的 安全需求,这就限制了基于 ASIC 的安全产品的应用范围。
网友评论