网络安全技术的新兴趋势
SonicWALL 网络安全设备(NSA)采用对突破性的多核 处理器架构,将新一代统一威胁管理(UTM)和进行实 时深度包检测相结合,在安全性和性能方面大大超越传 统网络安全解决方案。
目录
网络安全技术的新兴趋势
统一威胁管理
UTM 使用免重组深度包检测
网络安全架构比较
通用处理器的局限性
ASIC 处理器的局限性
多核处理器的优势
结论
摘要
网络安全已变得越来越复杂。网络通信不再只是简单依托于存储转发应用,例如电子邮件, 而是已经扩展到实时协作工具,例如:Web 2.0 的应用、即时通讯(IM)、对等应用、VoIP、 流媒体和远程电话会议等,此类沟通方式无一不为潜在的威胁提供了途径。当今,网络安全 的复杂性迫切需要实施统一威胁管理(UTM)方法。
为了真正有效起见,UTM需要实时深度包检测(DPI)。精密的恶意攻击可渗入到传统的状 态包检测产品中,为了确保基本的网络性能,传统的解决方案只侧重于扫描数据包的报头, 而遗漏了数据包内隐藏的数据威胁。理想状态下,网络安全解决方案应当能够及时全面地检 查每一个数据包内现存的所有内在和外在威胁。由SonicWALL®研发的这种针对深度包进行
实时、全 面 检测的能 力 ,被称为 免 重组深度 包 检测( Assembly-Free Deep Packet
InspectionTM,RFDPI)。
在不明显降低网络吞吐量的前提下,基础架构的性能对完成实时 DPI 至关重要。由于日渐 增长的检测要求,传统的单核处理器和 ASIC 解决方案不能及时地处理来自网络内外、不断 演变的复杂攻击。
多核架构是通过实时 DPI 来实施 UTM 最好的平台。与通用处理器和 ASIC 处理器相比而言, 多核技术在性能、可扩展性和节能性方面都比当今现有的其它网络安全平台更具优势。多核 处理器与免重组深度包检测兼容的灵活性、经济性和能效性构成了高性能网络安全行业的基石。
网络安全技术的新兴趋势
面对愈加复杂的网络环境——相应产生的一系列恶意威胁,网络安全越来越依赖于统一威胁 管理方法和实时深度包检查的结合。然而,这些技术要求一个基础的平台,例如多核处理器架构,在保证网络安全的同时不影响网络吞吐量和企业生产力。
统一威胁管理(UTM)
统一威胁管理(UTM)已成为保护现代网络的事实要求。面对当今各种威胁,传统的单一 解决方案不能针对当今复杂的威胁提供足够、及时和完全的保护措施。这些恶意攻击正是利 用了日益复杂的、无约束的因特网访问、对等应用、即时通讯和多媒体应用在内的商业网络 环境。这种复杂性自然地为间谍软件、恶意移动代码、键盘记录、VoIP 攻击、网络钓鱼、 欺诈性网站和混合威胁(例如,新近的风暴虫——病毒和蠕虫联合带来的难以琢磨的多元攻 击)提供了潜在攻击路径。同时这种复杂性也破坏了 IT 对网络的控制,经常导致带宽降低、 生产力下降,企业的网络被许多不正当访问或非法的信息流量搞得不堪重负。
虽然采用传统的单一解决方案可以解决一些网络威胁和生产力问题,但是很难调配、管理和 更新,从而增加了操作的复杂性和超额花费。相反,当今机构要求为网络安全和生产力提供 一个结合传统的单个技术管理的综合方法。
统一威胁管理(UTM)代表着传统防火墙进化趋势已经形成——传统的防火墙演化成不再 仅是防止入侵的工具,而演化成能够执行内容过滤、数据泄露保护、入侵检测和反恶意软件 的一种多功能系统。
网络安全技术的新兴趋势
UTM 使用免重组深度包检测
采用状态包检测技术的传统解决方案只检查约 2%的防火墙流量,而使用深度包检测(DPI) 技术的 UTM 解决方案被设计成能够检查 100%的进出防火墙的流量。但是,并不是所有的
DPI 方法都是相同的。
免重组深度包检测(RFDPI)是由 SonicWALL 公司提出并实现的,可以实时扫描处理无限 大的文件和无限多的网络连接。RFDPI 技术是为多核硬件而量身打造的,它可以实现超高 速智能检测,与其它 DPI 方法相比它在可扩展性和性能方面更具优势。
与所有其他 DPI 方法不同,RFDPI 不需要停机和在内存中储存信息流量。通常,系统管理 员习惯性在高负荷状态下要么对超负荷流量不检测而放行,要么形成流量拥堵,这也发生在 正常的商业通讯中。此外,与其它 DPI 方法不同,RFDPI 不限制文件的大小,任何一个用 户都能下载,也不限制同时保护文件的用户数量。这使 RFDPI 架构成为业内可扩展性最强 的架构,并成为实现实时的统一威胁管理(UTM)功能最强大的解决方案。
图 1、统一威胁管理系统中的免重组深度包检测
网络安全架构比较
安全供应商开发的下一代安全产品已经在基础硬件设计上采取了多种方法。SonicWALL®选 择了多核处理器架构,其他供应商选择了通用处理器加单独的安全协处理器结构。甚至有一 些供应商选择设计并构建ASIC(专用集成电路)平台。下面我们探讨通用处理器和ASIC处 理器的自身局限性,并将这些局限性与多核技术的强大优势进行比较。
通用处理器的局限性
通用处理器依赖一个单一 CPU 来处理全部功能,它们不提供任何类型的安全升级服务,通 常情况下,这类处理器需要第三方的安全协处理器为其提供必要的安全方面的硬件操作。因 为通用处理器在超高的时频运转时需要附加协处理器,而且一般操作中还将消耗更多的功 耗。另外,通用处理器和安全协处理器具有不同的总线频率,这也会限制通用处理器解决方 案的性能。通用处理器也可能在存储器带宽方面受限制从而导致相对缓慢的数据包处理。总 而言之,通用单一处理器设计为 UTM 检测提供的硬件平台并不理想。
ASIC 处理器的局限性
ASIC 平台具有高速转发包能力,但是它们在网络安全设备中存在固有的设计问题和局限性。 一个尤为明显的问题——供应商在升级那些不断变化的处理安全问题时的 ASIC 微代码方 面的能力有限。采用 ASIC 解决方案,供应商不具备修改微代码的能力,从而给附加的用来 处理不断变化的协议的新功能带来麻烦。由于不能保证这些产品可以升级和满足用户未来的 安全需求,这就限制了基于 ASIC 的安全产品的应用范围。
多核处理器的优势
多核处理器的优势
多核处理器对于支持UTM产品有很多优于ASIC处理器和通用处理器的地方。这些优势包括 低功耗、联网安全协处理器和增加存储器带宽从而提高网络吞吐量。SonicWALL®的多核平 台将硬件加速和自动化集成在更大范围的数据包处理和特殊应用功能中。借助上述硬件优 点,SonicWall®的SonicOC固件实现了软件无法匹敌的性能。
与通用处理器相比,应用于SonicWALL®新一代安全产品的多核处理器为每一个核提供了额 外的安全协处理器,可以使每个单独的核在芯片上具有额外的安全性硬件加速能力。通过安 全协处理器与多核平台的集成,SonicWALL®已经开发了一种高性能解决方案,可以明显降 低安全协 处 理中的延 迟 问题。而 且 ,由于所 有 安全加速 硬 件都是片 上 ( on-chip)的, SonicWALL®多核架构不受总线频率的限制。考虑到未来的重复利用性,SonicWALL®多核 平台的设计可方便地扩展到使每块芯片拥有更多内核、每块主板拥有更多芯片、每个机箱拥 有更多主板的应用中。
图 2、多核处理与单核处理
为了提高网络包处理性能,SonicWALL®的多核处理器设计比通用处理器有更优越的存储器 带宽。更大的存储器带宽造就了神速的数据包处理平台,这是因为每个数据包有更多的存储 资源。在通用处理器中,存储带宽被限制在 86GB/s以内,而多核处理器的存储带宽超过100GB/s。
多核处理器的设计和实现也展示了其高效性。例如,在SonicWALL®多核产品中,高效兼具 最优化的设计使得芯片具有低能耗和小芯片面积的特性。因此,这些处理器集成了大量专用 的硬件加速,允许在单个处理器上集成多达 16 个核,从而可提供最佳的性能,现实生活中 的大量应用就是其最好的证明。多核处理器技术让SonicWALL®能够开发出高性能的网络安 全设备,这种设备与使用通用处理器和安全协作处理器的解决方案相比可减少大约 30%的 功耗,而网速相差无几。SonicWALL®多核处理器设备最多可采用 16 个内核(还为未来的 重复利用设计了更多的内核空间),提供高性能并行数据包处理,集成了正常操作过程中具 有较低功耗和低时频运行的安全协作处理器。
与ASIC解决方案不同,SonicWALL®多核安全设备可以全面现场升级,所以能够与不断演变 的安全威胁并驾齐驱,从而提供行业内广泛认可的新型网络安全技术和协议。
结论
为了满足当今的网络安全需求,SonicWALL®采用了具备实时免重组深度包检测功能的统一 威胁管理技术。 如此高水准的UTM需要具备最佳性能的基础硬件架构与之配合。与通用处 理器和ASIC解决方案相比,SonicWALL®网络安全设备(NSA)的多核处理器架构明显优 于其它产品。
多核架构的基本原理乃是最大范围地提高应用性能和可扩展性,同时将功耗和升级复杂性降 至最低限。多核架构结合了专用的硬件加速和高性能多核处理器架构技术。这种最佳的结合 方式可以提供数据包、内容及安全处理方面的高性能和高效的解决方案。与其它架构相比, 多核架构在低功耗和升级复杂程度最小化方面效率更优。您大可不必再担心多余的开销及操 作的复杂程度。
通过技术创新、高性能、成本效益及可靠性的完美结合,SonicWALL®已经发展成为UTM领 域的全球领导者。他们帮助各大机构抵御网络攻击,提高生产力和生产效率,通过单一管理 界面简化管理模式,并且降低网络安全的总成本。
网友评论