新一代多核安全网关瞄准应用可视化

赵彦利

目前,不仅网络攻击数量不断攀升,而且攻击的水平也越来越高,致使各机构核心业务面临的风险越来越大。为了有效地防范风险,部署防火墙的企业越来越多,不但涉及企业网与公共互联网对接的传统网络边界,还涉及内部关键位置的整个企业网络,以及分支机构网络的广域网边界。

传统防火墙无用

传统防火墙一般部署在网络出口,通过IP地址和协议端口号来控制网络访问,但对使用相同端口的流量无法进行有效控制。举个例子,在多数防火墙中,端口80都随时保持开放状态,以便接纳通往端口80的所有流量。因此,黑客、蠕虫和病毒也可以利用这个通道攻击Web应用,进而访问到敏感数据。

另一方面,防火墙的体系结构,决定了网络防火墙是针对网络端口和网络层进行操作的,因此很难对应用层进行防护。

面对传统防火墙对流量识别的不足,Hillstone 山石网科提出了“应用可视化”的观点,不仅只通过协议端口识别应用,而且能够识别具体的应用和行为,并针对行为进行更细粒度的应用可视化和策略控制,对嵌入应用的威胁进行实时安全防护。部署下一代多核安全网关的网络,可以精确地识别通过80端口的各种流量,通过对这些流量的特征的分析,区分出这些流量基于的各种应用,以及这些流量是通过哪个人的行为所产生的,并能详细地加以识别和记录成日志,从而有效地防范风险和提高带宽利用率。

UTM(统一威胁管理)产品的诞生在很大程度上是为了更好地满足应用层安全的防护,集防火墙、入侵检测/防御、防病毒等多项功能于一身,全面防御网络2～7层中的各种攻击,抵御各种威胁。

让UTM可视

UTM的优点在于整合化,它以较低的成本满足了企业对信息处理安全的大部分需求,避免了使用单一安全设备所带来的高昂的采购维护成本和复杂的部署管理工作,并提供简单易用的界面给非专业的用户进行常规的维护工作。因此,UTM在企业中能发挥它采购维护成本低、功能多、整合性高、易于管理部署的优点。

通过几年来的市场应用,UTM也逐渐显示出一些弊端。首先,UTM最大的问题就是在所有功能全开时,UTM的性能会大幅地下降,降幅超过50%。这是很多企业尤其是大型企业排斥UTM的主要原因。

另一方面,大多数厂商往往采取OEM其他家的产品来增强各个模块的功能,这就造成一个问题,虽然UTM的管理界面是统一的,但是底层跑的各个引擎还是独立的,采用的技术都不同,对于流量的处理还是一个引擎处理完了再到另一个引擎的串行处理方式,各安全模块不能有效地互动,互相的兼容性和协作性会有很大影响,不可避免地对产品性能和稳定性也造成了不良的影响。

最后,目前业界的UTM普遍采用的还是x86、NP架构,能用到ASIC芯片和多核技术的厂商寥寥无几。采用ASIC芯片,可以从一定程度上提升UTM的性能,但是不能从根本上解决UTM的弊病,UTM产品还没有很好的办法来实现应用可视化。

试想,当同时开启UTM的几个功能,随之产生的是性能的大幅下降,势必会影响到各个引擎对流量的扫描和检测,没有办法对其所有的实时流量进行深度和细粒度的检测和识别,系统的稳定性和可用性仍然无法满足用户对应用安全的需求。

由上可见,应用可视化需要有一个良好的性能平台去支撑,Hillstone 山石网科采用并行多核Plus G2架构设计的下一代安全网关,已经提供了可扩展的电信级硬件平台,从底层进行软硬件和并行操作系统的优化,将各个安全功能有机地整合为一体,并且通过统一的管理平台为企业提供了更为便捷的安全管理。