下一代防火墙 两颗强健的芯
2013-06-19 IDCUN 编辑:IDCUN
下一代防火墙自问世以来,即以“边界安全专家-应用层深度防护”的身份示人,从其安全角色定位不难看出,在秉承传统防火墙基础控制的前提下,尤其强调对高层应用安全的深度探查和防护。
这就鲜明地涉及到下一代防火墙中一个非常关键的双层结构:基础访问控制层和高层一体化安全层,且每一层分别对应一个引擎实现,它们是:数通引擎和一体化安全引擎。双引擎高效协作,在保障性能及稳定性的同时提供专业级的应用层安全防护。他们是下一代防火墙中的双引擎,两颗真正强健的“芯”。
本文将就下一代防火墙中的双层结构及其双引擎实现给出一个详细的解释和介绍,从而使读者对如何选择、辨识出具有高性能、高稳定、高安全的下一代防火墙产品做到心中有数。
下一代防火墙的双层结构
任何网络安全设备的安全处理归根到底都是对一个个网络数据包的分析和处理,国际标准化组织将网络数据包划分为七层模型,根据用户安全防护粒度要求的不同,防火墙安全控制和扫描的层数也就不同。
用户熟悉的基于IP地址、安全区、服务类型/端口号的访问控制,就是通过对数据包进行四层以下的解码和过滤来实现的,这部分安全功能是最基础,也是最常用到的防火墙功能,在完全兼容传统防火墙功能特性的下一代防火墙中,这部分安全特性由数通引擎来独立完成。
除了访问控制,数通引擎处理网络基础通信相关的所有工作,包括路由、交换、VLAN、NAT、VPN以及冗余备份等。数通引擎作为安全服务的基础层,保障着用户网络环境的基础安全。
下一代防火墙诞生的背景和使命是识别和防护高层应用安全,也就是四层至七层的内容解码、威胁识别和威胁扫描,如入侵防护、防病毒、URL过滤和内容关键字过滤等。涉及到的攻击类型涵盖木马、蠕虫、SQL注入、DoS攻击、恶意站点访问、文件/邮件病毒、即时通信/论坛不良信息等等。由于高层解码本身的技术难度,再加上攻击类型的复杂多样,必须有别于数通引擎,从整体角度上优化设计出专供保障高层应用安全的安全引擎,即一体化安全引擎。
经过架构优化设计的一体化安全引擎对数据包只需一次解码即可完成四至七层全部安全扫描,从根本上改进了传统UTM设备将各安全模块串行过滤、重复解码的扫描模式,极大的提升了安全性能。专属优化的一体化安全引擎做为安全服务的高层,保障着用户网络环境的应用安全。
单引擎VS双引擎
无论是作为基础层的数据通信处理,还是高层的安全扫描处理都是任何一款下一代防火墙产品都必须具备的基本功能要素。所不同的是,通过一个大而杂的引擎实现,还是通过两个各司其职,性能卓越的专属引擎经过紧密配合协作实现。按照Gartner定义的线速级实时安全防护设备,下一代防火墙无疑应该是后一种选择。
双引擎设计可以克服诸多单引擎与生俱来无法逾越的缺陷和障碍:
第一、性能问题。
顾名思义,单引擎就是既要完成基础层数通处理,又要完成高层安全处理,并且其先天结构决定了只能串行依次的完成以上任务,又由于安全处理本身的复杂性和耗时性,其会成为整个引擎的性能瓶颈,影响整体性能的提升。
这就如同两个工人合作盖房,递砖的工人很快将砖传送到砌墙工手里,但由于砌墙工序复杂耗时,成为整个合作流程的速度瓶颈,同时另一方面递砖工只能闲置等待,造成了资源浪费。
双引擎正是为解决以上性能瓶颈问题而设计产生。数通处理与安全处理分别由专属的数通引擎和一体化安全引擎独立实现,异步且并发执行,处理流水线数目按需分配,有效的解决了性能瓶颈。
双引擎设计如同一个递砖工人与多个砌墙工合作,递砖工将砖传送到第一个砌墙工手里后并不停歇,马上又去传送给第二个砌墙工,等到给最后一个砌墙工传送完毕后,第一个砌墙工的任务已完成,又可马上接收新传送。可见此种异步并发设计不仅有效利用资源,更消除了性能瓶颈。
第二、稳定性问题。
单引擎由于涵盖数通和安全双重处理,两方面任何一个环节出问题都会导致整个引擎异常、崩溃,而使整个数据流处理中断、用户业务中断。双引擎将两种处理分开,任何一方任何环节出问题都不会影响另一方继续正常运作,保证数据处理不中断,用户业务不中断。同时,由于技术复杂度,对容易出问题的安全引擎进行全天24小时稳定性健康监测,第一时间发现并恢复异常。极大的保障了用户网络运行的稳定性。
综上所述,下一代防火墙产品秉承基础和应用双层安全,采用双引擎架构的设计模式,我们了解到,以绿盟科技为代表的安全厂商在其推出的下一代防火墙产品http://www.nsfocus.com/event/nf/index.html 中,在兼顾高稳定性的基础上,确保安全吞吐高性能,很好地体现了让用户安心、放心使用安全功能的客户价值,并期待和接受着市场和用户的检验。