新一代防火墻技術的三大要求
互聯網已經被逐漸普遍化,隨著技術不斷的發展,各種的應用技術與業務層出不窮。從網上沖浪、企業專網、VoIP這些傳統應用到社交網站、博客、WiFi、在線游戲、虛擬社區、視頻通話、移動上網等新應用都已經普及,網絡突發流量的頻度和每秒新建連接的峰值越來越高。面對著這樣的狀況,當今的防火墻技術已經越來越不能應對大流量的網絡連接。
華為賽門鐵克公司營銷工程部安全產品專家高雪松認為,在保障安全的同時確保用戶體驗和綠色節能,已經成為新一代防火墻技術的要求。也就是說防火墻技術未來發展趨勢是更高性能、更低能耗。為此,華為賽門鐵克公司近日推出了集成多業務的新一代硬件防火墻技術華為Secoway USG5000系列,并在千兆防火墻技術上將“每秒新建連接數”這一指標提升到了15萬以上。
高性能體驗
防火墻技術產品通常被用戶關注的指標主要包括吞吐率、每秒新建連接數和最大并發連接數,但在實際網絡環境中(非實驗室環境)直接影響用戶體驗的卻是每秒新建連接數。據高雪松介紹,這是因為當前的應用中每種業務將并發更多Session,當網絡流量突發或受到攻擊時,短時間內會產生巨大的新建連接,要求設備具有更強的抗攻擊能力與業務響應能力,所以“每秒新建連接數”是新一代防火墻技術最關鍵的衡量指標。
作為一款千兆防火墻技術,華為Secoway USG5000系列提供6Gbps的吞吐率和最大600萬的并發連接數,數據包轉發的時延僅為30ms,配合超過15萬每秒新建連接數。這意味著,憑借著強大的每秒新建連接數的能力,Secoway USG5000系列防火墻技術可以為用戶有效解決DDoS攻擊防護問題,能夠防范每秒數百萬包以上的DDoS攻擊,可支持對SYN FLOOD、UDP FLOOD、ICMP FLOOD、DNS FLOOD、CC等多種DDoS攻擊種類的準確識別和控制。
作為困擾著用戶網絡中各種應用系統(如網站、郵件服務器、數據庫系統)的主要安全問題,DDoS攻擊中尤以CC攻擊為代表的新一代應用層攻擊威脅巨大。由于它是采用模擬正常訪問的方式對業務系統進行大量的訪問請求,所以難以有效地識別和防護。華為賽門鐵克專有ICA智能連接算法,可以通過報文特征、前后報文關聯關系等技術手段,對基于應用層的CC攻擊進行有效的識別和防護,可以為用戶的業務提供有效的安全防護,在保證準確識別DDoS攻擊流量的同時,不影響用戶的正常訪問,在復雜網絡情況下實現真正的安全防護。
應用體驗
在大流量應用場景下,用戶還非常關注NAT技術、地址映射等功能特性。其中,NAT技術是防火墻技術的基本技術之一,在大型園區網絡中,網絡出口的防火墻技術往往擔負著這一任務。高雪松表示,但是在公網IP地址資源緊張,單個IP支持內網主機數量有限的情況下,為了支持更多的內網主機數量,通常的辦法就是增大NAT的地址池,將多個甚至是幾十個公網IP地址組成地址池使用。這與如今的公網IP地址資源顯然是相沖突的。
華為賽門鐵克為此開發出擴展NAT技術,采用智能交替算法,重新定義地址轉換五元組,可以支持一個公網IP地址轉換無限內網主機數,為用戶解決了內網主機數量增加與公網IP地址數量緊張之間的矛盾,大幅度地降低用戶的公網IP消耗的問題。
此外,當互聯網技術日新月異的時候,各種無線應用也逐漸豐富起來,網絡接入不再受限于用戶所在的物理位置,給終端用戶的網絡應用帶來極大的便利。在整個數據傳輸過程中,GTP協議起到了關鍵的作用,但是由于GTP協議固有的漏洞和問題,例如針對于GTP協議的協議異常攻擊、GTP協議欺騙、資源耗盡攻擊等安全問題,運營商面臨巨大的安全威脅與挑戰。
華為賽門鐵克公司為此采用了創新技術,讓華為Secoway USG5000系列防火墻技術支持GTP協議過濾,實現對GTP協議傳輸的安全防護。這樣,該系列防火墻技術可以利用ACL規則過濾GTP非法報文,對GTP特定內容過濾,通過Ga數據過濾保護計費安全,還能提供Gi接口的攻擊防范功能,提供GTP狀態的統計信息和GTP過濾日志,可以有效地解決無線運營商網絡PS域中的安全問題。
綠色環保
而當前熱議的綠色環保也被應用于防火墻技術的設計當中。據高雪松介紹,華為Secoway USG5000系列防火墻技術在滿足運營商市場高可靠性雙電源要求的基礎上,仍然將整機的功耗大幅度降低,僅為業界同類產品的1/4,可以為用戶節省大量的后期設備維護費用。
這是因為,首先,它采用低功耗主處理芯片,同時在系統主板上采用了多項省電技術,對關鍵的耗電單元作了供電優化,并且會根據設備的性能消耗進行供電調節。其次,它采用智能風扇控制技術,散熱系統會根據系統的溫度智能調節風扇的轉速以及功耗,而不是讓風扇始終工作在全速的高功耗狀態下。再次,雖然采用雙電源供電的高可靠設計,但是只有主電源為設備提供電能,備電源只會監控運行,功耗維持在一個極低的水平上。
【編輯推薦】
