防火墙的不足之处:
传统防火墙作为网络安全的最基本设施,起到了不可磨灭的重要作用。但是我们应该注意到,对于新的网络安全问题,防火墙是那么的素手无策。从防火墙的角度来看,它更多是一个访问控制设备,防火墙会把符合安全策略的流量放过,高级一点的防火墙还会检测协议的基本健壮性,只让合法的流量通过。但是,新的攻击手段不断涌现,大量的攻击都渗透到应用层或者“内容层”,他们在网络层面的表现是非常健康的,所以防火墙根本无法拦截这些威胁。也由于防火墙本身的定位,其体系结构的设计也更多的是为了高速的访问控制,即使是最先进的基于状态的防火墙在灵活性上也有所欠缺。而互联网上的威胁恰恰是变化非常迅速,要应对这些威胁,企业在防火墙作为第一道防线之外,还需要一个能够迅速适应威胁变化的入侵防护产品。
网络入侵防护产品有着鲜明的特点:
它既要像一般网络产品一样,高速处理报文,另一方面,它却需要像终端和服务器一样,深度解码网络数据流中的内容。要协调好这一矛盾,使系统同时提供高效的网络性能和强大的检测能力,需要在最最基础的部分,也就是处理架构上充分投入。一般入侵防护产品,基于以下两种架构为主。 一种是使用纯基于 IA 架构的硬件平台,俗称工控机,它的硬件结构基本和 PC 机一致,软件上一般采用一个自行加固的 Linux 或者类 Linux 系统,通过开源程序和自开发程序的结合,堆砌出入侵防护产品。无论从一般 IA 架构的处理器角度来看,还是从上面的类 Linux 的操作系统来看,并没有为高速的网络处理做任何优化。这类的系统即使在你仅仅开启很少的安全策略的时候,也很难把网络的处理性能提上去。如果遇到大规模的分布式拒绝服务攻击的时候(DDoS),网络的流量非常大,这时候这类系统网络性能不足的缺点将暴露无遗。我们一般总结这类架构的主要瓶颈在网络处理能力。
另外一种系统采用为网络处理做过专门加速优化的处理器,包括一些专用的多核 RISC 芯片。这些处理器由于设计有专门的硬件网络报文处理单元,网络处理和转发能力极强,很轻松就能处理几个 Gbps,甚至几十个 Gbps 的网络流量。但是这类系统也存在着严重的缺点:一是由于系统较为专用和封闭,软件灵活性较弱,开发周期长,这个和互联网快速变化的威胁形势不匹配; 二是深度应用层解码和分析方面较弱,由于深度的应用层解码和分析将消耗处理器的通用计算资源(相对于网络处理是使用专用的协处理器),而通用计算资源恰恰是这类处理器比较薄弱的内容。高速的网络处理和牵强的应用分析能力,使得这类系统也无法很好的提供完整的安全保障。
我们一般总结这类架构的主要瓶颈在于计算能力。
NIP 网络智能防护系统采用了先进的混合式处理架构,即采用网络处理和应用处理分别加速的方法。
通过这种方法,使得系统的瓶颈得到消除,网络和应用的性能同时最大化,见下图: 网络处理应用层处理网络处理应用层处理瓶颈在应用层处理能力瓶颈在网络处理能力网络处理 应用层处理最大化的网络和应用层处理能力 NIP 网络智能防护系统采用高效的多核 RISC 网络处理器,以获得网络处理层面的出色性能,即使是超高报文速率的流量也轻松应对。而基于多核 IA 架构的专门为应用层处理设计的增强服务平台(ESP)插卡,给系统带来了强劲的应用层加速能力,同时也提供了非常灵活的软件架构,即使是最复杂的威胁,最复杂的躲避技术,也能够通过快速软件升级来提供支持。
【想第一时间了解安防行业的重磅新闻吗?请立即关注中安网官方微信(微信号:cpscomcn)——安防行业第一人气微信,万千精彩,千万不要错过!!!
网友评论
共有0条评论 点击查看全部>>24小时阅读排行
本周阅读排行