科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道联想防火墙:寻找安全与性能的平衡点

联想防火墙:寻找安全与性能的平衡点

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

作为一款高性能的防火墙,联想“超五”主要采用了快速内存访问机制、三级并行处理机制、快速查表机制等技术。

作者:论坛整理 来源:zdnet网络安全 2008年4月14日

关键字: 防火墙 防火墙技术 硬件防火墙

  • 评论
  • 分享微博
  • 分享邮件

  在防火墙技术与产品发展过程中,随着网络、应用和攻击手段的不断演变,防火墙面临许多新的挑战,用户提出了许多新的需求。用户到底需要什么样的防火墙呢?通过大量的用户调研和需求分析,我们认为防火墙应该在安全性、时效性、可用性、可控性和可扩性方面具有卓越的品质。

  用户需要高性能高安全防火墙

  首先,防火墙作为保护网络的设备,在安全性方面要做到高屋建瓴,固若金汤。用户希望他们购买的防火墙具有多层防护措施,能够抵挡住非法访问和高级黑客的攻击,确保敏感信息的安全和重要网络的畅通。用户还希望他们购买的防火墙,能够魔高一尺,道高一丈,在新的攻击手段出现时,仍然可以游刃有余。

  第二、如今的网络与应用需要防火墙在时效性方面能够做到收发自如,实时响应。我们知道,安全性和实效性之间是一对矛盾,要高安全性,则必然会牺牲时效性;反之,要提高时效性,也必然会牺牲安全性。在高安全性的前提下,确保时效性,是用户,特别是电信、金融等高端用户一贯的追求。因此防火墙不能成为信息高速公路的瓶颈,要像立交桥,而不是红绿灯。

  第三、防火墙在可用性方面需要做到稳定运行,永不宕机。防火墙安装在网络或子网的边界,是信息交换的必经之地,必须确保用户的生产网或办公网连续稳定地运行。因此防火墙不应成为事故多发地带,不能宕机,而应该稳如泰山,巍然不动。

  第四、防火墙在可控性方面需要做到精准管理,明察秋毫。管理、审计和监控是确保安全的最后一道防线,管理有效才能确保执行有力。同时这也是衡量防火墙好坏的一个极其重要的指标。

  最后,防火墙在可扩展性方面需要做到按需分配,与时俱进。根据我国信息化建设跳跃式发展的特点,用户的信息系统常常也是不断完善和不断升级的,因此也要求防火墙能够可扩展、可升级。

  在这五种需求中,安全性和时效性是一对矛盾,也是用户尤其亟须解决的。用户绝对不愿因为安全性而丧失了高性能,更不会因为性能而放弃安全性,如何在安全与性能这一矛盾中找到平衡点,是所有用户的期待,也将成为各个安全厂商的一贯追求。

  联想“超五”安全与性能兼得

  联想“超五”千兆线速防火墙――NFW4000是一款无操作系统、多机集群并基于NP(网络处理器)的4GB千兆线速防火墙,也是真正实现数据包内容过滤的防火墙。联想拥有完全自主知识产权,并已取得国家十多项技术专利,不仅在国内同类产品中名列前茅,而且在国际上也属领先水平。

  在性能方面,“超五”防火墙采用了NP芯片架构,以联想独创的并流处理技术实现了全双工状态下的4Gb的吞吐率。

  在安全方面,“超五”防火墙具有全部自主知识产权,独创的防火墙IPF(Intrusion Protection Filter,入侵保护过滤)技术可以提供基于状态的数据包内容深度检测,完整实现了二至七层全面的访问控制与防护;同时,“超五”无操作系统,通过芯片中的微码,可以不通过外围操作系统直接管理产品的所有硬件,在底层硬件设备中接管进出安全产品的数据并进行处理,大大减少了防火墙本身的安全漏洞,提升了防火墙本身的安全性和抗攻击能力。

  在可用性方面,“超五”采用了多重电信级冗余配备标准:支持链路冗余、电源热插拔冗余、风扇模组热插拔冗余,并提供完善的自愈功能,保证永不宕机;同时,运用国内独创的防火墙HA集群技术,最多实现四个防火墙集群的主动负载均衡,可提供比双机热备、负载均衡更强的功能和高可用性。

  在可管理性方面,“超五”提供的基于硬件的带宽管理,充分保证了QoS的实现。同时,“超五”还提供人性化的防火墙集群管理界面,提供分布式防火墙集中管理,支持远程配置管理及安全集中管理,具有完善的日志管理和的强审计功能,支持网御LeadSec Manager安全管理平台的统一管理,并可实现IDS产品联动与响应阻断。

  在扩展性方面,“超五”在提供比Intel架构更快性能的同时,还提供比ASIC架构更高的灵活性。上期介绍过, NP的原理是多个CPU并行工作,CPU并行的机制可以用微码程序进行控制,这些微码程序正是联想看中的一个特点。一旦有新的攻击,联想可以通过及时修改微码,使这个芯片具有抵抗功能。由于控制模块与网络处理模块分离、主从可扩展接口可灵活配置,可以在网络安全不断变化与发展中及时升级防火墙在芯片中的核心安全模块,真正作到随时随地的安全。

  联想“超五”千兆线速防火墙具有性能,安全,管理,可用,扩展性方面的五大优势,通过网络处理器(NP)芯片的多引擎多协议处理器、多层协议解析和强大的芯片级编程功能,在提供应用层数据包深度过滤,确保网络安全的前提下,实现了全双工状态下的4Gb的吞吐率,让用户安全与性能兼得。图表为赛迪评测中心60秒持续压力的测试报告。

  作为一款高性能的防火墙,联想“超五”主要采用了快速内存访问机制、三级并行处理机制、快速查表机制等技术。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章