扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
随着互联网技术的不断发展,网络终端数量不断增加,催生出各种各样基于互联网的业务与应用。从网上冲浪、企业专网、VoIP这些传统应用到社交网站、博客、WiFi、在线游戏、虚拟社区、视频通话、移动上网等新应用都已经普及,网络突发流量的频度和每秒新建连接的峰值越来越高。
华为赛门铁克公司营销工程部安全产品专家高雪松认为,在保障安全的同时确保用户体验和绿色节能,已经成为新一代防火墙的要求。也就是说防火墙未来发展趋势是更高性能、更低能耗。为此,华为赛门铁克公司近日推出了集成多业务的新一代硬件防火墙华为Secoway USG5000系列,并在千兆防火墙上将“每秒新建连接数”这一指标提升到了15万以上。
高性能体验
防火墙产品通常被用户关注的指标主要包括吞吐率、每秒新建连接数和最大并发连接数,但在实际网络环境中(非实验室环境)直接影响用户体验的却是每秒新建连接数。据高雪松介绍,这是因为当前的应用中每种业务将并发更多Session,当网络流量突发或受到攻击时,短时间内会产生巨大的新建连接,要求设备具有更强的抗攻击能力与业务响应能力,所以“每秒新建连接数”是新一代防火墙最关键的衡量指标。
作为一款千兆防火墙,华为Secoway USG5000系列提供6Gbps的吞吐率和最大600万的并发连接数,数据包转发的时延仅为30ms,配合超过15万每秒新建连接数。这意味着,凭借着强大的每秒新建连接数的能力,Secoway USG5000系列防火墙可以为用户有效解决DDoS攻击防护问题,能够防范每秒数百万包以上的DDoS攻击,可支持对SYN FLOOD、UDP FLOOD、ICMP FLOOD、DNS FLOOD、CC等多种DDoS攻击种类的准确识别和控制。
作为困扰着用户网络中各种应用系统(如网站、邮件服务器、数据库系统)的主要安全问题,DDoS攻击中尤以CC攻击为代表的新一代应用层攻击威胁巨大。由于它是采用模拟正常访问的方式对业务系统进行大量的访问请求,所以难以有效地识别和防护。华为赛门铁克专有ICA智能连接算法,可以通过报文特征、前后报文关联关系等技术手段,对基于应用层的CC攻击进行有效的识别和防护,可以为用户的业务提供有效的安全防护,在保证准确识别DDoS攻击流量的同时,不影响用户的正常访问,在复杂网络情况下实现真正的安全防护。
应用体验
在大流量应用场景下,用户还非常关注NAT技术、地址映射等功能特性。其中,NAT技术是防火墙的基本技术之一,在大型园区网络中,网络出口的防火墙往往担负着这一任务。高雪松表示,但是在公网IP地址资源紧张,单个IP支持内网主机数量有限的情况下,为了支持更多的内网主机数量,通常的办法就是增大NAT的地址池,将多个甚至是几十个公网IP地址组成地址池使用。这与如今的公网IP地址资源显然是相冲突的。
华为赛门铁克为此开发出扩展NAT技术,采用智能交替算法,重新定义地址转换五元组,可以支持一个公网IP地址转换无限内网主机数,为用户解决了内网主机数量增加与公网IP地址数量紧张之间的矛盾,大幅度地降低用户的公网IP消耗的问题。
此外,当互联网技术日新月异的时候,各种无线应用也逐渐丰富起来,网络接入不再受限于用户所在的物理位置,给终端用户的网络应用带来极大的便利。在整个数据传输过程中,GTP协议起到了关键的作用,但是由于GTP协议固有的漏洞和问题,例如针对于GTP协议的协议异常攻击、GTP协议欺骗、资源耗尽攻击等安全问题,运营商面临巨大的安全威胁与挑战。
华为赛门铁克公司为此采用了创新技术,让华为Secoway USG5000系列防火墙支持GTP协议过滤,实现对GTP协议传输的安全防护。这样,该系列防火墙可以利用ACL规则过滤GTP非法报文,对GTP特定内容过滤,通过Ga数据过滤保护计费安全,还能提供Gi接口的攻击防范功能,提供GTP状态的统计信息和GTP过滤日志,可以有效地解决无线运营商网络PS域中的安全问题。
绿色环保
而当前热议的绿色环保也被应用于防火墙的设计当中。据高雪松介绍,华为Secoway USG5000系列防火墙在满足运营商市场高可靠性双电源要求的基础上,仍然将整机的功耗大幅度降低,仅为业界同类产品的1/4,可以为用户节省大量的后期设备维护费用。
这是因为,首先,它采用低功耗主处理芯片,同时在系统主板上采用了多项省电技术,对关键的耗电单元作了供电优化,并且会根据设备的性能消耗进行供电调节。其次,它采用智能风扇控制技术,散热系统会根据系统的温度智能调节风扇的转速以及功耗,而不是让风扇始终工作在全速的高功耗状态下。再次,虽然采用双电源供电的高可靠设计,但是只有主电源为设备提供电能,备电源只会监控运行,功耗维持在一个极低的水平上。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。