科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全天融信:可信网络架构下的万兆安全

天融信:可信网络架构下的万兆安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

2011年马上就要过去,ZDNet安全频道采访到天融信副总裁刘辉和天融信IDP产品总监刘彤,介绍了今年整体的网络安全状况,并介绍了天融信近期发布的全新IDP产品的创新技术及带给企业的价值。

来源:ZDNET安全频道【原创】 2011年11月22日

关键字: 天融信 IPS 万兆 TopIDP

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

  主持人:据我们了解,现在市场上这种万兆的IPS确实也不多,请您介绍下天融信推出的万兆的IDP的核心优势?

天融信:可信网络架构下的万兆安全

天融信万兆TOPIDP

  刘辉:天融信做网关的历史是非常长的,这么多年来一直做网关,所以我们在网关这一块的发展技术非常成熟,尤其在数据,大链路的数据处理上,这是有独特的技术在支撑着我们。随着整个技术的发展,那么整个尤其是计算技术的发展,实际上能够支撑更高的技术,能够来支撑,当然天融信在这样同样的一个硬件的技术支持上,有我们自己软件发展的优势,包括我们自己做了我们自己的安全操作系统。

  实际上我们在IPS引擎优化上花了大量的工夫,如何能充分利用当代的硬件技术的发展,软件和硬件能够做到一个非常好的一个结合,发明一个非常好的结合的机制,能够适合大容量的发展,并且能够还继续工作在,防御第一线,就是说为什么刚才刘彤已经讲了一块,行业里面我们可以看到很多,它能转发达到万兆,真正应用处理很难做,所以我们在软硬件这一块也是多年的积累,这是一块。第二,我们如果能把性能处理上来,这仅仅是一步,我为了突破性能,但是你仅仅把性能做上去,不能做到很好的攻击的防御,也是存在问题的,所以我们在整个我们协议的识别,就是应用协议的识别,供给行为的识别,行为模型上我们做了很大量的工作,把我们能够提高检测率,做了非常深入的研发和投入。所以我们现在协议识别率在国内,现在是我们最高的。

  刘彤:实际上像IPS这种做内容检测的,这样的产品,如果要真正的做到实际网络当中,能够在万兆的环境下运行的话,还是难度比较大的。因为我们知道做防火墙的时候,它是基于连接的,所以防火墙我们内部做过开发的都知道,有快速的路径,它只是对包头进行检查,这样对提高性能有很大帮助。但是像IPS这种,做内容安全的就不能这样,每一个都需要检测,都没有捷径,都需要走所有的,包括收发数据、包括协议分析、包括检测、包括匹配,像我们现在有3600条规则,每一条规则都不能放过,所以这个难度是比较大的。

  现在因为硬件多核发展,也已经比较成熟了,所以硬件的这种性能的瓶颈已经打开了,像现在这个单核的处理器,可能市场上已经都没有了,像我们家用的PC也是2核的、4核的。像现在在嵌入式系统里面用到的像8核、64核,甚至128核的处理器都有,所以现在的瓶颈主要是在软件这方面,就是软件怎么样设计一个合理的架构,能够充分发挥硬件的计算资源,硬件的计算能力很好计算,像一个核,我再增加一个核,硬件的计算能力就提高了一倍,就是乘2的关系,但是加上软件的架构,形成整体系统以后,就不是这样,有可能你只能提高1点几倍,还有可能随着核数量的增多,这个系统整个的性能在逐步的下降,很有可能出现这样的瓶颈,所以我们就是说一直在架构方面,下了很大的力气。还有一方面就是在核心算法,这两个方面来着手。

  主持人:以前的IPS在实际的应用情况中,通常感觉到有不足,然后现在,比如在安全性能等方面,是否有提升?

  刘辉:我们现在当然是首先万兆部署的环境,现在在目前这个阶段,它应该是比较核心的数据处理,尤其是大的业务的关口处。我相信未来得发展,可能会部署到每一个普遍的网站,可能都是万兆,所以从目前来看,客户放的万兆的IPS,包括我们使用的客户,都是非常关键的业务点,所以在这个地方,有几个非常要求,就是除了刚才说的性能要支撑以外,那在这些关键业务上,第一个就是要求健壮和稳定,这是非常要求比较高的,这是一块,我回头再来讲,为什么我们在健壮稳定上做了哪些工作。第二块,它现在的核心的业务有很多的都是,比如说新型的业务系统,业务系统基于外部化的很多的趋势,基本都是通过浏览器的方式,提供自己的业务的一种交付行为。所以在这个位置上,它仅仅的防御的不是传统的,仅仅就是那些恶意的攻击,所以它对于防御的内容的要求也很高,那么所以在这一块内容上,比如说它除了传统的,像过去的IDP所识别的那些攻击以外,那么现在它要识别的很多种新型的攻击,比如说新型的病毒,过去可能也不是IDP,但是病毒,那么也是现在,它要求在这些核心业务系统上,要有病毒的防御能力,没有这样的防御能力,那么很难,能够对这些核心业务做毫无疑问的保护,病毒的防御。那么还有他现在希望各个业务系统之间的交互,都是基于WEB方式,有没有恶意的木马的挂马,木马的防御,恶意的这种资源库,恶的URL库,这样的防御也能做到非常好。

  基于传统的模式匹配的这种攻击的行为识别,不能解决所有的问题,还有很多类新的,针对应用攻击发起的行为,那么需要能够提供解决方法。所以我们也建立了一个行为的模式的识别库,来识别一些即使现在规则库里面没有的一些恶意的行为,来保护这些核心的数据。那么这是实际上在新的一些应用方面,客户对你提供的要求,所以我们万兆IPS都做的,在这方面做了很多大量的努力。那么从健壮性过程,我尤其刚才讲了,第一点我提到在核心业务要很健壮,为什么说这健壮性业务天融信做得很好,这个行业有很多类,有一的专业的厂商,你看国外的一些厂商,它可能起来比较顶尖的厂商,它起来做的时候就是直接从IPS做起,那么国内我们可以看到有两类,一类就是从网关做起来的厂商,还有一类是从IDS做起来的厂商,那么这两类有什么差异,过去做IDS的这些厂商,它放的旁路,所以它旁路对于要求不是非常高,这个协议流来了以后你可以不处理,或者处理不行,不影响协议,它是一个旁路识别行为,但是现在呢,那么我们可以看到,在过去做网关,你非常高的你要做到稳健性的处理,你不能把这个业务处理断了,你做防御的处理,所以我们可以发现这两类厂商起来的,我们比较明显的感觉到,从直接做网关级设备的厂商来做IPS,那么做得非常的稳健,包括当然我们国外的一些厂商也可以提一提,比如像TP这样的公司,国内像天融信这样,做网关的,这一类厂商做出来稳健性得很强,因为它知道怎么样在应用协议里面能够高速处理,而做旁路的一些设备厂商,其实在做稳健性的这种设计和考虑上经验不足。

  主持人:目前有没有一些案例?

  刘彤:现在这个万兆的IDP设备商都在运营商,运营商里面来识别,运营商主要是对这个设备的性能,还有设备的稳定性要求比较高。它对设备的功能的扩展方面,倒并不是特别关注,因为运营商要求设备比较专,专门解决一个问题,然后在这一个问题里面,能够把所有的其他设备,能做的东西配合起来一块来实现,所以运营商讲的就是各个产品的配合,像通常现在运营商里面说,就是防火墙在前面,IDP产品在后面,一个防火墙把住门,然后IDP来做详细的筛选,数据流的筛选,来做这个,我们现在万兆的IDP,在运营商里面都有应用。

  主持人:企业在部署,或者是管理,天融信如可考虑这款产品带来的安全架构的变化?

  刘辉:因为天融信过去这么多年,一直在强调,可信网络世界的构建,这是天融信坚持的理念。什么叫可信网络世界,就是从整个技术上反映网络传送、应用的环境,这些一系列的环境里面,我们都要打造一个可信的环境,所以这一款产品也是整个我们可信网络架构中间的一部分。那么这一块,虽然它发挥在放在网关防御的位置,它实际上是跟其他的防御的系统,应该构建非常好的一个应用模式。

  举个例子,那么我们这一套系统,我们可以桌面的可信的终端进行准入的识别,可以形成一种密切的联系,识别这些来自于可信终端的异常行为,我们进行阻断掉,那么也可以遇到一些情况的时候,我们向这个可信的终端发生相应的安全的指令,告诉这些恶意的终端,你应该停止什么行为,允许掉什么样的行为。所以这一块,从网关到终端,我们有整套的密切的联系,当然了,我们现在从过去,从终端这一层到网络这一层,到整个全网管理这一层,天融信都有比较好的解决方案,尤其在管理这一层,我们现在有自己的天融信比较成熟的,像安管的这种平台,安管的平台我们可以作为整个网络中间的一个大佬来看到,我们在整个世博局,我们怎么在世博网络里我们第一次帮助它部署了神经网络系统,其中核心就是安管的平台,安管平台要和各个的这种安全组件、网络组件、技术环境组件进行沟通,得到他们的安全属性、得到安全状态,随着这些属性、安全状态发生一些异常变化的时候,整个安全大佬能够获得响应机制,所以这套系统实际上包括,我们对于万兆的这个IPS,它们之间都构建了很密切的联系。

  这个系统前两天我们出了世博局以后,我们也看到了,我们在整个天宫一号跟神八的对接上的这种,我们应用到整个航天直控的这种系统里面来,我们部署了一整套全国的这套,这种安全大佬中心,为整个行业的对接系统,我们的工程师为了安装实施这个产品,脚步遍布了我们国家的很多我们没有去到的地方,连我都很羡慕,像我们的工程师去了九泉、西昌卫生发射中心,我们登上了远望3号船、5号船、6号船。当然他们在这些点部署完了以后,在总部的航天中心,又有一个中心点,能够把各个已的安全设备,还有其他行业里面,遵循天融信相关标准的这些,这个协议标准的,包括网络的设备,路由器、交换机的状态,那么这个安全的应用系统的状态,数据库、操作系统,整个数据状态,全部形成一个会聚和智能处理的一个大佬,非常好的支撑了整个天宫一号的对接。

  天融信现在提供的产品,已经不再是单个分离的产品,而是有机联系的,我们虽然看起来是单个销售,但是它一定会能形成一个密切联系的整体。当然这些产品体系能够达成,独自又能形成一套体系,我们还围着这个整个产品体系,配上了一个专业的服务队伍,我们有完整的从咨询到规划到实施,到后期运维的整套的队伍。在运维方面,我们也结合不光是我们自己的运维,和中国电信、中国联通建立这种基于云模式的,服务运维的中心,在这些中心里面,同样跟我们这些传统的网关设备,都有很好的这种体系的结合。所以我们可以看到,我们这个万兆IPS,在整个应用过程中,我们今天虽然单拿出来讲,它也是在整个可信体系架构里面发挥非常重要的一块作用,能够跟我们天融信的整个体系形成一个无缝的对接。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章