互联网已经被逐渐普遍化,随着技术不断的发展,各种的应用技术与业务层出不穷。从网上冲浪、企业专网、VoIP这些传统应用到社交网站、博客、WiFi、在线游戏、虚拟社区、视频通话、移动上网等新应用都已经普及,网络突发流量的频度和每秒新建连接的峰值越来越高。面对着这样的状况,当今的防火墙技术已经越来越不能应对大流量的网络连接。
华为赛门铁克公司营销工程部安全产品专家高雪松认为,在保障安全的同时确保用户体验和绿色节能,已经成为新一代防火墙技术的要求。也就是说防火墙技术未来发展趋势是更高性能、更低能耗。为此,华为赛门铁克公司近日推出了集成多业务的新一代硬件防火墙技术华为Secoway USG5000系列,并在千兆防火墙技术上将“每秒新建连接数”这一指标提升到了15万以上。
高性能体验
防火墙技术产品通常被用户关注的指标主要包括吞吐率、每秒新建连接数和最大并发连接数,但在实际网络环境中(非实验室环境)直接影响用户体验的却是每秒新建连接数。据高雪松介绍,这是因为当前的应用中每种业务将并发更多Session,当网络流量突发或受到攻击时,短时间内会产生巨大的新建连接,要求设备具有更强的抗攻击能力与业务响应能力,所以“每秒新建连接数”是新一代防火墙技术最关键的衡量指标。
作为一款千兆防火墙技术,华为Secoway USG5000系列提供6Gbps的吞吐率和最大600万的并发连接数,数据包转发的时延仅为30ms,配合超过15万每秒新建连接数。这意味着,凭借着强大的每秒新建连接数的能力,Secoway USG5000系列防火墙技术可以为用户有效解决DDoS攻击防护问题,能够防范每秒数百万包以上的DDoS攻击,可支持对SYN FLOOD、UDP FLOOD、ICMP FLOOD、DNS FLOOD、CC等多种DDoS攻击种类的准确识别和控制。
作为困扰着用户网络中各种应用系统(如网站、邮件服务器、数据库系统)的主要安全问题,DDoS攻击中尤以CC攻击为代表的新一代应用层攻击威胁巨大。由于它是采用模拟正常访问的方式对业务系统进行大量的访问请求,所以难以有效地识别和防护。华为赛门铁克专有ICA智能连接算法,可以通过报文特征、前后报文关联关系等技术手段,对基于应用层的CC攻击进行有效的识别和防护,可以为用户的业务提供有效的安全防护,在保证准确识别DDoS攻击流量的同时,不影响用户的正常访问,在复杂网络情况下实现真正的安全防护。
应用体验
在大流量应用场景下,用户还非常关注NAT技术、地址映射等功能特性。其中,NAT技术是防火墙技术的基本技术之一,在大型园区网络中,网络出口的防火墙技术往往担负着这一任务。高雪松表示,但是在公网IP地址资源紧张,单个IP支持内网主机数量有限的情况下,为了支持更多的内网主机数量,通常的办法就是增大NAT的地址池,将多个甚至是几十个公网IP地址组成地址池使用。这与如今的公网IP地址资源显然是相冲突的。
华为赛门铁克为此开发出扩展NAT技术,采用智能交替算法,重新定义地址转换五元组,可以支持一个公网IP地址转换无限内网主机数,为用户解决了内网主机数量增加与公网IP地址数量紧张之间的矛盾,大幅度地降低用户的公网IP消耗的问题。
此外,当互联网技术日新月异的时候,各种无线应用也逐渐丰富起来,网络接入不再受限于用户所在的物理位置,给终端用户的网络应用带来极大的便利。在整个数据传输过程中,GTP协议起到了关键的作用,但是由于GTP协议固有的漏洞和问题,例如针对于GTP协议的协议异常攻击、GTP协议欺骗、资源耗尽攻击等安全问题,运营商面临巨大的安全威胁与挑战。
华为赛门铁克公司为此采用了创新技术,让华为Secoway USG5000系列防火墙技术支持GTP协议过滤,实现对GTP协议传输的安全防护。这样,该系列防火墙技术可以利用ACL规则过滤GTP非法报文,对GTP特定内容过滤,通过Ga数据过滤保护计费安全,还能提供Gi接口的攻击防范功能,提供GTP状态的统计信息和GTP过滤日志,可以有效地解决无线运营商网络PS域中的安全问题。
绿色环保
而当前热议的绿色环保也被应用于防火墙技术的设计当中。据高雪松介绍,华为Secoway USG5000系列防火墙技术在满足运营商市场高可靠性双电源要求的基础上,仍然将整机的功耗大幅度降低,仅为业界同类产品的1/4,可以为用户节省大量的后期设备维护费用。
这是因为,首先,它采用低功耗主处理芯片,同时在系统主板上采用了多项省电技术,对关键的耗电单元作了供电优化,并且会根据设备的性能消耗进行供电调节。其次,它采用智能风扇控制技术,散热系统会根据系统的温度智能调节风扇的转速以及功耗,而不是让风扇始终工作在全速的高功耗状态下。再次,虽然采用双电源供电的高可靠设计,但是只有主电源为设备提供电能,备电源只会监控运行,功耗维持在一个极低的水平上。
【编辑推荐】
