【51CTO.com 獨(dú)家特稿】在過(guò)去的十年中，以防火墻為主的安全防御體系得到了廣泛的應(yīng)用，但是，歷史曾無(wú)數(shù)次證明，隨著企業(yè)合理安全規(guī)劃的失誤和缺失，即便是部署了傳統(tǒng)防火墻，CSO和IT經(jīng)理們驚訝的發(fā)現(xiàn)，入侵依然時(shí)有發(fā)生，這不僅是因?yàn)槭艿蕉喾降墓?，更重要的是黑客越?lái)越傾向于針對(duì)應(yīng)用程序的攻擊。

事實(shí)上，那些認(rèn)為通過(guò)防火墻進(jìn)行訪問(wèn)控制就可以抵御絕大部分攻擊的想法，已經(jīng)不適合如今的網(wǎng)絡(luò)安全現(xiàn)狀了。越來(lái)越多的黑客不在乎防火墻關(guān)閉了多少端口，他們的目標(biāo)直指防火墻一般都打開(kāi)的端口——80和443等，比如通過(guò)HTTP攜帶惡意數(shù)據(jù)進(jìn)行跨站腳本攻擊等，或者將P2P通信應(yīng)用在80端口上或干脆直接封包在HTTP協(xié)議中，而黑客完全可以通過(guò)未經(jīng)授權(quán)的P2P通信進(jìn)入企業(yè)網(wǎng)絡(luò)內(nèi)部。

留給CSO們的問(wèn)題也再清楚不過(guò)了，是淘汰防火墻更換其他邊界安全防護(hù)設(shè)備呢？還是改進(jìn)傳統(tǒng)的防火墻，使之能夠不斷應(yīng)對(duì)新的安全威脅？

為了解答上述疑惑，我們不妨先來(lái)看是否淘汰防火墻的問(wèn)題，目前業(yè)內(nèi)普遍認(rèn)為，防火墻不會(huì)消失，只會(huì)性能提升，功能改進(jìn)。事實(shí)是最好的真理，下面兩個(gè)案例就能充分說(shuō)明防火墻為什么不會(huì)消失：

圖1

這是一種常用的安全組網(wǎng)方式，把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)通過(guò)防火墻隔離開(kāi)，通過(guò)在防火墻上采用各種技術(shù)，來(lái)防止外部網(wǎng)絡(luò)的不安全因素進(jìn)入內(nèi)部網(wǎng)絡(luò)。在這種組網(wǎng)中，內(nèi)部網(wǎng)絡(luò)是不對(duì)外開(kāi)放的區(qū)域，它不對(duì)外提供任何服務(wù)，所以外部用戶檢測(cè)不到它的IP地址，也難以對(duì)其進(jìn)行攻擊。通過(guò)防火墻的代理功能，內(nèi)部網(wǎng)絡(luò)用戶可以正常訪問(wèn)Internet。

圖中的DMZ區(qū)，對(duì)外提供各種服務(wù)，如網(wǎng)頁(yè)瀏覽、郵件、FTP……等，換句話說(shuō)，DMZ區(qū)的系統(tǒng)是對(duì)外開(kāi)發(fā)的信息平臺(tái)，正因?yàn)檫@樣，才使這個(gè)區(qū)域成為黑客攻擊的首要目標(biāo)，但由于它與內(nèi)部網(wǎng)絡(luò)是隔離的，所以即使受到了攻擊，也不會(huì)危及內(nèi)部網(wǎng)絡(luò)的安全。

圖2的這種組網(wǎng)比較適用于有跨地域業(yè)務(wù)的企業(yè)，其中內(nèi)網(wǎng)和Internet的互訪與圖1一樣，只是增加了內(nèi)部網(wǎng)絡(luò)與外界的聯(lián)系。除了經(jīng)由防火墻訪問(wèn)外部網(wǎng)絡(luò)外，內(nèi)部網(wǎng)絡(luò)不與Internet發(fā)生任何聯(lián)系，通過(guò)和路由器采取的安全技術(shù)相配合，就保證了內(nèi)網(wǎng)的安全，相比之下，這種組網(wǎng)方式要比圖1的安全性更強(qiáng)。

由此可見(jiàn)，防火墻的應(yīng)用不僅僅是抵御網(wǎng)絡(luò)層的攻擊，更重要的是整個(gè)安全策略中的一個(gè)非常重要的環(huán)節(jié)，因此，防火墻不可或缺。

但CSO們面臨的問(wèn)題還是沒(méi)有解決。這也給新一代防火墻，或者說(shuō)新一代安全網(wǎng)關(guān)的發(fā)展提出了嚴(yán)峻挑戰(zhàn)。在防火墻技術(shù)的演進(jìn)中，作為擁有我國(guó)自主知識(shí)產(chǎn)權(quán)的天融信公司，給我們提出了新的防火墻概念：X3-CyberSecX。

所謂X3-CyberSec是指：X-Service、X-Management、以及X-Wall。天融信認(rèn)為，安全防御應(yīng)該是立體的，不應(yīng)單靠某一產(chǎn)品，強(qiáng)調(diào)在三個(gè)維度上的能力的打造，塑造業(yè)務(wù)系統(tǒng)的防護(hù)能力、管理能力和運(yùn)維能力。通過(guò)對(duì)安全防護(hù)技術(shù)的整合和部署、全局化的安全態(tài)勢(shì)感知、以及安全策略的統(tǒng)一制定，借助集中統(tǒng)一的安全管理和策略下發(fā)、以及各種安全部件對(duì)策略的執(zhí)行，實(shí)現(xiàn)防護(hù)能力和管理能力的提升，借助業(yè)務(wù)生命周期的系列服務(wù)，保持業(yè)務(wù)系統(tǒng)的持續(xù)安全和持續(xù)優(yōu)化。

在經(jīng)歷了單CPU、到NP技術(shù)、到ASIC與FPGA協(xié)處理技術(shù)、到多核技術(shù)的探索之后，采用多核多級(jí)處理器的超百G安全網(wǎng)關(guān)——“擎天”，在天融信安全研發(fā)團(tuán)隊(duì)的努力下，即將面市。

據(jù)天融信公司介紹，“擎天”繼承了網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)的功能優(yōu)勢(shì)，采用業(yè)界領(lǐng)先的TMC架構(gòu)，可以實(shí)現(xiàn)性能上的多級(jí)擴(kuò)展，隨需擴(kuò)展安全動(dòng)力，整機(jī)性能超100G，真正實(shí)現(xiàn)安全網(wǎng)關(guān)處理性能從超萬(wàn)兆到超百G的跨越。再加上動(dòng)態(tài)自適應(yīng)負(fù)載均衡保障服務(wù)的連續(xù)性，完備的全網(wǎng)安全控制功能構(gòu)建完整可信的網(wǎng)絡(luò)平臺(tái)，通暢的無(wú)縫切換降低斷網(wǎng)幾率和故障恢復(fù)時(shí)間，綠色、節(jié)能、可持續(xù)應(yīng)用等特點(diǎn)更節(jié)省數(shù)據(jù)中心空間，真正實(shí)現(xiàn)了低成本購(gòu)買產(chǎn)品高回報(bào)反饋用戶的設(shè)計(jì)思路?！扒嫣臁弊陨淼母咝阅芴攸c(diǎn)將為云計(jì)算中心或大型數(shù)據(jù)中心撐起一片安全的天空?！扒嫣臁睂?huì)為您的網(wǎng)絡(luò)和業(yè)務(wù)帶來(lái)真正可靠、可信、全方位的保障服務(wù)。

網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)集成了防火墻、IPSEC VPN、SSL VPN、帶寬管理、防病毒、入侵防御、內(nèi)容過(guò)濾等多種安全功能；用戶可根據(jù)實(shí)際需求靈活選擇針對(duì)行業(yè)應(yīng)用特點(diǎn)及不同性能的產(chǎn)品。據(jù)天融信公司統(tǒng)計(jì)：遍布全國(guó)兩萬(wàn)九千多個(gè)主干網(wǎng)和業(yè)務(wù)網(wǎng)在天融信TOPSEC平臺(tái)保護(hù)下平穩(wěn)運(yùn)行。

“擎天”采用采用真正模塊化設(shè)計(jì)思路，TMC架構(gòu)中的各模塊卡相互獨(dú)立，可以隨業(yè)務(wù)流量的需要任意擴(kuò)展，而且擁有多項(xiàng)國(guó)家重點(diǎn)專利技術(shù)。而整機(jī)的三個(gè)層面：管理控制層面、數(shù)據(jù)轉(zhuǎn)發(fā)層面、安全動(dòng)力層面構(gòu)成了全面的“一機(jī)三層面”立體防護(hù)系統(tǒng)。再加上自我保護(hù)能力極強(qiáng)的安全處理卡，以及具有完全自主知識(shí)產(chǎn)權(quán)的TOS (Topsec Operating System)安全操作系統(tǒng)，擺脫以往的直接處理理念，更多使用中間層架構(gòu)，減少了系統(tǒng)對(duì)硬件的依賴性。同時(shí)，多種安全引擎有效保障了訪問(wèn)控制、內(nèi)容過(guò)濾、帶寬管理、抗攻擊等功能的安全性。
 
擎天的的很多亮點(diǎn)中，有幾個(gè)值得我們注意：
●多核多級(jí)，整機(jī)超百G
“擎天”安全處理卡具有8個(gè)處理內(nèi)核，每個(gè)處理內(nèi)核支持4個(gè)硬件線程，相當(dāng)于4×8=32個(gè)單線程CPU，擁有高速的數(shù)據(jù)傳輸和轉(zhuǎn)發(fā)能力。整機(jī)多個(gè)安全處理卡即可實(shí)現(xiàn)多級(jí)多核的處理能力，性能遠(yuǎn)遠(yuǎn)超越其他單一多核產(chǎn)品。同時(shí)，擁有高速的交換背板，可以提供超100G的吞吐量，支持所有端口L2/L3線速轉(zhuǎn)發(fā)，完成安全網(wǎng)關(guān)處理性能從超萬(wàn)兆到超百G的跨越。

正是這一點(diǎn)，完全可以滿足運(yùn)營(yíng)商級(jí)別安全需求。也奠定了擎天系列新一代防火墻的用戶市場(chǎng)，一定是大型或超大型機(jī)構(gòu)。

●性能擴(kuò)展?jié)M足可持續(xù)應(yīng)用需求
“擎天”各模塊卡均相互獨(dú)立，且均支持熱插拔。整機(jī)性能、端口密度、安全功能等模塊均可擴(kuò)展，并且所有的擴(kuò)展可以簡(jiǎn)單的通過(guò)增加模塊卡的方式進(jìn)行，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)幾乎沒(méi)有影響，也無(wú)須對(duì)系統(tǒng)進(jìn)行徹底的升級(jí)，如此一來(lái)就可以滿足用戶不斷變化的需求。

由于良好的可擴(kuò)展性設(shè)計(jì)，使得X-Firewall的理念得以實(shí)現(xiàn)，真正做到了“我一顆螺絲釘，哪里需要往哪里擰”。

●動(dòng)態(tài)自適應(yīng)負(fù)載均衡，保障服務(wù)的連續(xù)性
當(dāng)多安全處理卡運(yùn)行時(shí)，可自動(dòng)實(shí)現(xiàn)多安全處理卡安全應(yīng)用的負(fù)載均衡功能。系統(tǒng)如果檢測(cè)到有備份的安全處理卡，會(huì)將會(huì)話自動(dòng)同步到備份安全處理卡上，實(shí)現(xiàn)會(huì)話備份。如果主安全處理卡出現(xiàn)故障，備份安全處理卡能夠接替主安全處理卡繼續(xù)工作且保證流量不中斷，為用戶提供高可用性和可靠性。

在大型數(shù)據(jù)中心環(huán)境中，能夠利用集群技術(shù)和負(fù)載技術(shù)提供安全服務(wù)的產(chǎn)品，在市場(chǎng)中并不多見(jiàn)，這對(duì)數(shù)據(jù)中心架構(gòu)變革也產(chǎn)生了重要意義。

●綠色低碳節(jié)能
“擎天”可以在不增加設(shè)備的情況下，通過(guò)增加接口卡，整機(jī)多接口卡，單安全處理卡等端口輸出，既節(jié)省了交換投入，又在不增加設(shè)備的同時(shí)，構(gòu)建綠色環(huán)保網(wǎng)絡(luò)，達(dá)到節(jié)省電耗、空間、節(jié)省投資及冷卻等IT成本，滿足節(jié)能減排的政策要求。

現(xiàn)在CSO面前的迷霧終于有了曙光。不過(guò)，或許有人還是會(huì)問(wèn)一下，究竟什么事下一代防火墻？在記者看來(lái)，所謂下一代防火墻技術(shù)，或者說(shuō)新一代安全網(wǎng)關(guān)的發(fā)展，一定是走統(tǒng)一平臺(tái)，模塊化、智能防護(hù)之路。

不過(guò)，在目前云計(jì)算和虛擬化大興其道的情況下，防火墻技術(shù)還有很大的發(fā)展空間，云內(nèi)的安全、云間的安全、云外的安全，都需要致力于保護(hù)企業(yè)安全的商家們花心思仔細(xì)研究。雖然在記者采訪結(jié)束后，天融信公司依然沒(méi)有透露了擎天——新一代防火墻的上市具體日期，但也表示，將在今年7月份，擎天或許會(huì)與大家見(jiàn)面。