互聯(lián)網(wǎng)已經(jīng)被逐漸普遍化，隨著技術(shù)不斷的發(fā)展，各種的應(yīng)用技術(shù)與業(yè)務(wù)層出不窮。從網(wǎng)上沖浪、企業(yè)專網(wǎng)、VoIP這些傳統(tǒng)應(yīng)用到社交網(wǎng)站、博客、WiFi、在線游戲、虛擬社區(qū)、視頻通話、移動上網(wǎng)等新應(yīng)用都已經(jīng)普及，網(wǎng)絡(luò)突發(fā)流量的頻度和每秒新建連接的峰值越來越高。面對著這樣的狀況，當(dāng)今的防火墻技術(shù)已經(jīng)越來越不能應(yīng)對大流量的網(wǎng)絡(luò)連接。

華為賽門鐵克公司營銷工程部安全產(chǎn)品專家高雪松認(rèn)為，在保障安全的同時(shí)確保用戶體驗(yàn)和綠色節(jié)能，已經(jīng)成為新一代防火墻技術(shù)的要求。也就是說防火墻技術(shù)未來發(fā)展趨勢是更高性能、更低能耗。為此，華為賽門鐵克公司近日推出了集成多業(yè)務(wù)的新一代硬件防火墻技術(shù)華為Secoway USG5000系列，并在千兆防火墻技術(shù)上將“每秒新建連接數(shù)”這一指標(biāo)提升到了15萬以上。

高性能體驗(yàn)

防火墻技術(shù)產(chǎn)品通常被用戶關(guān)注的指標(biāo)主要包括吞吐率、每秒新建連接數(shù)和最大并發(fā)連接數(shù)，但在實(shí)際網(wǎng)絡(luò)環(huán)境中(非實(shí)驗(yàn)室環(huán)境)直接影響用戶體驗(yàn)的卻是每秒新建連接數(shù)。據(jù)高雪松介紹，這是因?yàn)楫?dāng)前的應(yīng)用中每種業(yè)務(wù)將并發(fā)更多Session，當(dāng)網(wǎng)絡(luò)流量突發(fā)或受到攻擊時(shí)，短時(shí)間內(nèi)會產(chǎn)生巨大的新建連接，要求設(shè)備具有更強(qiáng)的抗攻擊能力與業(yè)務(wù)響應(yīng)能力，所以“每秒新建連接數(shù)”是新一代防火墻技術(shù)最關(guān)鍵的衡量指標(biāo)。

作為一款千兆防火墻技術(shù)，華為Secoway USG5000系列提供6Gbps的吞吐率和最大600萬的并發(fā)連接數(shù)，數(shù)據(jù)包轉(zhuǎn)發(fā)的時(shí)延僅為30ms，配合超過15萬每秒新建連接數(shù)。這意味著，憑借著強(qiáng)大的每秒新建連接數(shù)的能力，Secoway USG5000系列防火墻技術(shù)可以為用戶有效解決DDoS攻擊防護(hù)問題，能夠防范每秒數(shù)百萬包以上的DDoS攻擊，可支持對SYN FLOOD、UDP FLOOD、ICMP FLOOD、DNS FLOOD、CC等多種DDoS攻擊種類的準(zhǔn)確識別和控制。

作為困擾著用戶網(wǎng)絡(luò)中各種應(yīng)用系統(tǒng)(如網(wǎng)站、郵件服務(wù)器、數(shù)據(jù)庫系統(tǒng))的主要安全問題，DDoS攻擊中尤以CC攻擊為代表的新一代應(yīng)用層攻擊威脅巨大。由于它是采用模擬正常訪問的方式對業(yè)務(wù)系統(tǒng)進(jìn)行大量的訪問請求，所以難以有效地識別和防護(hù)。華為賽門鐵克專有ICA智能連接算法，可以通過報(bào)文特征、前后報(bào)文關(guān)聯(lián)關(guān)系等技術(shù)手段，對基于應(yīng)用層的CC攻擊進(jìn)行有效的識別和防護(hù)，可以為用戶的業(yè)務(wù)提供有效的安全防護(hù)，在保證準(zhǔn)確識別DDoS攻擊流量的同時(shí)，不影響用戶的正常訪問，在復(fù)雜網(wǎng)絡(luò)情況下實(shí)現(xiàn)真正的安全防護(hù)。

應(yīng)用體驗(yàn)

在大流量應(yīng)用場景下，用戶還非常關(guān)注NAT技術(shù)、地址映射等功能特性。其中，NAT技術(shù)是防火墻技術(shù)的基本技術(shù)之一，在大型園區(qū)網(wǎng)絡(luò)中，網(wǎng)絡(luò)出口的防火墻技術(shù)往往擔(dān)負(fù)著這一任務(wù)。高雪松表示，但是在公網(wǎng)IP地址資源緊張，單個(gè)IP支持內(nèi)網(wǎng)主機(jī)數(shù)量有限的情況下，為了支持更多的內(nèi)網(wǎng)主機(jī)數(shù)量，通常的辦法就是增大NAT的地址池，將多個(gè)甚至是幾十個(gè)公網(wǎng)IP地址組成地址池使用。這與如今的公網(wǎng)IP地址資源顯然是相沖突的。

華為賽門鐵克為此開發(fā)出擴(kuò)展NAT技術(shù)，采用智能交替算法，重新定義地址轉(zhuǎn)換五元組，可以支持一個(gè)公網(wǎng)IP地址轉(zhuǎn)換無限內(nèi)網(wǎng)主機(jī)數(shù)，為用戶解決了內(nèi)網(wǎng)主機(jī)數(shù)量增加與公網(wǎng)IP地址數(shù)量緊張之間的矛盾，大幅度地降低用戶的公網(wǎng)IP消耗的問題。

此外，當(dāng)互聯(lián)網(wǎng)技術(shù)日新月異的時(shí)候，各種無線應(yīng)用也逐漸豐富起來，網(wǎng)絡(luò)接入不再受限于用戶所在的物理位置，給終端用戶的網(wǎng)絡(luò)應(yīng)用帶來極大的便利。在整個(gè)數(shù)據(jù)傳輸過程中，GTP協(xié)議起到了關(guān)鍵的作用，但是由于GTP協(xié)議固有的漏洞和問題，例如針對于GTP協(xié)議的協(xié)議異常攻擊、GTP協(xié)議欺騙、資源耗盡攻擊等安全問題，運(yùn)營商面臨巨大的安全威脅與挑戰(zhàn)。

華為賽門鐵克公司為此采用了創(chuàng)新技術(shù)，讓華為Secoway USG5000系列防火墻技術(shù)支持GTP協(xié)議過濾，實(shí)現(xiàn)對GTP協(xié)議傳輸?shù)陌踩雷o(hù)。這樣，該系列防火墻技術(shù)可以利用ACL規(guī)則過濾GTP非法報(bào)文，對GTP特定內(nèi)容過濾，通過Ga數(shù)據(jù)過濾保護(hù)計(jì)費(fèi)安全，還能提供Gi接口的攻擊防范功能，提供GTP狀態(tài)的統(tǒng)計(jì)信息和GTP過濾日志，可以有效地解決無線運(yùn)營商網(wǎng)絡(luò)PS域中的安全問題。

綠色環(huán)保

而當(dāng)前熱議的綠色環(huán)保也被應(yīng)用于防火墻技術(shù)的設(shè)計(jì)當(dāng)中。據(jù)高雪松介紹，華為Secoway USG5000系列防火墻技術(shù)在滿足運(yùn)營商市場高可靠性雙電源要求的基礎(chǔ)上，仍然將整機(jī)的功耗大幅度降低，僅為業(yè)界同類產(chǎn)品的1/4，可以為用戶節(jié)省大量的后期設(shè)備維護(hù)費(fèi)用。

這是因?yàn)?，首先，它采用低功耗主處理芯片，同時(shí)在系統(tǒng)主板上采用了多項(xiàng)省電技術(shù)，對關(guān)鍵的耗電單元作了供電優(yōu)化，并且會根據(jù)設(shè)備的性能消耗進(jìn)行供電調(diào)節(jié)。其次，它采用智能風(fēng)扇控制技術(shù)，散熱系統(tǒng)會根據(jù)系統(tǒng)的溫度智能調(diào)節(jié)風(fēng)扇的轉(zhuǎn)速以及功耗，而不是讓風(fēng)扇始終工作在全速的高功耗狀態(tài)下。再次，雖然采用雙電源供電的高可靠設(shè)計(jì)，但是只有主電源為設(shè)備提供電能，備電源只會監(jiān)控運(yùn)行，功耗維持在一個(gè)極低的水平上。
 

【編輯推薦】

1. 殺毒軟件全面云安全 究竟誰才值得真正選
2. 云計(jì)算信息安全前景不明
3. 誰來保護(hù)在云中的信息安全
4. 云時(shí)代下的運(yùn)營商安全防護(hù)
5. 云計(jì)算：信息安全開啟新篇章