Magnus 发表于:14年06月19日 00:53 [综述] DOIT.com.cn
IT承载网是承载企业信息化应用的核心基础网络,其支撑能力和规范程度将直接影响到企业内部应用系统间的互联互通能力,影响到系统的应用质量和信息安全。海南联通IT承载网是海南联通全省的办公网络,承载着海南联通OA,邮件,财务、ERP等十余种业务系统的日常交付。
“今天的IT承载网与过往相比发生了巨变,一方面当前安全威胁不断升级,使得我们必须进一步增强防护措施,另一方面网络用户也发生了显著变化,目前我们网络中有20%的用户在使用无线网络接入,还有大量的远程接入VPN用户,管理的难度进一步增大”,海南联通信息化部支撑中心主任王雄先生说。
据王雄介绍,海南联通IT承载网是其最重要的网络之一,网络设计、建设、管理运维等都是按照电信级标准完成的,但随着使用年限的增加,近年来还是暴露出了一些问题。
“从去年开始,我们发现网络中开始有丢包、时延抖动较大的现象,不少部门向我们反应网络访问的体验变差”,经过反复分析、排查,运维人员确认部署于网络出口的两台Cisco防火墙长时间处于超负荷运行的状态。
由于先前设备的性能瓶颈和功能缺失,海南联通随即启动了出口防火墙设备的升级项目,并组织了一系列的入围测试工作。
“作为运营商网络的设备,高性能、高可靠性是要考虑的首要问题,尤其是本次防火墙升级,我们要选择的是一款具备应用层安全防护能力的设备,对于性能的要求更为严格”,王雄说。
在众多的参测厂商中,网康下一代防火墙超强的应用识别能力以及功能全开启后的高性能给用户留下了深刻印象,凭借在测试过程中表现出的诸多亮点,网康下一代防火墙最终赢得了用户的青睐。
高可靠、高性能满足电信级标准
为了满足IT承载网99.9%以上的可靠性要求,网康下一代防火墙采用了主被模式的HA部署架构,由两台设备组成集群,设备配置、会话信息以及在线用户信息等均在主、被设备间实时同步,保证了故障切换时业务无中断。
网康下一代防火墙采用多级冗余确保高可靠性
在测试过程中,网康下一代防火墙的性能表现同样得到了用户的肯定,在逐步开启各项安全功能后,设备的包转发速率和处理延时并未有明显变化,经过长时间在线测试,表现出了极高的稳定性。
“性能是应用层安全设备的一大挑战,为了实现完整的检查,经过设备的每一个数据包都要进行拆包和解码,这需要消耗大量的运算资源,为了保证我们的下一代防火墙能够在保证性能的前提下完整交付功能,我们做了多方面的创新”,网康专家指出,硬件、软件架构以及处理机制,是制约设备性能提升的核心因素。
网康专家还谈到,网康下一代防火墙采用了Intel专用高性能硬件平台和DPDK软件技术,所有数据包检测均采用单路径引擎的方式,仅需一次拆解即可实现应用类型、木马、病毒、恶意网址等威胁的检测,从而保证了较小的性能衰减。同时,网康下一代防火墙采用病毒云查杀技术,这在国内防火墙领域尚属首创,由云端的海量资源代替设备本地查杀,同样能够降低设备的运算开销。
据悉,在权威评测机构赛可达实验室的“东方之星”认证测试中,网康下一代防火墙在开启全部安全功能后,性能衰减可稳定控制在50%左右,符合业界公认的下一代防火墙性能考量标准。
应用控制、可视化升级防护级别
随着应用程序的爆炸式发展,传统防火墙已失去了对当今网络流量的“理解”能力,使得防火墙设备的访问控制几乎完全失效。
访问控制能力的丧失,是对企业安全的最大威胁,由流量失控导致的应用滥用、资源抢占仅是其一,一些高危应用或携带威胁的流量可以轻易绕过安全设备检查,是导致安全风险升级的核心原因。
前不久,网康下一代防火墙支持识别的应用数量率先突破3100种,此外还有700余种移动互联网应用。对网络流量中人、应用、内容的超强识别能力,已然成为网康下一代防火墙最核心的竞争优势。
“下一代防火墙的应用识别能力帮助我们解决了很多现实的问题”,据王雄介绍,在网康设备的帮助下,一些与业务无关或高危的应用流量均被拒绝或限制,减少了威胁渗透的通道,同时,对于在网的智能终端设备,还可基于终端类型及应用进行识别和控制。安全使能应用能够有效支撑企业内部的安全政策,并始终将防护级别维持在较高水平。
王雄还谈到,安全管理者不应仅充当救火队员的角色,他们始终在探索一种既能高效开展、又能切实有效的安全治理方式。
“作为一款防火墙产品,网康设备的可视化能力很出众,无论是异常输出还是事件溯源,都能够非常直接的呈现出来,同时基于统计的结果对流量变化、可疑行为等进行分析,这些为我们不断优化安全配置帮了大忙”,王雄说。
网康下一代防火墙助用户实现全网可视
网康专家指出,在过往,90%的用户不对防火墙进行管理和检查,而网络始终在发生着变化,先前设定的安全配置很快就会失效。安全管理强调形成闭环,在部署了防御措施后仍要不断的进行检查、调优,动态调整的安全策略具有最高的有效性。下一代防火墙正在此方面改变着用户的使用习惯,设备一旦上线,可首先帮助用户评估网络风险,用户根据风险状况并结合自身安全需求进行安全配置,再通过可视化技术对全网状态进一步分析,最终基于分析结果调优策略。通过“评估-防御-检测-响应”的闭环运行,安全防护将由单纯的事件响应推向面向风险的控制。