|
 ·热 点 关 注: NetEye防火墙再创佳绩 国内品牌跻身第一阵营 ·技 术 纵 谈: 新一轮安全商机? --浅析NP在网络安全领域的应用 ·安 全 在 线: 最新NetEye IDS 2.1.1在线下载发布 ·安 全 论 坛: 社保系统的网络安全保障 ·NetEye团 队: 我辈岂是蓬篙人! |
* 2003中国优秀IT服务商评荐:制造业优秀中国IT服务商
* 2003中国优秀IT服务商评荐:中国优秀系统集成服务商10强
* “网络安全三人行”之电子政务篇--构筑电子政务安全
据CCID顾问(CCID CONSULTING)《2003年第一季度中国网络安全产品市场分析报告》中显示,2003年第一季度,以东软为首的国产品牌销售额比上季度有很大程度的增长。其中,东软NetEye的市场份额在国内品牌中继续稳居第一的位置,超过Checkpoint2.1%,距离排名第一的NetScreen仅差0.9个百分点,在综合品牌的排名上升到第二,这是国内品牌第一次跻身于综合防火墙品牌第一阵营。
报告中相关数据见:《报告摘要》2003第一季度网络安全产品市场分析报告——CCID
03年以前(包括2002年)的媒体报导将国内防火墙市场划分为三个阵营;第一阵营是CISCO、Checkpoint、Netscreen,资金、技术雄厚、管理成熟的三家国外厂商;第二阵营的是东软,天融信,联想等安全厂商,他们具有资金优势(大多数为上市公司)、市场拓展优势;第三阵营的防火墙厂商基本上都是新进入市场的安全厂商,或者是在资金、市场运作上不太成熟的公司。此次以东软为代表的国内品牌成功地打破国外品牌对第一阵营的垄断具有较强的标志意义。
多年来,东软一直以维护国家网络安全为己任,不断的探索,逐渐形成了符合中国国情、满足客户需求的安全体系,并在安全产品的服务、研发、应用等方面形成了自身的特色,成为国内安全产品的第一品牌。
在服务方面,东软为用户构造了三道安全防线:分布在全国各分支机构的安全服务、咨询专家;北京技术支持中心;总部研发基地。目前,有近百家代理商分布在全国30余城市。03年,为针对网络安全用户提供更有效、完善的服务,东软又率先在网络安全市场引入汽车行业的“4S品牌店”销售、服务一条龙的模式,在其渠道内推广“4S品牌加盟店”计划,以保证东软网络安全产品用户尽快享受到“4S品牌店”出色的服务。构成东软股份网络安全产品销售联盟,为全国近千家用户提供产品与服务……
在研发方面,东软拥有对网络安全领域有着深刻认识的网络安全专家曹斌博士,以及一支研发能力极强,并在网络安全方面有着长年开发经验的研发队伍,成为东软在网络安全领域不断创新与提高的技术保障……
在应用领域,东软网络安全技术和服务已得到国内企业的认可,NetEye这个品牌已深入人心。先后获得了公安部、安全部、保密局、商密办、军队颁发的销售许可或产品推荐证书,并与许多国家级重点科研院所在网络安全方面建立起广泛的合作关系,承接了一些国家级的安全项目。目前该产品已广泛应用于政府、电信、银行、电力、证券、能源、交通、军队、财税系统等部门,公司在网络安全上的专业性得到广大用户的好评……
这次CCID评测报告表明了在中国网络安全的市场上,国外品牌垄断第一阵营的局面已经被打破,以东软为首的国产品牌作为不可缺少的主角担任着重要的角色。2003年,东软在网络安全领域将继续以“信赖缔造姻缘 安全成就百年”为己任,为用户提供高质量的产品与服务,以用户为核心,为用户提供领先的技术和服务以其实现自身价值。
—浅析NP在网络安全领域的应用
题注:两年前,以Intel为代表的国际芯片厂商推出了具有革命性意义的网络处理器(NP),但是,无论观察家如何称颂,NP并没有引发出预想中的网络革命,预计70亿美元的市场,至今只实现了区区1亿美元!正所谓“有心栽花花不开,无心插柳柳成荫”,这项眼看要变成“明日黄花”的技术,最近却突然在网络安全领域升温,尤其受到中国信息安全厂商的青睐!
4月2日,中科网威公司于宣布推出了国内第一款基于NP技术的千兆防火墙。随后,国内各大信息安全公司也都紧锣密鼓,在暗中开始相关产品的研发,预计下半年,各类基于NP的安全产品将陆续与大众见面。有人因此断言,NP技术将是国内网络安全厂商在信息技术更新换代时,在高端领域赶超世界先进水平的一次难得的机会。
※ 迟来的应用
自2002年开始,随着网络带宽的增长,尤其是千兆网络在国内的大规模推广应用,基于高带宽网络中的安全设备的性能需求也上升到一个前所未有的阶段,产品“性能”成为众厂商争夺的焦点。在这种环境下,2002年,各类千兆防火墙、千兆IDS、千兆VPN频频新鲜出炉。“NP技术在网络安全领域的应用之所以晚了两年,是因为市场对千兆安全设备的需求直到2002年才进入高峰。”英特尔中国IXA架构研发中心总监杜江凌说。
联想信息安全事业部防火墙产品经理张晋说:“防火墙技术发展趋势有两点,一是千兆线速处理能力,二是基于各种应用协议分析的深度安全检测。目前,国内生产的大多数防火墙,是基于Intel X86架构的硬件防火墙和基于类Unix操作系统的软件防火墙。这些防火墙很好地实现了深度安全检测,但不能实现千兆线速能力。与基于ASIC架构的防火墙相比,它们在性能上相差得太远,许多基于这种架构的号称千兆的防火墙,实际处理能力只能达到50%。”
北京中科网威信息技术有限公司副总裁兼产品推进本部总经理刘兵认为:“很多开发商对百兆防火墙的开发获得了成功,所以对千兆防火墙的开发也很乐观,认为通过提高CPU主频、扩大内存、用千兆服务器网卡等就能满足千兆需求,但实际情况并非如此,主要问题就在于无法实现性能。基于X86架构的千兆防火墙采用PCI总线接口,虽然吞吐量理论上接近2Gbps,但实际应用中,尤其是传送小包的情况下,远远达不到该指标;并且,通用CPU处理能力有限,很容易被黑客利用、攻击,尤其是溢出攻击,致使这类设备自身的安全性较低。”
正因为如此,在许多对网络安全性能要求高的领域,比如电信数据网、ISP以及金融骨干网等处的安全设备,多选用以NetScreen公司为代表的国外高端防火墙——均采用ASIC技术。
国内具有自主研发安全产品的各大著名厂商不得不承认,在ASIC技术开发上,目前国内厂商与国外厂商有一定差距,国内厂商很难超越国外厂商。“国外ASIC技术已经经过了10多年的发展,技术成熟、稳定,应用广泛,而国内ASIC技术的研究多数处于实验室阶段,起步晚,应用少,在ASIC技术方面,国内厂商与国外厂商的研究水平相差至少10年以上。”中科网威的刘兵说。那么,在千兆高端防火墙市场,国内厂商是否没有机会?在电子政务、某些信息敏感不能采用国外产品的关键核心部门,安全问题如何解决?
※ NP vs ASIC
内安全厂商将目光瞄向了在性能上与ASIC技术媲美,而开发难度、开发周期以及灵活性上相对ASIC有极大优势的NP技术上。正如大家的共识,NP相对千兆X86架构的优势不言而喻:后者的带宽虽然提高了,可系统总线、接口、CPU的处理能力不可能相应提高,对于要完成包过滤、代理、NAT、防攻击等多项功能的防火墙来说,这种硬件结构不能满足千兆线速性能需求。
那么,NP防火墙在性能上,能否与ASIC防火墙真正媲美呢?
国外,美国的ServerGate首先研制出来NP防火墙,采用多片IXP1200结合高速包分类芯片设计,在进行多路测试情况下吞吐量可达到800Mbps左右,达到了ASIC的性能;由于NP的可编程性,它又弥补了ASIC不灵活、升级困难的缺陷。在国内,中科网威开发出的NPFW-1000防火墙,内部总线带宽达到128G,端口间的数据转发达到了1Gbps的线速处理能力,支持100万以上的并发连接;联想基于NP的防火墙网御2000 FW GL在千兆线速环境下测试,64字节的小包处理速度可以达到74%,在同类产品中是效率最高的。
东软网络安全产品营销中心副总经理曹斌认为:“对比NP技术,ASIC只做了一件事,即提高计算能力,把关键算法固化成了芯片,但如果采用了ASIC后不能很好地解决通信接口问题,其性能并不会有本质性的提高。比如现有某些百兆级产品,虽然也采用了ASIC芯片,但仍然使用普通的PCI总线作为数据传输通道,其吞吐能力比采用IA架构的产品反而还要差一些,有很多实测数据可证实这一点。”
联想的张晋说: “NP防火墙可解决基于Intel X86的防火墙在性能上的瓶颈和基于ASIC的防火墙功能贫乏的缺陷,将同时具备ASIC的高性能和X86的快速升级能力。可以认为,NP是新一代防火墙特别是高端防火墙发展的必然趋势。”
“除此之外,NP的优势主要体现在开发时间和开发成本上。”Intel的杜江凌说。他解释,一般来说,开发一款新的ASIC设备,从设计出原型到送到台基电这样的公司规模生产,总共需要1年半到2年的时间;而对于NP技术,芯片厂商一般都能提供基本的原型,防火墙厂商在此基础上,开发自己的软件功能、算法等,大概只需要花半年到1年的时间。“正是因为开发时间短的原因,2002年千兆防火墙市场热后,许多国内厂商开始投资开发NP技术,才能在最短的时间内,今年年初就能推出与ASIC媲美的应用于高端的NP防火墙。”他说。
另他还从开发费用做分析:ASIC非常贵,生产0.13微米工艺的ASIC需投资至少100万美元,数量至少在10万片以上,这还不包括研发成本;此外,ASIC的升级非常困难,一般升级必须对硬件进行重新设计,而重新设计至少要花75万美元以上;而NP相对要便宜得多,它的成本为每片150~800美元之间,可单片或小批量采用,开发商不需要大量积压资金。
此外,与ASIC的“独立”不同的是,开发NP技术有大的芯片厂商,如Intel、IBM、Mortorola在后面支撑与服务,帮助那些专注于防火墙软件功能开发的厂商进行硬件设计,这无疑弥补了软件厂商的不足。
NP有这么多优势,难怪国内信息安全厂商如获至宝。“中国的防火墙崛起要靠NP!”中科网威的刘兵说
※ 通用的 vs 专用的
不同的NP在功能、性能以及软件支持方面均有较大差异,开发商的竞争焦点转移至选择哪类NP上。换言之,哪类NP更适合安全产品的开发?目前,市场上现存的NP网络处理器可分为通用NP(以Intel的IPX、IBM的NP4G为代表,分为控制和数据两个平面)和专用NP(以SiByte的Mercurian为代表,基于MIPS CPU设计)两类。
联想认为通用芯片更适合开发网络安全产品。张晋阐述了四点理由,他说:“首先,通用NP在保证三层快速转发的同时,要求对报文进行更深层次的分析与控制,这与对防火墙的要求相符。其次,黑客攻击技术更新速度极快,通用NP的良好的可编程性可以使开发厂商迅速升级其系统,使防火墙一直保持良好的抗攻击能力。第三,通用NP采用开放式的框架结构,一些芯片厂商提供了很多协处理器(如内容匹配器等),通过这些协处理器与通用NP的配合使用,可使防火墙具有更好的性能和更丰富的功能。第四,由于通用NP的提供者都为大规模企业,其产品的品质可得到保证,这使防火墙设备开发商可以专注于安全功能的开发。”
而中科网威则偏向使用专用NP芯片,其理由同样充分。刘兵说:“通用NP分为控制和数据两个平面,如Intel 的IXP1200,控制平面是一个ARM CORE,负责维护系统信息;处理平面由多个微引擎和其他专用硬件组成,负责利用控制平面下发的微代码和命令,直接处理网络数据。因此,通用NP对数据包进行简单过滤时性能较好,但是由于体系结构限制,尤其是微代码开发相对复杂,导致灵活性较差,难以满足复杂多变的应用需求,一般适合3层以下的网络数据的处理。而专用NP,如SiByte的SB1250,一方面保持了灵活性,另一方面通过SOC(system on chip)的方式消除了传统CPU、总线、设备之间带宽的瓶颈,因此,灵活性强、易于开发、升级和维护,适于构建速度可与专用ASIC相媲美的完全可编程的网络处理平台。从这个角度来看,专用NP更值得考虑。”
双方均表示,在选择在哪类NP平台上开发防火墙时均进行了大量的调研,自己的选择是准确的。
两种发展思路代表了不同厂商的选型方向,目前究竟谁能占绝对优势,尚无法分辨。但从防火墙应用而言,可以肯定,谁能将功能与性能实现了完美的和谐统一,谁必将在NP防火墙大战中取胜。
※ NP的欠缺
性能的提高只是防火墙的一方面,安全产品软件检测技术的改进才是最重要的。NP虽然弥补了IA和ASIC防火墙在性能和功能上的不足,但就像任何事物一样,有得必有失,NP依然不完美,同样有缺陷存在。
东软的曹斌认为,网络安全产品的特征是通过复杂的运算对网络传输的数据进行分析和控制,最关键的是软件,而如果只强调转发性能就忽略了安全产品的本质。对于防火墙这类功能较为复杂的系统,单纯的硬件平台的变化对整个市场不会产生本质性的影响。相反,Check Point公司提出的“状态监测”技术以及东软提出的“流过滤”技术对防火墙的影响要大得多。
他说:“NP技术用于防火墙产品面对的主要难点是主处理器计算能力的缺乏,这个会形成新的系统瓶颈,而为了达到性能指标,系统的功能不得不简化,无法做复杂的安全性分析。另一个方面,使用NP需要专门设计整个硬件系统,软件系统也需要做很大的调整,因此其稳定性会在较长的时间里会令人头疼,而达到稳定的批量生产就需要更长的时间,软件更新速度也会比较慢。”
Intel的杜江凌不否认,NP的缺陷在于很难将数据包进行细粒度分类,在需要分类时,往往计算量巨大,仅靠软件实现将影响系统性能,一般采取的做法是采用其他的协处理器做包分类,它与NP配合就实现了完整的防火墙。
联想的张晋建议,在开发NP时,为了防止NP或可能支持的软件包中内嵌有不可未知的后门,防火墙开发厂商一定要具有芯片厂家提供的软件包的全部源码。总的来说,用NP技术开发的防火墙会更快更强更稳定,但产品直接成本也会增加,因此只能更多应用于高端防火墙上。
无论如何,NP防火墙的出现是在现有安全技术水平上前进了一大步。只是目前防火墙需求最旺盛,我们相信随着NP技术应用的成熟,它在IDS、VPN等其他相关安全产品上也一定会得到广泛应用。预计在不久之后,我们将能看见基于NP技术的其他安全产品。
--背景资料--
※ 何谓NP?
网络处理器(Network Processor)顾名思义即专为网络数据处理而设计的芯片或芯片组,能够直接完成网络数据处理的一般性任务,如TCP/IP数据的校验、计算、包分类、路由查找等。同时,其硬件体系结构的设计弥补了传统IA体系的不足,采用高速接口技术和总线规范,具有较高的I/O能力。因此,基于NP的网络设备的包处理能力得到了很大提升,很多需要高性能的领域如千兆交换机、防火墙、路由器的设计都可以用它实现。
NP具有如下特点:
1. 完全的可编程能力,可以支持各种网络互连应用;
2. 简单的编程模型,加快产品进入市场的时间;
3. 系统灵活性,延长产品的生命周期;
4. 强大的处理能力,提供高性能和良好的可扩展性;
5. 功能集成度高,以降低整个系统的成本;
6. 开放的编程接口,获得更高的可用性;
7. 开发环境的第三方支持,推动产品不断更新换代。
以“全面高效、可靠易用的网络综合安全管理平台”为设计理念的NetEye入侵监测系统,其最新的NetEye IDS 2.1.1升级包,已经正式在网站(NetEye安全网站)为用户提供在线下载。
※ NetEye IDS特点
NetEye IDS系统将攻击行为看作是一个复杂的过程而不只是一个简单的操作,不仅分析网络中的攻击事件,并且为用户网络的各类网络行为提供全面审计。利用全面审计分析既保证可发现各种攻击事件、行为,又能够重现各个攻击过程。因此相对同类产品来说,NetEye IDS系统保证了既可发现已知攻击,又可检测未知攻击;既可发现外部黑客的攻击行为,又可检测内部的违规操作。
※ NetEye IDS 2.1.1升级包
一、本升级包适用于NetEye IDS 2.1.1的升级。联动支持NetEye FW 3.2。
二、功能完善:
1、针对联动功能修改了联动的API库。
2、规则库由1586增加到1681条。
三、升级步骤:NetEye IDS 管理器在主控状态下使用菜单工具-规则库升级。
欢迎NetEye IDS用户登录NetEye安全网站,下载(Ver 2.1.1)系统升级包进行系统升级。 敬请用户特别注意请详细阅读其中的安装使用说明,以保证正确的进行系统升级。
网络的复杂性和行业的特殊性,带来了多样化的网络安全需求。东软作为行业方面的资深者,在社保行业网络安全应用方面积累了丰富的经验。
※ 社保系统的安全需求更高
社保系统是给老百姓服务的,服务对象的数量特别大,参加单位很多,这些单位和人都需要参与到这个涉及个人和资金交易的复杂系统中来。整个系统将来还可能成为电子政务的基础,大量的数据交换和共享会给网络安全提出很多要求,这样的要求带来了新的问题。
1.网络互联的规模很大。原来只有自己的行业和企业内部网,现在大家全连到一起,如何让这些点能够安全 互联就成为一个问题。除了成本问题,更关键的是,网络传输的数据都是隐私的或交易的数据,需要保护 数据的安全。
2.系统中角色很多。老百姓都在系统中有各自的身份标识,医院也要可靠地标识自己,还有医保中心以及其 他管理机构、银行等。角色多意味着从安全角度看,进行识别以及权限控制的难度增大了。当出现问题时 ,追查起来也很困难。而且,黑客最喜欢复杂的系统,系统越复杂,网络安全漏洞就可能越多。
3.数据集中后,系统一旦出现问题,影响和损失非常大。所以,数据集中点的安全防御就变得特别关键。
一旦实施了大集中,大家都要直接访问集中的数据库,这对网络、操作系统、数据库都是很大的压力。一般大的社保系统用Oracle数据库的比较多,由于并发事务数量特别多,给Oracle数据库提出较高要求。所谓并发事务数量,就是同时进行数据库操作的连接数量。一般为几百或上千个,峰值可超过一万个。据悉,Oracle公司还曾经派专人来解决这个问题,他们说,从来没有见过这么大的应用规模。因为美国没有这么多人,而中国随便一个城市社保系统,动辄就是上百万的用户。所以,几乎所有“为人服务”的IT系统到了中国,都会遇到这类挑战。我们最近建立的解决方案验证中心,就是为了解决这类问题而设立的。
除此以外,所有系统对安全和性能的要求都很高,这对现有的安全系统本身也是一个挑战。比如说VPN系统,如果每个药房都随时连到医保中心进行交易,那么,同时接入的通道数量会非常多。而且,这种局面可能很快就会出现。要维持这些服务,系统的容量要很大,并且可靠性也要很高。
※ 社保系统需要VPN应用
VPN是社保系统一定要用的,因为很多机构都要连接进来,大家不可能都拉专线,而且数据又要保密,不能直接在公网上传输。
在传输方面,VPN是主要的解决方案。这么大规模的网络,要通过加密通道连接起来,管理代价非常高。
本地数据的安全更多依赖应用系统来解决。本地数据要防止篡改、抵赖,所以在业务系统中要有数据完整性校验的机制,这种机制得跟身份鉴别系统相结合。VPN的规模大了以后,管理和维护代价很高,或者几乎就不能维护。当一个节点,比如一个医院想跟医保中心连接时,需要一条加密的通道用于传输数据,数据在这之间传输的时候都是加密的,建立一条通道需要一些安全上的参数,比如密钥、相互的身份信息、网络配置信息等,这些都需要管理员去配置,但是一般的医院、药店不会有懂这些知识的管理员。所以,今年我们推出了一个叫“灵巧网关”的产品。
灵巧网关就是将需要管理员配置的东西定制封装起来,医院拿去以后,即插即用, 无需用户进行任何设置。灵巧网关是东软VPN解决方案的一部分,它的作用是方便地建立与集中系统的互联,把维护和管理的费用降到很低。而且,灵巧网关带有广域网接口,可以代替边界路由器,自动维护用户端的网络,性价比很高。灵巧网关里面使用的是国家专用的密码算法,保证了安全性。更方便的是,这是一种星形连接的结构,在这个系统里,连进来的网络被缩成了一个点。它屏蔽了接入单位与总部之间的网络相关性,所以总部可以支持相当多数量的网络接入,而在拓扑结构上仍能保持简单形态,使总部的维护变得非常容易。这种方式也非常适合企业与分支机构互联的模式。
※ 社保的安全要求可能超过电信
总结一下社保行业网络安全的特殊性可以发现,社保系统有以下的特性:
● 规模大——具有中国特色;
● 关键节点风险高——这是普遍存在的问题;
● 大集中——有点中国特色。
社保涉及系统多,信息既要共享又要交换,数据处理过程中多个节点需要保持同步,包括:卡、中心端、医院端、药店端、银行端等;其次,涉及面广,包含多个部门;再者,涉及深度大,从国家、省、市、县、街道乃至到社区,还涉及到系统的各个层次——系统级、应用级、内部、外部等;此外,社保乃至电子政务涉及到的都是敏感、关键的信息,没有信息化又办不了业务,既然信息化,安全产品才会有市场。
题注:今年NetEye团队又增添了许多新的成员,他们在逐步融入这个大家庭时,深为NetEye团队的精神、状态所鼓舞,欣然语于编者,更有悦然而书者。编者于其言词之间,更深感NetEye无论在技术、发展、协作都表现出卓然的优越性。这样优秀的一个团队,谁人能不为其折服呢?今录其文于此,以便读者自己体味。
如果说两个月前我还未揭开东软的那层神秘的面纱,还未真正了解她,那么现在我要说:我已经深深的爱上了她。是一见钟情;是两情相悦,她的魅力让我无法抵挡,无路可逃。
站在美丽的同心湖畔,望着那粼粼的波光与欢快的鱼儿,我对自己说:今天我以东软为荣,相信东软的明天会以我为荣!
偶然听到同事们戏言--“部门是我家,我们都爱她”,虽然是句玩笑话,却可以体会出员工们对这个集体的那份真挚热爱与款款深情。这个“大家庭”的每一个成员都是那样的坦率、真诚、兢兢业业,我看到了,也亲身体验到了。新员工勤奋学习,虚心请教;老员工悉心指导,倾囊相授;开发人员全身心忘我的投入;测试人员不放过每一个错误与漏洞;销售人员奔波劳碌,无怨无悔;技术支持永远把客户摆在第一位,随叫随到。是他们,就是他们,用自己的聪明才智+勤奋创新+良好的团队合作精神,让我们的产品能够在市场上所向披靡、独领风骚,也让我这个新员工为之动容。置身于这样的团队之中,有这些可爱更可敬的同事,我怎能不骄傲和自豪、怎能不引以为荣、又怎能不更快的融入其中呢?
我辈岂是蓬篙人!年轻人蓬勃的朝气与昂扬的斗志是整个团队前进的源泉与动力,默契的团队合作是最终达到目标的必要条件,回首我们走过的历程,每一步都是那么坚定、塌实,我们完全有理由相信,我们的明天会更加灿烂、辉煌,让我们携手并进,开创属于我们的未来!
读此文后,编者亦欣然为NetEye团队而悦,有这样优秀的员工,必然有这样优秀的团队;有这样优秀的团队,必然有这样优秀的员工。优秀必然是发展的动力,是希望的源泉!
NetEye安全月刊是NetEye安全网站推出的网络安全刊物,希望大家通过这个平台交流NetEye 的使用经验,或者对NetEye系列产品的意见或者不解的问题,以及有关网络安全问题的探讨,我们的资深安全顾问将竭诚为您提供咨询服务。欢迎广大客户来信发表高论。来信请寄NetEye@neusoft.com.
如果您有对NetEye安全月刊的改进意见;以及订阅、退订本刊;企盼来信给以指正、探讨。另如果您是NetEye安全网站的注册用户,忘记登录密码请发信给我们。
欲希望了解更多的网络安全知识,请登录我们的网站http://neteye.neusoft.com