|
|||
 |
|||
|
||||||||||
|
刊 首 语 |
|||
|
东软安全成长过程本身就是东软安全人感悟成长的过程。是一个对如何看待安全“领跑企业”从肤浅认识到深刻认识的过程。我们不再把“领跑企业”简单、浮浅地归结为规模大、人员多、广告投放多的庞然大物。而是认识到领跑者的真谛是成熟与强劲、是品质与诚信。就像开汽车一样,领跑者应该懂得减速和刹车比一直踩油门更重要、更能为用户提供安全服务价值。东软安全一直没有放弃在技术上的创新和研究,这也是东软NetEye品牌最具有优势的核心竞争要素。 在10月刊中,您可以阅读到东软NetEye攻防实验室发布的最新安全公告,同时对业内最近比较关注的东软Netflow技术和千兆防火墙FPGA(Field-Programmable Gate Array,现场可编程门阵列)技术进行了详细的阐述。就以上两篇技术文章,我们也欢迎读者给我们写信提出您的观点,帮助我们一起成长。 |
|||
 千兆高端防火墙的技术发展趋势 |
|
文:徐松泉 防火墙的未来是向着高性能,强大的QoS保证能力和深度防御三个方向发展。政府,金融电力等关键行业的数据中心、大型电信运营商的网络流量巨大,业务复杂。多业务下的流量剧增不仅对带宽提出了很高的要求,而且对防火墙多业务支持的功能和性能方面也提出了很高的要求。 因此,典型的千兆高端防火墙的技术特征是具有4G到10G线速处理和能力;在承受海量业务流突发的情况下保证流媒体,视频,语音等时延敏感应用的稳定运行的能力。高端用户往往采用高性能服务器对外提供特定的网络服务,例如WWW或电子邮件服务。由于访问者、时间、地点复杂,并且一些网站需要提供商业用途,所以对安全性的要求也很高,这就需要防火墙对数据包进行深层次的检查,进行恶意代码、SQL注入等多种攻击行为的检测,同时有效防范DDOS攻击,保障诸如网上银行等关键应用的稳定运行,防范各类攻击入侵。 FPGA(Field-Programmable Gate Array,现场可编程门阵列)在现代数字电路设计中发挥着越来越重要的作用。从设计简单的接口电路到设计复杂的状态机,甚至设计“System On Chip”(片上系统),FPGA所扮演的角色已经不容忽视。因为FPGA硬件可重新配置且可用性、精密度不断提高,可以轻易配合系统规格随时改变的要求,为用户带来充足的灵活性。 FPGA体系结构能够保证4- 10G路由和安全访问控制的线速处理能力,包括各类多媒体业务、实时或非实时业务、连接或非连接业务等。同时,以FPGA作为处理和交换架构的基础,还可以通过FPGA良好的可编程性对数据包和协议进行深层次的检查和过滤,而且投资规模小,开发周期短,是一种非常理想的高性能防火墙硬件平台架构。 与FPGA技术相比,ASIC技术将指令或计算逻辑固化到了硬件中,缺乏灵活性,不便于修改和升级;其次,深层次包分析(L4+)增加ASIC的复杂度,不能满足防火墙产品对网络协议进行二到七层处理的需求;第三、ASIC的开发周期长,设计费用昂贵且风险较大。建立一个基本的ASIC研发环境就需要投资上千万元, 从设计、验证、流片、到最终量产,投资额往往要达到数千万元。这样无疑会造成投资回报期过长,大大增加了产品和项目的资金风险。最后,采用ASIC技术的防火墙最大的问题在于缺乏可编程性,对新功能的实施周期长,很不灵活,使得它难以跟上当今防火墙功能的快速发展。在日益猖獗的黑客攻击面前,特别是针对在应用层攻击(如Slammer、冲击波病毒)等面前显得无能为力。。 采用FPGA技术可以节省ASIC设计所需要的设施和平台的巨大投入。对于单台防火墙设备,FPGA芯片的成本占总成本的比重很低,而且采用FPGA架构可以通过配置和添加基本软件来实现定制,从而不断提升产品的性价比。 FPGA的技术优势主要体现在:
交换结构是基于FPGA防火墙产品的关键部分,是解决高速报文转发及处理的主要方式,它的性能直接决定了防火墙性能。交换架构采用共享内存机制,具有很高的吞吐率,而且实现简单,架构可扩展性强,可以很容易地进行视频处理、VPN等功能扩展。 在防火墙产品的开发中,为了在类似的传输流中区分不同的优先级,需要三层甚至四到七层中进行更深层的分组处理。而FPGA仅仅需要一块芯片就可以更深入地处理这些分组,不仅降低了软件的复杂度,而且降低了功耗。这是因为FPGA中的硬件并行处理完全可以同RISC的处理方法相媲美。 在深度防御方面,因为单个可疑特征不一定就是攻击行为,因此防火墙必须抓到大量的可疑特征,以便判断是否为攻击。但在这个过程中抓取可疑特征的速度一定要快,否则就会导致漏报。利用FPGA的高速度帮助进行基层筛选,然后通过高速总线交由具备多核处理能力的CPU确认,就可以最大限度地确保防火墙架构的优化。对于防御DDoS攻击,FPGA具备很强的性能优势。 FPGA架构的采用对于保证高端防火墙在复杂的网络环境中的性能非常关键。以虚拟防火墙为例,这一功能是高端防火墙产品的最重要特性之一。如果应用中用户将一台物理防火墙划分成256个虚拟防火墙(对于IDC的应用环境可能会更多),以一台虚拟防火墙配置50条规则计算,一台防火墙配置的规则数会超过1万,如果要用串行处理机制,对性能会形成很大的制约,而采用FPAG架构的并行处理就可以轻易解决这一性能瓶颈。通过将安全规则转化成逻辑,FPGA防火墙在实现过程中能够同时匹配上万条规则。 从目前的情况来看,主流千兆防火墙产品还有很多采用的是ASIC技术,然而,全定制数字ASIC的前景已经开始出现阴影。现场可编程门阵列(FPGA)正在接管许多一度被认为是全定制芯片专属领域的应用。自从FPGA在约二十年前出现以来,它已经通过将门数提高了三个数量级而侵占了ASIC的主导地位。FPGA在网络通讯领域(如光网络,光纤存储等等)和网络安全(防火墙,IPS,UTM)领域逐步得到了广泛应用,思科,JUNIPER,3COM等国际厂商己经在相关领域获得了众多的专利授权并在产品中广泛采用。作为国内领先的安全厂商,东软一直不懈努力,通过持续的技术创新为用户不断提供更高性价比的网络安全产品。东软在基于FPGA的防火墙技术领域进行了多年的前瞻性技术研究和储备,并承担此课题的国家级科研和产业化项目,突破了一系列关键技术难题,取得了丰硕的技术成果。随着市场的发展和技术的进步,具有更好可编程性和更高性能的FPGA技术必将是有实力网络安全厂商的首选,而用户也会有更加稳定、成熟、高性能的千兆防火墙产品可以选择。 |
|
流量分析新贵-----NetFlow |
|
东软NetFlow技术连载栏目 流量分析新贵-----NetFlow 文:姚伟栋 IP网络承载能力与所提供的应用业务规模向来都是相辅相成的,一方面IP网络的建设将给新应用技术的推广提供有效的实施平台,另一方面应用业务也会随着自身系统发展需要而对现有IP网络提出更高的资源需求,从而推动IP网络基础建设进入新的建设周期。在这种类似于“鸡生蛋、蛋生鸡”的逻辑悖论中,另外一个问题却是毋庸置疑的凸现了出来,那就是如何把应用业务与其所占用的IP资源(如带宽)清晰、准确的对应起来,如何保证有限的IP资源能够被合理应用的到主要利润业务中。 以NetFlow为代表的Flow技术正是为响应这种挑战而出现的新型解决途径。
|
|
10月安全公告汇编 |
||||||||||||||||||||||||||||||||||||
发布日期: 2006年10月 东软NetEye攻防小组 摘要 2006年10月,微软发布了10个安全公告,这些公告描述并修复了26个安全漏洞,其中15个漏洞属于“紧急”风险级别。攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。 东软NetEye攻防小组对微软安全公告以及其他重要的安全公告进行了汇编。建议用户检查自己的系统是否受这些漏洞的影响,并安装补丁予以解决。 紧急 (10)
|
|
曹斌博士赛迪网独家专访
|
|||
|
随着信息化的不断深入,国内的网络安全行业也经历了从起步、发展、到逐渐走向成熟的阶段。由于安全需求本身是快速变化的,为了进一步深入了解到目前国内主流安全厂商的发展动态,了解未来网络安全技术发展的走向,近日,现任中国第一家上市软件公司东软软件股份网络安全事业部总经理曹斌博士接受了赛迪网的独家专访,访谈中曹斌博士从不同角度阐述了对未来网络安全技术的发展趋势。 安全技术新宠当家 在信息化的发展进程中,信息技术和相关产品日新月异,像NP、Netflow、FPGA这些技术已经逐渐成为安全市场的中流砥柱。NP是网络处理器的简称,最早来自于通信设备厂家,目前国际上一些安全厂商及国内一些主流安全厂商均采用NP作为网关类产品的技术架构。Netflow技术则应用在东软Ntars系统上,主要功能是数据采集与分析。而FPGA技术则可以算作新技术的核心代表,FPGA是现场可编程门阵列的简称,是一种芯片技术,该技术出现较早,相当于ASIC的前身,目前这类芯片已经发展到了可以作为技术单独采用的阶段。 FPGA是基于IO总线并行处理连接的架构,其内部有很多独立的处理单元,这些处理单元都有相当强的处理能力,例如:在概念中由200兆赫兹组成的FPGA处理能力并非强大,但是如果用十个并行处理单元做同样的工作,那么简单的叠加后就会使处理能力提升十倍。如果组织上千个器件同时运行,处理能力便会远远超过现有产品的指标,从而有效实现产品速度性能的大幅提升。另一方面,我们知道网络处理器能够在通讯领域里非常快速的复制网络协议,一些高端产品可以在小包上有非常高的处理能力,但很难提供在高带宽情况下的运算能力。那么想要集成更多的运算处理功能、进行深入的分析和拦截采用FPGA的模式无疑是最佳的选择,第一它的运算单元是可以完全控制和增加的;第二它的接口非常丰富,这使得组织一个在通讯和计算能力均衡的计算架构会变得异常方便。 FPGA技术是面向设计者的一种技术,因此具有随需应变的能力,同时可快速更新并简单易行。但对于FPGA技术最开始的研究则需要经历漫长的过程,从开发队伍的人力资源建设、技术学习、经验总结等等都是比较艰辛的。另外FPGA开发难度高,尤其在中国的FPGA领域里面近几年才开始形成一些硬件设计技术人才的规模,但是当迈过这道门槛后未来的路则会相对平坦了许多。东软在安全产品采用到FPGA架构里也做了大量的准备工作和经验积累,通过实际的验证确实很好的避免了分段式结构产生的延迟性。另外东软所开发的FPGA的代码不仅安全性极高,而且保存在FLash里可以免受系统断电造成的影响,应此集众多优势于一身的FPGA技术必将在未来的安全技术发展中扮演当家花旦的角色。 |
|||
|
渠道体系内部售前技术培训 |
|||
|
1、时间安排:
2、培训地点:各办事处会议室
3、培训老师:网络安全售前工程师
4、培训内容:
5、培训人数:各地市10-20人 6、活动目的:
7、活动主办:东软网络安全北京营销中心、FW4010全国总代北京力天公司
|
|||
|
东软解决方案论坛2006隆重召开Netflow 技术成为用户大会关注焦点 |
|||
2006年9月22日,东软解决方案论坛2006在东软总部辽宁沈阳隆重召开,作为东软核心业务线之一的网络安全事业部也邀请了众多客户参加本届论坛。2006年的东软解决方案论坛围绕“解决方案的融合之道”这一主题,与政府领导、行业专家、国际知名IT企业高层以及用户代表一同探讨中国企业和政府的信息化之路,一同纪念东软走过的十五年风雨历程。 东软网络安全事业部总经理曹斌博士在接受采访时表示,厂商与客户和应用的完美结合来自于几个方面,这其中包括公司内部在应用软件的安全评估,与东软各个事业部的行业技术方案的融合,同时与客户不断探讨,不断研究最后为客户创造出的整体安全解决方案价值,这个过程也时一种融合的体现。东软今天提出的“解决方案的融合之道”这个概念中包含了技术、服务、品牌等等的融合。东软安全技术和产品的的成熟不仅是因为东软在过去的10年中,销售收入和资产的增长,员工人数的增长……而比这些更重要,但无法用数字来描述的是东软安全拥有一个属于自己的技术、业务与管理体系,拥有众多与东软共成长的行业客户,拥有一个充满激情和成熟的团队。同时,更加拥有了一个正在不断被认知的“东软NetEye”品牌。在采访中我们了解到很多客户正是因为东软的优秀品牌,强大的技术和后续保障实力及东软人务实的精神而最终选择了东软的安全产品,他们在东软不断发展,不断创新中得到信心,并对东软给予信任。 其他相关动态 |
|||
十分感谢您阅读NetEye安全月刊,我们真诚的希望大家通过这个平台交流NetEye使用经验,提出您的宝贵意见,东软资深安全顾问将竭诚为您提供全面服务。欢迎您发表高论:neteye@neusoft.com |
|||
|
|
