您的位置: DOIT首页 » 资讯中心 » 正文

100G之安全篇:高性能的统一安全平台

 11年09月02日 09:22【原创】作者:孙松儿  责任编辑:尤佳

导读:在IT技术和互联网快速发展的过程中,信息安全防护起着极其重要的作用,正是在“道高一尺、魔高一丈”的博弈过程中,信息安全技术才得以在横向和纵向两个方面不断发展。

关键词: 安全

(二) 100G安全产品实现的关键点

1) 分布式设计模型下的关键模块构成

对于超高性能的防火墙等安全产品而言,单纯的集中处理模式已经难以满足性能设计的要求,分布式架构成为大势所趋,尤其是对于需要进行报文深度检测的产品如IPS入侵防御设备等。基于这种分布式的架构,独立的双主控单元、高性能的业务处理引擎单元、多种规格的GE/10GE接口模块,高性能的分流模块是其关键的组成部分。

在双主控实现方面,现有的高端安全产品(现阶段主要是防火墙产品)对于可靠性的要求是保持转发层面的不中断,要求实现两台设备之间的会话信息和配置信息的同步,设备的任何故障包括主控模块的处理故障都将触发这种双机的切换。但是在100G防火墙产品级别,主控模块的价值体现在控制协议的学习,路由表项的学习下发,各业务模块之间的流量均衡调度和设备的统一管理等,其本身的功能也有较高的本地可靠性保障的需求,因此本机双主控模块将进一步增强系统内部的故障备份,配合已有的双机热备技术,可以提升系统的可靠性水平。

同时,高效的I/O接口模块或者是高性能的分流模块,也是其区别中低端防火墙的重要差别。尤其是在大规模的流量到达设备后,需要通过灵活的分流策略,将报文均衡调度到不同的安全业务模块,才能保证分布式的报文处理效率。为此,这些I/O接口模块或者是专业的分流模块,需要支持针对IP多元组的预配置分流策略,或者是自动的分流分配机制,确保流量分配的均衡性,以及该流量往返路径的一致性。只有这样,每个业务处理引擎单元才能检测到单条流的完整会话过程,从而根据该条流的首个报文建立起正确的会话表项,为后续的转发奠定基础。

最后,对于高端的安全设备而言,安全业务处理引擎的性能和表现,对于整机是否能达到设计的性能和功能目标起着直接的决定作用,无论是防火墙产品还是入侵检测等产品的核心处理环节都需要依赖该业务处理模块。对于防火墙和IPS入侵防御等产品,在进行该业务单元设计时,需要考虑他们的业务处理流程上的差异,合理的选择该业务单元的关键器件,并将不同的业务环节划分到不同的逻辑电路,才能保证设计目标的实现。

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册

Copyright © 2003-2012 DOIT.com.cn, All Rights Reserved

DOIT传媒 版权所有京公网安备: 110105001105
京ICP证030972号电信业务审批 [2009]字第572号
link