深信服下一代防火墙ngaf发布至今获得了广大用户的认可,凭借其应用层识别、控制、防护及强大的处理能力使ngaf在市场上的实际应用情况远远优于utm统一威胁管理类设备。其中,应用层高性能是下一代防火墙从用户的角度考虑真正为用户实现l2-l7层完整安全防护、简化组网、节约投资价值的关键技术特点,从而帮助用户取得“性能”与“安全”的平衡点。
谈及性能,众多的安全设备供应商均会从硬件平台与构架上进行优化。从过去的单核技术,到双核再到多核时代,硬件平台不断升级,安全设备的性能也逐步提升,安全与性能的问题似乎得到了某种意义上的解决。但下一代防火墙做为应用层的安全设备,其性能应该从应用层的处理能力进行评估,而不是单纯靠cpu、内存及硬件平台提升的网络层包转发率可以解决的。深信服下一代防火墙ngaf能够实现应用层的高效处理能力,即使在多种应用层安全防护模块开启的情况下,其处理能力也不会有过多的下降。结合深信服科技多年的软硬件技术的积累,实现深信服下一代防火墙ngaf应用层高性能主要应用到如下几个关键技术。
多核硬件平台,兼顾网络层、应用层的处理能力
与传统的网络层安全设备不同,做为应用层的安全防护设备深信服下一代防火墙的硬件平台选型需要兼顾网络层、应用层的处理能力。之所以市场面上大多数utm在开启多种应用层模块时性能严重下降的问题,其关键一点是由于厂商在给产品选型的时候一味的追求网络层的小包转发率,完全忽略了应用层协议的处理效率,使得很多utm在实际应用中仅仅做为传统传统防火墙在使用,违背了其统一威胁管理的初衷。而真正要实现应用层高性能,下一代防火墙的选型需要考虑如下几个方面:
1、计算能力强。cpu的计算能力和总线带宽的大小直接决定着安全设备小包处理能力。深信服下一代防火墙多核硬件平台可实现30mpps的处理能力,相当于20g的小包流量。
2、指令效率高。深信服多核硬件平台其指令集复杂,灵活性好,适合功能复杂的应用层报文处理,尤其适合进行深度数据还原、协议解析、字符串匹配等复杂功能。
3、扩展性强。扩展性是平衡应用层模块融合,协同处理的很重要的一个标准。
综上所述,下一代防火墙硬件平台选型要综合考虑多方面的因素,才能满足多种应用层检测技术融合的要求,最终应用层高性能。
无锁并行处理技术,真正实现多核并行处理
市面上很多utm类安全设备虽然采用了多核处理的硬件平台,但其指令设计并没有随着多核的产生而更新,仍然利用其老的处理技术—串行处理技术。这种使用与单核的处理技术,在多核硬件平台下使用时会出现系统不稳定的问题。当数据流量不断增大时,很容易造成网络时延增大、拥堵、丢包等现象。而深信服下一代防火墙ngaf的设计不仅仅采用了多核的硬件架构,在计算指令设计上采用了先进的无锁并行处理技术,能够实现多流水线同时处理,成倍提升系统吞吐量,在多核系统下性能表现十分优异,是真正的多核并行处理的架构。
单次解析架构,实现报文一次解析一次匹配
区别于utm的构架,深信服下一代防火墙采用单次解析构架实现报文的一次解析一次匹配,避免了utm由于多模块叠加对报文进行多次拆包多次解析的问题,有效的提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络、应用层平面分离,通过在将数据通过“0”拷贝技术提取到应用层平面上实现威胁特征的统一解析、统一检测,减少冗余的数据包封装,从而实现高性能的处理。
跳跃式扫描技术,提高扫描精度,减少无效扫描
深信服下一代防火墙ngaf创新之处在于不仅仅从软硬件构架的层面解决utm类设备的性能问题,并且从检测扫描算法层面减少无效扫描、提高扫描效率、实现应用层高性能。而实现这技术的关键在于下一代防火墙的基本属性——应用识别。深信服下一代防火墙利用其多年积累的应用识别技术,在内核驱动层面通过私有协议将所有经过ngaf的数据包都打上应用的标签。在数据包提取到内容检测平面进行检测的时候,会找到对应的应用威胁特征,使用跳跃式扫描技术跳过无关的应用威胁检测特征,从而减少无效扫描,提升扫描效率。比如:流量被识别为http流量,那么ftp sever-u的相关漏洞攻击特征便不会对系统造成威胁,便可以暂时跳过检测进行转发,提升转发的效率。
深信服下一代防火墙ngaf凭借其十多年的安全技术积累,兼顾软硬件的架构设计、优化的威胁检测算法、创新的威胁扫描技术,彻底解决传统多功能安全设备在应用层处理能力不足的问题,为用户提供“安全”与“性能”兼顾的下一代应用安全凯发登录的解决方案。