【.com 独家特稿】早先没做媒体的时候,给一个公司兼职做运维。公司在内部放了几台IBM做测试网站服务器,IDC那边托管了十几台做主站。两边的站点都向外部开放,一主一分。
在公司内部部署对外网站服务器之后,安全和性能问题就不得不考虑了。以前买服务器、交换机之类的时候,IBM、Cisco,能上贵的绝对不买便宜的。这个领导也认。可是说到买安全网关的时候,非技术出身的领导答应的就不那么痛快了。
得,那就凑合着用吧。开始两天还好。三天后,用户有意见了。说你们分站怎么那么卡啊,访问速度太慢了。公司内部用的是10 M专线独享,二十几个人用,按理说不算慢。可这网络都是共用的,一旦有几个人开着BT下载,外面的用户访问咱内部站点就相当费劲了。
领导开始找我了。小王,你看这个怎么解决一下?答:安全网关。
那几天大老板正在紧缩开支,不过他一咬牙还是批了。
第二天山石网科的工程师就抱着盒子过来给我们装上了。在熟悉的可视化图形界面下,三下五除二配置完毕。不像有的路由器和交换机,除了命令行还是命令行。经过一些BT限制和视频网站屏蔽,网络性能比以前提高多了。
说到可视化操作,很多厂商的产品都有可视化图形界面,但是让当前网络中所跑的“应用”可视就不容易了。
举个例子,通过80端口的数据一般我们都当它是HTTP请求,但用户是在看土豆网视频还是在用网际快车下载,大家就不一定知道了吧。
要治疗一个病人的症状,必须望闻问切。知道病人所处的实际病患情况,才可以对症下药。如果医生都不能发现病人的发病原因、病患何处,他开出的药或所作的处理能对病人有帮助吗?
只有基于对应用的可视,才能精确地区分各种应用,全方位地进行管理和控制,从而有效地防范网络外部和内部威胁。这也相当于现代医学中,将X光透视引入医疗诊断的意义一样。咱不为别的,就为提高诊断的准确率。
看看山石网科这个“医生”能做到什么程度。
“Hillstone不仅通过协议端口识别应用,而且能够识别具体的应用和行为,并针对行为进行更细粒度的应用可视化和策略控制,对嵌入应用的威胁进行实时安全防护。举个例子,部署Hillstone 山石网科新一代多核安全网关的网络,可以精确地识别通过80端口的各种流量,通过对这些流量的特征的分析,区分出这些流量基于的各种应用,以及这些流量是通过哪个人的行为所产生的,都能详细地加以识别和纪录成日志,从而有效地防范风险和提高带宽利用率。”
嗯,如上所述,网络中正在跑着的快车、迅雷、开心网之类的应用,是逃不过这个设备的监督了。
但是我们又要提出疑问了,一个好的安全网关要怎样才能达到上述要求?做安全比较牛的工程师都知道,要实现“应用”可视化,网络中的数据包分析很占用资源,可Hillstone的盒子吞吐量能达到10G、20G?
在最近的一次媒体交流会上,笔者有幸让Hillstone(山石网科)的赵彦利先生就此问题亲口作了回答。总结一下呢,重点有两个。
一、多核Plus架构
二、实时并行操作系统
一硬一软相得益彰。此乃一个安全网关牛X的奥秘所在。
先说说“多核架构”。Hillstone山石网科采用并行多核Plus G2(Multi-Core Plus)架构(多核处理器+ASIC+高速交换总线)设计的新一代多核安全网关,提供可扩展的电信级硬件平台,在产品功能上除了防火墙、科学、防病毒、入侵检测等UTM具备的功能外,还将带宽管理、上网行为管理、攻击防护等安全功能集成到统一的平台,从底层进行软硬件和并行操作系统的优化。
芯片如马,当然跑的越快越好,架构当然也要科学先进,这是第一个奥秘。
再来看看“实时并行操作系统”。
这个名字有点拗口,连笔者当时也听的有些奇怪,Hillstone山石网科用的是他们自行开发的一款名叫StoneOS 的操作系统。采用创新的并行流检测引擎,并行流检测引擎通过交叉检测技术实现网络可视化将IP、端口识别为用户,应用和行为通过并行流检测引擎完成所有安全威胁检测,对所有安全威胁的检测使用一个策略引擎,数据流被分配到并行多核架构上实现安全威胁全并行处理。
好马配好鞍,有了一个充分发挥硬件潜力的操作系统,性能变高将是水到渠成,这是第二个奥秘。
总结以上两点,我们可以知道。有了搭载高性能多核芯片的设备,再结合可以并行流检测的引擎。什么包分析处理、应用可视化、上网行为管理、流量控制等等自然不是什么麻烦事了。不过要在高吞吐量环境下把这个做好,可不是个容易的事情。笔者建议,大家在给自己单位买设备的时候,一定得把这点考虑进去。
【.COM 独家特稿,转载请注明出处及作者!】
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/149737.html<
