隨著網(wǎng)絡(luò)環(huán)境復(fù)雜程度的不斷升級(jí)和攻擊手段的花樣百出，網(wǎng)絡(luò)通信不再簡(jiǎn)單地依托存儲(chǔ)轉(zhuǎn)發(fā)應(yīng)用，而已經(jīng)擴(kuò)展到如即時(shí)通訊(IM)、P2P應(yīng)用、VoIP、流媒體和遠(yuǎn)程電話會(huì)議等實(shí)時(shí)協(xié)作工具中。此類溝通方式的出現(xiàn)為人們的工作和生活帶來(lái)便捷的同時(shí)，也為潛在的威脅入侵提供了可乘之機(jī)。如今一場(chǎng)精心策劃的惡意攻擊能夠深入到傳統(tǒng)狀態(tài)包檢測(cè)產(chǎn)品中，而為了確保基本網(wǎng)絡(luò)性能，傳統(tǒng)的解決方案只側(cè)重于掃描數(shù)據(jù)包的報(bào)頭，而遺漏了數(shù)據(jù)包內(nèi)隱藏的數(shù)據(jù)威脅。為了將安全防護(hù)進(jìn)行到底，今天的統(tǒng)一威脅管理需要出色的硬件架構(gòu)、實(shí)時(shí)的深度包檢測(cè)(DPI)和足夠強(qiáng)大的防御手段。

　　東軟NISG被稱作集成安全網(wǎng)關(guān)的“3G”時(shí)代來(lái)臨，指的是技術(shù)上的突破嗎?其技術(shù)特點(diǎn)和先進(jìn)性到底在哪里?它為用戶信息安全防護(hù)提供了什么新的思路?又帶來(lái)了哪些實(shí)際應(yīng)用價(jià)值?帶著這些疑問(wèn)，本刊記者采訪了東軟NetEye信息安全產(chǎn)品經(jīng)理徐松泉。

　　徐松泉解釋說(shuō)，“1G”時(shí)代是狀態(tài)包過(guò)濾技術(shù)，東軟在1998年率先推出了狀態(tài)檢測(cè)防火墻;“2G”時(shí)代是指東軟在2002年推出的“內(nèi)核流過(guò)濾”技術(shù)，它為現(xiàn)在的協(xié)議分析、內(nèi)核并行過(guò)濾、蠕蟲(chóng)防護(hù)奠定了技術(shù)基礎(chǔ);2009年底，東軟重磅推出的NISG以全線速、全防護(hù)的表現(xiàn)開(kāi)創(chuàng)安全網(wǎng)關(guān)的“3G”時(shí)代。正如手機(jī)“3G”的主要突破是在上網(wǎng)速度和應(yīng)用多樣性一樣，東軟NISG的突破主要體現(xiàn)在性能和深度防御的全面性上。東軟NISG在開(kāi)啟包括防病毒等所有功能后，深度防御性能仍可達(dá)千兆線速，這是一個(gè)重大技術(shù)突破，這一突破主要得益于東軟NetEye的內(nèi)核級(jí)“流過(guò)濾”技術(shù)，采用多核架構(gòu)并結(jié)合內(nèi)核的并行調(diào)度機(jī)制，使得深度防御性能完全可以滿足高端千兆網(wǎng)絡(luò)的部署環(huán)境，如電信、IDC等。同時(shí)，東軟NISG采用了東軟NEL平臺(tái)，提供細(xì)粒度的協(xié)議解析控制，從而達(dá)到防病毒、URL過(guò)濾、反垃圾郵件等功能的緊密集成。

　　“慎重”選擇基礎(chǔ)硬件平臺(tái)

　　在不明顯降低網(wǎng)絡(luò)吞吐量的前提下，基礎(chǔ)架構(gòu)的性能對(duì)完成實(shí)時(shí)DPI至關(guān)重要，據(jù)徐松泉介紹，正是因?yàn)橹匾瑬|軟NetEye在選擇基礎(chǔ)硬件平臺(tái)時(shí)是慎之又慎。多核架構(gòu)在性能、可擴(kuò)展性和節(jié)能性方面比其它安全平臺(tái)更具優(yōu)勢(shì)，是進(jìn)行實(shí)時(shí)DPI最好的硬件平臺(tái)。多核處理器與并行流過(guò)濾技術(shù)兼容的靈活性、經(jīng)濟(jì)性和能效性構(gòu)成了高性能信息安全防護(hù)的基礎(chǔ)。

　　Nelahem多核技術(shù)源于Intel采用串行總線的NP技術(shù)，適用于大型機(jī)和高端服務(wù)器領(lǐng)域，具有強(qiáng)大計(jì)算能力，是集NP、并行處理和IA架構(gòu)優(yōu)點(diǎn)于一身的高性能、低成本計(jì)算架構(gòu)。

　　與思科的QuantumFlow、RMI的XLR和CAVIUM的OCTEON多核芯片一樣，Nelahem多核架構(gòu)屬于新的多核低功耗架構(gòu)。Nelahem架構(gòu)采用QuickPath的串行總線通信，使用高達(dá)6.4GT/s的鏈路互連，所提供的總帶寬高達(dá)25GB/s，最高支持4顆處理器，單一芯片最高可擁有2、4及8顆核心，支持經(jīng)改良的Hyper-Theading技術(shù)，單顆處理器最高可支持16 Threads。最高端系統(tǒng)可支持4顆CPU，每顆CPU8個(gè)核心，總計(jì)64線程。

　　由于Intel的Nelahem多核架構(gòu)具備高性能、低功耗的特性，面向手機(jī)領(lǐng)域的Nelahem架構(gòu)芯片己用于手機(jī)硬件平臺(tái)，性能功耗比可媲美ARM架構(gòu)。東軟NISG的硬件架構(gòu)在具有出色的性能表現(xiàn)的同時(shí)，也響應(yīng)了今日綠色環(huán)保低碳的技術(shù)趨勢(shì)。

　　出色性能確保安全

　　卓越的硬件架構(gòu)帶來(lái)的出色性能表現(xiàn)主要體現(xiàn)在吞吐量、每秒新建連接數(shù)和最大并發(fā)連接數(shù)三個(gè)重要指標(biāo)上。據(jù)徐松泉介紹，東軟NISG的吞吐量可達(dá)雙向萬(wàn)兆線速，每秒新建連接數(shù)達(dá)50萬(wàn)，遠(yuǎn)遠(yuǎn)高于市面上大多數(shù)的UTM及防火墻產(chǎn)品。新建連接數(shù)代表設(shè)備處理突發(fā)事件的能力，例如在DDoS攻擊、蠕蟲(chóng)爆發(fā)等熱點(diǎn)事件發(fā)生時(shí)，會(huì)出現(xiàn)網(wǎng)絡(luò)流量陡增，用戶數(shù)量激增，單位時(shí)間內(nèi)出現(xiàn)大量正常或不正常連接，這時(shí)就需要既能過(guò)濾非正常連接，同時(shí)又能承受大量的正常請(qǐng)求。換句話說(shuō)，既能夠抵御非法入侵請(qǐng)求，又不會(huì)造成性能瓶頸影響正常業(yè)務(wù)。只有高性能、高穩(wěn)定性并可靈活擴(kuò)展的網(wǎng)關(guān)類安全設(shè)備才能很好地適應(yīng)金融、電信、能源等高端行業(yè)用戶7*24不間斷的業(yè)務(wù)應(yīng)用需求。東軟NISG并發(fā)連接數(shù)可達(dá)到400萬(wàn)，同樣超過(guò)多數(shù)獨(dú)立形態(tài)的安全設(shè)備。并發(fā)連接數(shù)反映了安全設(shè)備在同一時(shí)間內(nèi)能夠承受的連接數(shù)量。目前開(kāi)啟一個(gè)P2P軟件，其并發(fā)的連接數(shù)量就可以達(dá)到十幾個(gè)甚至幾十個(gè)。對(duì)于校園網(wǎng)、電信城域網(wǎng)這些大型網(wǎng)絡(luò)來(lái)說(shuō)，在網(wǎng)絡(luò)出口處的并發(fā)請(qǐng)求可達(dá)到上百萬(wàn)，并且隨著應(yīng)用的增多這個(gè)數(shù)字還在不斷攀升，網(wǎng)關(guān)設(shè)備只有具備足夠的并發(fā)連接處理能力才能充分適應(yīng)和滿足高端行業(yè)用戶網(wǎng)絡(luò)環(huán)境中的真實(shí)需求。

　　Web應(yīng)用深度防護(hù)

　　Web數(shù)據(jù)流是現(xiàn)在威脅傳播的主要載體。據(jù)業(yè)內(nèi)估計(jì)，大約50%以上的電腦曾感染間諜軟件，但不足10%的系統(tǒng)在網(wǎng)絡(luò)周邊部署了惡意軟件防御措施。基于Web的惡意軟件傳播速度非常快，變種能力也很強(qiáng)，其危害性日益嚴(yán)重，因此擁有一個(gè)強(qiáng)健的、能夠保護(hù)網(wǎng)絡(luò)周邊并抵御這些安全威脅侵害的安全平臺(tái)就極為重要。東軟NISG的Web防護(hù)模塊通過(guò)Web流量的深度檢測(cè)實(shí)現(xiàn)了Web應(yīng)用的深度防護(hù)，提供全面的入侵防御保護(hù)。Web防護(hù)模塊能在攻擊到達(dá)Web服務(wù)器之前進(jìn)行阻斷，防止惡意請(qǐng)求或內(nèi)置非法程序請(qǐng)求訪問(wèn)目標(biāo)應(yīng)用，主要依靠五大法寶取勝web安全保衛(wèi)戰(zhàn)，徐松泉解釋說(shuō)。

　　法寶一：站點(diǎn)隱藏。成功的Web攻擊往往由探測(cè)網(wǎng)絡(luò)漏洞開(kāi)始。在網(wǎng)絡(luò)上很容易找到漏洞掃描工具對(duì)網(wǎng)站的應(yīng)用程序、服務(wù)器、URL等進(jìn)行掃描。東軟NISG的Web防護(hù)模塊提供站點(diǎn)隱藏功能，黑客將無(wú)法查看web的源信息，如返回碼、終端服務(wù)器的IP等，并且訪問(wèn)出錯(cuò)信息也將由Web防護(hù)模塊提供，后端服務(wù)器的出錯(cuò)信息不會(huì)直接返回給用戶，有效避免了服務(wù)器敏感信息的泄露，同時(shí)也防止黑客利用出錯(cuò)信息發(fā)動(dòng)攻擊。

　　法寶二：合規(guī)性檢查。東軟NISG的Web防護(hù)模塊能夠解碼進(jìn)入請(qǐng)求是否合法合規(guī)，僅允許正確的格式或RFC遵從的請(qǐng)求通過(guò)，有效阻止惡意請(qǐng)求或Header、URL中腳本非法植入。另外，Web防護(hù)模塊能防御包括如跨站點(diǎn)腳本攻擊、緩沖區(qū)溢出攻擊、惡意瀏覽、SQL注入等一系列已知或未知的攻擊。Web防護(hù)模塊還能進(jìn)行Web地址翻譯、請(qǐng)求限制和URL格式定義等。

　　法寶三：HTTP協(xié)議方法控制。東軟NISG的Web防護(hù)模塊可以限制外部訪問(wèn)Web服務(wù)器所使用的HTTP方法，包括：GET、POST、DELETE、HEAD、CONNECT、TRACE、PUT等。同時(shí)，它可以設(shè)定可信訪問(wèn)客戶端IP(白名單)而跳過(guò)安全策略規(guī)則的檢測(cè);設(shè)定非法訪問(wèn)客戶端(黑名單)直接禁止其任何對(duì)WEB服務(wù)器的訪問(wèn)。此外，用戶還能夠根據(jù)業(yè)務(wù)需求，針對(duì)某些關(guān)鍵字、數(shù)據(jù)段長(zhǎng)度等相關(guān)信息自定義安全過(guò)濾規(guī)則。

　　法寶四：默認(rèn)安全策略。東軟NISG的Web防護(hù)模塊提供默認(rèn)的安全策略對(duì)Web網(wǎng)站或應(yīng)用進(jìn)行嚴(yán)格的保護(hù)。每個(gè)策略分為若干子策略，包括：HTTP協(xié)議合規(guī)性、SQL注入阻斷、跨站點(diǎn)腳本攻擊防護(hù)、DoS攻擊防護(hù)、請(qǐng)求包大小限制等。

　　法寶五：個(gè)性化安全策略。除了默認(rèn)的策略外，用戶還可以創(chuàng)建個(gè)性化的安全策略，如限制HTTP請(qǐng)求Head大小、丟棄超過(guò)規(guī)定大小的請(qǐng)求、避免惡意代碼通過(guò)等。

　　利用先進(jìn)的對(duì)象解析和導(dǎo)向技術(shù)，東軟NISG的Web防護(hù)可以在多個(gè)層次上提供反惡意軟件掃描引擎。通過(guò)對(duì)內(nèi)容應(yīng)用的深入檢查及網(wǎng)絡(luò)層的模式檢測(cè)，實(shí)現(xiàn)進(jìn)站和出站活動(dòng)的雙向檢查，高效防范包括廣告軟件、瀏覽器黑客、釣魚(yú)、網(wǎng)址嫁接攻擊等多種安全威脅，保障網(wǎng)絡(luò)數(shù)據(jù)流的全面安全。另外，利用東軟NISG的Web防護(hù)模塊執(zhí)行可接受的Web使用政策能夠培養(yǎng)員工的風(fēng)險(xiǎn)防范意識(shí)，強(qiáng)化風(fēng)險(xiǎn)防范教育，激勵(lì)合規(guī)操作，減少對(duì)網(wǎng)絡(luò)和帶寬的誤用和濫用。

　　DDoS攻擊防御有道

　　徐松泉介紹到，東軟NISG集成DDoS防護(hù)功能，主要包括以下幾個(gè)方面：

　　1.漏洞防護(hù)：保護(hù)服務(wù)器不受攻擊者利用已知漏洞進(jìn)行攻擊;

　　2.木馬防護(hù)：阻止木馬程序入侵PC使其變成“僵尸主機(jī)”;

　　3.帶寬防護(hù)：保護(hù)網(wǎng)絡(luò)不受ICMP、TCP 或UDP 等數(shù)據(jù)包洪水攻擊的影響;

　　4.針對(duì)具體的DDoS攻擊的防護(hù)：如SYN Proxy防護(hù)功能。

　　通過(guò)以上四個(gè)不同層次的防御，東軟NISG可以將DDoS攻擊拒之門外。以SYN Flood 攻擊為例，東軟NISG可以起到代理服務(wù)器的作用，生成SYN/ACK 數(shù)據(jù)包并將它作為應(yīng)答傳給請(qǐng)求者，并等候返回的ACK 數(shù)據(jù)包。當(dāng)收到請(qǐng)求者的ACK 數(shù)據(jù)包后，東軟NISG將把三次的“握手”過(guò)程“回放”給接收端。如果是一個(gè)攻擊者發(fā)起的請(qǐng)求，不會(huì)完成TCP 的“三次握手”，就不會(huì)由數(shù)據(jù)包傳向目標(biāo)服務(wù)器，避免了連接資源的占用。即使是正常的TCP連接建立，東軟NISG也會(huì)持續(xù)監(jiān)視數(shù)據(jù)和連接，確保服務(wù)器始終處于安全狀態(tài)下。

　　東軟NISG還可以實(shí)現(xiàn)“反攻擊”效果。當(dāng)NISG的SYN COOKIE被設(shè)置啟用后，端口掃描軟件進(jìn)行掃描時(shí)會(huì)顯示所有端口都處于開(kāi)放狀態(tài)。由于端口數(shù)量過(guò)多甚至?xí)斐蓲呙璩绦虻募偎罓顩r，而假死的原因是LISTBOX的空間最多只能顯示65535行。如果所有端口全部開(kāi)放，最終顯示的端口列表將超過(guò)控件上限而導(dǎo)致掃描程序的假死，由于所有端口都顯示開(kāi)放，也就讓攻擊者無(wú)從下手了。

　　安全與管理兩手抓

　　我們常說(shuō)安全和管理密不可分，當(dāng)記者問(wèn)到東軟NISG設(shè)計(jì)之初是否有運(yùn)維管理方面的考慮時(shí)，徐松泉表示，東軟NISG支持集中管理功能，大大降低了大型網(wǎng)絡(luò)部署的維護(hù)和控制難度。以日常審計(jì)為例，通過(guò)東軟NISG的集中管理系統(tǒng)，用戶可以一次性完成對(duì)所有被管理設(shè)備的日志審計(jì)工作。另外，東軟NISG的集中管理中心可以收集設(shè)備上的數(shù)據(jù)，實(shí)時(shí)監(jiān)控當(dāng)前網(wǎng)絡(luò)流量，對(duì)網(wǎng)絡(luò)使用率進(jìn)行全面的統(tǒng)計(jì)與分析，并生成網(wǎng)絡(luò)流量監(jiān)控圖表，有助實(shí)現(xiàn)網(wǎng)絡(luò)性能的優(yōu)化與提升。

　　東軟NISG通常部署在關(guān)鍵的網(wǎng)關(guān)位置，因此對(duì)穩(wěn)定性的要求極高。在可用性設(shè)計(jì)方面，東軟NetEye也有著充分的考慮：支持多鏈路接入，這樣部分鏈路的損壞就不會(huì)影響到其他鏈路，并可以將故障鏈路的流量轉(zhuǎn)移到其它鏈路上;重要物理部件的實(shí)時(shí)監(jiān)控，可以在出現(xiàn)故障時(shí)進(jìn)行實(shí)時(shí)報(bào)警;支持電源等重要部件的熱插拔;具備冗余電源;支持接口BYPASS功能等等。

　　東軟NetEye集成安全網(wǎng)關(guān)NISG采用突破性的Nelahem多核處理器架構(gòu)與全新的攻擊檢測(cè)防御手段，將新一代統(tǒng)一威脅管理(UTM)與實(shí)時(shí)深度包檢測(cè)相結(jié)合，具備全面的攻擊防御能力、強(qiáng)大的Web及DDoS防護(hù)能力，在安全性和性能方面大大超越傳統(tǒng)UTM解決方案，令人不得不對(duì)其在市場(chǎng)上的表現(xiàn)足夠關(guān)注、充滿期待。

文章作者：國(guó)脈電子政務(wù)網(wǎng)