万兆时代的安全网关
行业之道
随着互联网应用越来越广泛,骨干网络上的数据流量越来越大,致使相应的网络安全产品规格也越来越高。作为企业内网与外网连接的咽喉要道——安全网关,自然需要承载更多的任务,于是从百兆到千兆,再到万兆的安全网关产品纷至沓来。万兆安全网关的出现不仅仅是带宽上的简单变化,更多的是核心技术的发展和更新。下面就让我们来了解一下万兆安全网关的技术及应用方面的一些知识。
安全网关是什么
什么是安全网关,它是指设置在不同网络或网络安全域之间的一系列安全产品的统称。它通过监测、限制、更改通过安全网关的数据流,尽可能地对外屏蔽网络内部的信息、结构和运行状况,并通过检测阻断威胁以及网络数据加密等手段实现网络和信息的安全(图1)。
从一般意义来说,位于网络上的防护设备均可以被视为安全网关,这些设备可能只具有防火墙或内容过滤等单一的功能,也可能具备了UTM规范中所要求的多种安全功能和防护范围。也就是说,安全网关未必一定达到了UTM所定义的防护等级,而是一个比UTM更宽泛的界定。
目前,安全网关按照功能和用途划分,可以分为防火墙、VPN网关、UTM网关、IPS网关、防病毒网关、防垃圾邮件网关、抗DDoS网关等各种类型。其中最早出现的安全网关是以防火墙的形式出现的,随着更多的安全威胁出现,安全网关从单一的防火墙分化成各种各样的形态,以单一功能为主的如Web防火墙、抗DDoS安全网关、VPN网关,以功能综合为代表的则是UTM统一威胁管理系统。
虽然近几年来安全网关技术得到了快速发展,但安全网关始终是高速网络中的瓶颈,滞后于高端路由器、交换机的性能水平。在“千兆到桌面、万兆做骨干”的概念引导下,很多交换机和路由器都拥有万兆大容量端口,在这种趋势下,传统安全网关不可避免地成为了网络上的瓶颈,这样万兆安全网关也就应运而生。
万兆安全网关:高速网络时代的必然需求
万兆安全网关,顾名思义就是在开启了防护功能的情况下,能保证传输速度在万兆(即10Gbps)以上的安全网关设备,它综合了CPU、NPU(网络处理器)、ASIC以及各种加密和协议分析芯片,构成高速可靠的安全计算平台。
之所以需要万兆安全网关,是因为在很多企业级应用环境中,千兆级别的安全网关设备已经远远不能满足用户的防护需要。随着互联网络的使用与普及,网络数据流量比前几年有了很大幅度的增长,这样安全网关需要处理的数据量也大大提高了,加上恶意软件、垃圾邮件、木马病毒等安全问题频发,对安全产品提出了更高的要求,要求它们对数据检测特别是深度检测方面的能力更强。如果安全网关的数据处理速度低于网络数据的传输速度,安全网关就会成为整个网络的性能瓶颈。因此,在万兆网络普及过程中,与之相匹配的高性能安全设备是必备基础设施之一。
由于万兆安全网关对网络应用硬件环境要求较高,因此不是任何一家企业用户都可以部署的。一般来说,对于万兆安全网关的需求主要集中在高端用户群中,而规模较小的企业对万兆安全网关动辄几十万元的价格往往没有承受力,他们也没有这么高的需求。对于规模较大的企业用户来说,每天需要处理海量的网络数据内容,如果能够以万兆级的安全设备进行安全防护,成本控制和效益则非常出众。
从目前的市场情况来看,万兆级安全网关产品主要应用在以下几个市场:一是电信市场,国内电信IDC机房数据流量小的有1Gbps、大的超过10Gbps,同时电信运营商越来越强调IDC安全增值服务,这些需求都促进了万兆安全网关的发展;二是金融市场,近两年来,银行的“数据大集中运动”搞得轰轰烈烈,防火墙是银行数据中心安全的基本屏障,银行用户对万兆防火墙的需求也越来越强烈;三是Web网站,Web网站数据中心有庞大的服务器群,特别是Web2.0概念的出现,新业务的增加对数据安全提出了新挑战,这些Web网站用户对IT应用环境要求较高,他们往往不只要求核心应用安全稳定,对其它附属应用及日常应用也有较高的运营要求,而万兆安全网关的应用往往会起到立竿见影的效果。
万兆安全网关案例分析
案例一:校园网络
广西某师范学院经过几年的建设,已经将校园网发展成为一个覆盖教学科研区、学生宿舍区、部分教职工家属宿舍区的综合性信息服务网络。不过,随着网络应用的发展以及用户群的增加,校园网的压力越来越大。如随着网上多媒体教学、视频点播等应用的兴起,对网络带宽的需求迅猛增加,而校园网内有大量的P2P应用,私设DHCP服务器的情况也时有发生,加上横行不绝的垃圾邮件、蠕虫病毒,都让校园网管理人员防不胜防。另外,随着CNGI工程的开展,学校对IPv6实验网的需求逐渐增加,需要校园网对IPv6提供强有力的支持。因此,为满足校园网的发展要求,学院经过详细考察和论证,全网采用了H3C的IToIP校园网解决方案来构建全新的校园网络。
解决方案:网络采用星型结构组网,充分考虑到了骨干网络的高带宽、高可靠性需求,整网采用两台S7510E作为交换核心,使用单引擎、双电源保障核心自身的可靠性。下行使用多模万兆光纤连接到教学楼、办公楼、学生宿舍、图书馆、运动场等,提供高速率的上行带宽,保障多种教学业务,特别是多媒体、语音等教学课件的高速传输。各个汇聚层的交换机则通过单模千兆光纤连接到接入层的交换机,接入层交换机为百兆到桌面。网络拓扑结构如图2。
在校园网安全方面,该方案部署了H3C高端的SecPath F5000-A万兆防火墙设备,该防火墙采用机框式可扩展设计,同时基于分布式多核多线程处理,处理性能为30Gbps(最大可以扩展至40Gbps)。F5000-A配置了12个千兆接口、4个万兆接口,实现了同时对网络出口和原有服务器区的安全保护。
案例二:保险公司
随着保险公司的业务量和信息交换量的迅速增长,它们对网络信息系统安全的要求也与日俱增。国内某保险公司每天要处理大量的业务和信息交换工作,为了保障投保客户的信息安全,建立高效安全的办公网络,防止病毒入侵造成损失,公司高层防微杜渐、未雨绸缪,对公司整体的安全系统进行了咨询和评估,针对病毒和垃圾邮件等网络安全问题,最终选择了McAfee 的 SCM系列设备。
解决方案:McAfee SCM让企业拥有一个安全、稳定和清洁的邮件环境,它包括McAfee Secure Messaging Gateway (安全信息网关,SMG)等。McAfee SMG可以保护网络免受垃圾邮件、网络钓鱼、蠕虫和病毒的侵扰,它内置垃圾邮件防护模块,可以利用多种复杂的技术来检测、拦截垃圾邮件和网络钓鱼等诈骗攻击。McAfee SMG 能够扫描所有采用SMTP 和POP3协议的进出邮件。
该保险公司总部已安装部署了一台 WebShield e1000(功能和性能相当于SMG 3300),用于总部和上海公司的电子邮件病毒清除和病毒邮件过滤。为了确保电子邮件病毒清除和过滤服务的可靠性,新增加一台SMG 3300 接入网络,和原来的 WebShield e1000 实现双机热备功能(部署如图3)。
除了 McAfee SMG 外,McAfee SCM系列设备还包括Secure Web Gateway (SWG) ——一种专用 Web 安全设备,以及Secure Internet Gateway (SIG) ——一种面向中小型企业客户、完全集成 Web 和电子邮件安全防护功能的设备。
通过实施McAfee SCM方案,该保险公司可以准确检测并过滤各类病毒和恶意程序,确保邮件自身的安全。同时,McAfee SCM的反垃圾邮件模块可高效地阻断各类垃圾邮件的传播,提高员工工作效率和公司的管理效率,彻底消除垃圾邮件和病毒邮件带来的隐患。