网神SecGate3600下一代极速防火墙(NSG系列)是基于完全自主研发、经受市场检验的成熟稳定网神第三代SecOS操作系统 并且在专业防火墙、VPN、IPS的多年产品经验积累基础上精心研发的高性能下一代防火墙 专门为运营商、政府、军队、教育、大型企业、中小型企业的互联网出口打造的集防火墙、抗DDoS攻击、VPN、内容过滤、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御智能安全网关。
众所周知,当下的防火墙市场中“下一代”这个概念已经被各种各样的噱头掩盖了本来面目,众多厂商以营销为目的,强行为其堆叠各种新概念、新功能,让用户觉得下一代防火墙是一个新的多功能UTM,而忽略了它的本质。试想一下,面对越来越复杂的网络环境,用户最需要的是什么?业务高速、不间断的运行,我们要提供的又是什么?高速转发、稳定性的保障。因此,一台设备无论具备多么繁多新鲜的功能,如果没有高性能的承载,也只能是一个花架子。
网神SecGate3600下一代极速防火墙(NSG系列),围绕用户的真实需求,通过全新的多核架构和设计理念,实现了用户智能管控、应用精细识别、IPS+APP联动及立体可视化监控等一系列特有功能;应用层和网络层安全模块的并行调度,提升了应用层处理性能;系统引擎与安全引擎的用户态设计,避免了安全扫描对设备性能的影响,有效提高了整机运行速度;友好的扁平化风格界面,配合直观的功能模块设计,帮助用户更加方便的进行网络管理。可以说,网神NGFW在有效解决应用层瓶颈和多样化威胁的基础上,为自身系统调度保证了足够的冗余空间,让设备的整体处理性能有了质的飞跃,为用户提供了完美的网络安全解决方案。
说明:
代表网卡收包队列
代表网卡发包队列
一、整体框架介绍:
网神SecGate3600下一代极速防火墙(NSG系列)整体框架是一个多核异步处理(AMP+)的架构。整体架构分为三大部分:配置管理平面、control-plane(控制平面)、data-plane(数据平面)。
二、多核处理介绍:
在整个系统中的数据平面,用到了Intel网卡的RSS及多队列技术,来保证同一条流被分配到同一个队列上,这样解决了数据的保序问题。整个数据平面的cpu是以SMP形式处理转发数据。网卡的收发包队列会根据数据平面的cpu个数平均分配到每个cpu上,这样就保证了数据平面cpu的并行度。
在控制平面和配置平面统一由cpu0来处理,同时在控制平面有智能分析模块,该模块由独立的cpu进行数据的智能分析工作。
三、引擎一体化介绍:
传统防火墙的缺点:
传统防火墙或UTM技术大多以Linux基础,数据的基本转发功能做在Linux的kernel部分,高级功能(例如IPS、防病毒、内容过滤等)都做在用户态,这样需要进行高级防护的数据需要从内核送到用户空间,处理完后需要再从用户空间送到kernel,然后再发送出去。
这种做法总体有三个比较大的缺点:
1、涉及到数据包频繁的上下传输(可能是拷贝,如果用了相关零拷贝技术的话又涉及频繁的消息通知)。
2、进程间频繁切换
3、Session无法复用
网神SecGate3600下一代极速防火墙(NSG系列)的优势:
采用引擎一体化技术后,整个数据的处理(包括应用层数据的处理,IPS、防病毒等高级功能)都在数据平面完成,不涉及数据包的拷贝,进程切换等问题。同时数据的处理在整个转发阶段都使用同一个Session(会话)。
从图中我们可以发现,基本数据转发功能以及防火墙功能以及各种高级功能都在同一个处理平面中。整个处理流程如下:
1.革命性的性能提升,为下一代防火墙应用层过滤与安全防护的开启提供可靠基石
随着网络技术的发展,边界防火墙需要支持对应用层过滤和威胁防护,如何保障开启应用层过滤和威胁防护情况下能够高效、快速、稳定运行是下一代防火墙必须具备的。在区别于对称的多核处理结构,网神NSG系列下一代极速防火墙采用自主研发且优化后的异步处理结构AMP+,突破前者处理数据的瓶颈,更大程度上提升了防火墙的性能。更高效的性能、更快速的转发速度是下一代防火墙的基石,让下一代防火墙上集成的多种安全防护功能,在全面启用的情况下,仍然能轻松应对,保证快速的整体转发速度。
2.高效的单引擎一次性数据处理,大幅降低应用层转发延迟
网神NSG系列下一代极速防火墙采用完全自主研发的单引擎一次性数据包拆分和物理多核下并行虚拟计算处理技术,使得整个数据的处理,包括应用层数据的处理、入侵防护、防病毒等高级功能,都在数据平面完成,不涉及数据包的拷贝,进程切换等问题,同时数据的处理在整个转发阶段都使用同一个会话,实现数据包在4-7层的高性能转发,有效降低应用层转发延迟。
3.全面的攻击防护策略与主动的入侵防护策略,结合高性能更加自如应对攻击
网神NSG系列下一代极速防火墙提供近20种常见攻击的防护策略及超过3000种的入侵防护特征库。根据用户的行为分析、用户身份分析、异常数据流分析,有效的过滤并采取相应的措施阻止非正常报文流入用户内网。特别是面对高强度洪攻击时,高性能的保障使防火墙不会成为被攻破的一方。同时网神通过专业的特征库团队,分析和跟踪常用基础软件漏洞,以及常用应用系统漏洞的利用机理、互联网异常数据包提取和实时分析,定期生成攻击特征库下发到防火墙,确保入侵防御功能的有效性,防止0-day攻击和APT攻击等威胁。
4.更多维度、更细粒度的数据识别,帮助用户更精确控制穿越防火墙的数据
网神NSG系列下一代极速防火墙在传统防火墙基于五元组识别数据的基础上,提供了基于安全域、地址、端口、协议、应用、用户、地域等条件的数据识别策略,实现了应用层识别、用户身份识别、内容识别、地域识别。通过识别技术实现各功能模块的智能联动,有效阻止来自应用层的威胁攻击。同时,不再根据纯端口、纯协议和纯服务来制定网络安全策略,用户可以根据安全要求等级,自动识别应用以及针对应用风险等级实现控制与阻断。
5.更优化的动态流控技术,充分满足不同环境下的流量分配需求
网神NSG系列下一代极速防火墙提供强大的多层级QoS功能,用户可以根据不同的需求,基于地址、用户、服务、应用等属性来分配上下行带宽,并实时监控当前已分配流量的使用统计,方便优化流量控制策略。灵活的动态流量控制技术,充分满足不同环境下针对不同终端的流量分配需求。
6.可视化的状态展示与人性化的报表分析,让用户随时掌握当前网络态势
网神NSG系列下一代极速防火墙实时展示当前设备性能利用率、接口流量、基于应用及基于用户的网络流量、入侵及攻击统计等状态信息,并提供多层级的自定义报表展示,用户可以根据关注维度的不同,自定义相应的关联报表,让管理员能够在第一时间快速掌握当前的网络状况并定位网络攻击,迅速做出响应,保证网络使用正常。
7.深度的网络行为关联分析,带来更加智能的安全防护
网神NSG系列下一代极速防火墙的整套安全防御体系都是基于网络用户行为、用户身份、用户地域识别、用户访问应用类型的实时分析及动态实时防护而设计。通过“云计算”中心自动收集安全威胁信息并快速寻找解决方案,及时更新攻击防护规则库并以动态的方式实时部署到各用户设备中,保证用户的安全防护策略得到及时、准确的动态更新。防范以多种形态出现的新恶意软件和攻击行为、APT攻击、0-day攻击等日益增长的威胁。
1、【高校】
2、【政府】
3、【运营商】
【某高校出口部署网神下一代防火墙】
某高校校园网络对外目前主要有两条线路,一条为电信线路,带宽为700M,采用千兆光纤进行接入;另一条为教育网线路,带宽为200M,同样采用千兆光纤接入;内网由一条万兆光纤进行下连。现网流量通常在600M-1200M之间。具体情况见校园网网络拓扑图:
上线目标:下一代防火墙在学校现网环境中能够保持高速稳定的数据包转发处理能力,并保证业务不间断,同时,在高负载的情况下开启高级应用功能,设备能够继续稳定运行,应用及内容能够被精准识别并进行更细粒度的控制。
出口采用的防火墙是一款中高端NSG7500设备,配备一个8电模块,一个8光模块,一个2口万兆模块及多个小模块;覆盖的功能主要有:多链路路由负载均衡,应用识别管控,入侵防御功能等;添加的配置包括:静态路由400条以上,地址对象500条以上,其余安全策略及NAT等规则上百条。配置完善后,设备运行稳定,未出现网络故障及业务中断等问题,且高级功能开启后,防火墙处理性能未明显下降,整个上线进展顺利。以下为设备运行期间各项数据统计结果: