【51cto.com原創稿件】衆所周知,防火牆是各類網絡邊界的安全控制點與檢測點,作為關卡守護着網絡中的關鍵通道,其本質作用在于:做好網絡通路控制,縮小攻擊面與提高攻擊門檻。
安全事件頻發,安全網關在注重性能的同時也應做好網絡通路控制
随着網絡應用與威脅不斷變化,防火牆的安全能力随之不斷演進,從最初的包過濾與狀态檢測到統一威脅防護,從“下一代”到“新一代”,從智能到智慧。防火牆性能在不斷提升,展現了極強的可視性、融合性、智能化。
然而,來自外部網絡的攻擊事件仍舊層出不窮,作為企業網絡大門的守衛者,防火牆的性能和作用亟需提高。一方面,網絡流量的不斷激增與網絡複雜度的不斷提升,防火牆的性能與網絡适配能力經受着不斷的挑戰,分布式硬體架構的引入,防火牆的吞吐能力與接口密度大幅提升,但成本始終居高不下。另一方面,防火牆也逐漸迷失在不斷追求智能、智慧的路上,仿佛忘記了出發的目的,忽視了防火牆等安全網關産品的本質。在實際的應用中,網絡通路控制政策設定過于寬松,整網安全政策關聯分析缺失,安全政策生命周期管理混亂,安全政策基線失效、失控,緻使網絡攻擊者經常以最簡單的方式進入使用者網絡。面對以上問題使用者有心無力,缺少必要的技術手段。
多元度縱深安全防禦,安博通釋出單盒100g可視化深度安全網關
基于此背景,憑借對網絡邊界安全防護需求的深入了解,安博通于近日推出了sg-8000超100g可視化深度安全網關(以下簡稱sg-8000)。
安博通釋出單盒100g可視化深度安全網關
sg-8000基于高性能多核硬體平台,搭載業界應用最為廣泛的spos可視化網絡安全系統,具備網絡、應用、内容多元度縱深安全防禦能力。spos控制面與資料面分離,多核并行處理,使用者态硬體驅動。在spos驅動下,sg-8000擁有單盒120g的安全吞吐性能,同時固化24個千兆接口與16個萬兆接口,綜合威脅防護能力的應用不再受限,部署方式更加靈活,成本效益大幅提升。主要應用于骨幹網絡出口、中小型網絡安全域核心、以及内網邊界等場景。
據記者了解, sg-8000為 2u“盒子”形态,具備120g安全吞吐能力與100萬以的上的建立能力,性能達到業界同類“盒子”産品的1.5倍-2倍,分布式硬體防火牆需配置多塊業務闆卡才能與之匹敵。
安博通解決方案總監向記者介紹,性能之是以能夠達到如此之高,是因為:在硬體上,安博通堅持多核路線推出高性能安全産品。在cavium晶片的5系、6系上積累了大量寶貴的研發經驗和技術積澱,更新後的cavium晶片7系為sg-8000的穩定高性能提供了支援與保障。在軟體上,實作了包含定時器優化、軟體分流優化、審計多庫優化、部分子產品重構優化等超過150項的軟體性能優化。
此外,sg-8000采用無擴充槽設計,自身固化12個千兆電口、12個千兆sfp光口與16個萬兆sfp+接口,全面覆寫使用者目前與未來的網絡端口需求。高性能基礎上的高密度接口內建,使得sg-8000可輕松部署于網絡的核心層、彙聚層,甚至是接入層,實作精細化安全域劃分與隔離,進一步遏制内網攻擊蔓延。
可視化重塑網絡通路控制政策基線,回歸防火牆功能本質
如開篇所說,使用者在防火牆的實際應用操作中,網絡通路控制政策和路徑通路監管存在不足。企業使用者需要知道,針對重要資訊系統和核心關鍵資料的安全防護是否有效?核心關鍵資料的去向和傳輸路徑,是否存在安全風險?如何提高重要資訊系統和核心關鍵資料的安全性?雲計算環境下,重要資訊系統的安全邊界與通路路徑是否可見?
為了最有效發揮深度安全網關sg-8000的網絡通路控制功能,幫助企業縮小受攻擊面與提高攻擊門檻。安博通提供了安全政策自适應分析與大資料可視化平台,可對全網的sg-8000與相關網絡裝置的通路控制政策進行讀取、解析與分析,自動挖掘寬松、備援、無效的通路控制政策,優化通路控制政策結構,并進行全局政策關聯分析,實作安全域基礎架構與政策路徑的全面可視化展示與分析,幫助使用者建構精細化的網絡通路控制政策基線,有效縮小網絡攻擊面,并持續進行可視化監控。
并在此基礎上,進一步與異常流量、異常行為、安全事件進行關聯分析,進而實作網絡攻擊和未知威脅的快速分析、實時展現與準确預警。
作者:鄒峥
來源:51cto