首页 > 信息安全 > 正文

安全谈:园区网发展带给高端防火墙挑战

2010-12-03 18:07:00  来源:赛迪网

摘要:当前,用户业务系统对于园区网络的依赖性正逐年增加,园区网的建设作为组织的战略性投资,其重要性也日益增强。伴随着园区网的发展,作为园区网出口基础安全防护设备的高端防火墙......
关键词: 园区网

  当前,用户业务系统对于园区网络的依赖性正逐年增加,园区网的建设作为组织的战略性投资,其重要性也日益增强。伴随着园区网的发展,作为园区网出口基础安全防护设备的高端防火墙,又会遇到怎样新的挑战?

  园区网的发展趋势

  随着园区网的延伸范围不断扩大和互联网技术的飞速发展,园区网络呈现出三大发展趋势:

  首先是承载业务的丰富化。视频、语音、动态网页等新技术的成熟,使得园区网承载的业务更加丰富,而这些新的网络应用都对网络带宽提出了更高的要求。同时,随着园区接入终端种类和接入用户的不断增加,大量用户同时在线产生海量连接的情况也越来越多。

  

\

 

  其次是业务的实时性和可靠性要求更高。传统园区网主要承载EMAIL/静态WEB等业务,这些业务普遍对于实时性要求不高,而新兴的视频、语音等业务对于实时性和可靠性的要求则几近苛刻。

  另外,新的技术和应用不断产生,带来的是网络承载设备对于新业务的承载支持和设备处理性能的灵活扩展都有了更高的要求。

  变化引发的挑战

  园区网的上述三个发展趋势,对园区网承载网络设备的功能及性能都提出了更高的要求。而高端防火墙作为大型园区网出口的基础安全防护设备,同样面临着重重挑战。

  第一大挑战——性能

  承载业务的丰富化,带来的是巨大的出入数据流量和海量的用户请求连接。目前大型园区网出口流量动辄数Gb,大量用户接入使得防火墙的新建连接和并发连接数指标要求也呈几何倍数增长。以我们常用的淘宝和土豆网为例:单个用户打开其首页时需要建立的连接数接近100个,对于承载几千人甚至上万人的园区网来说,其同时上网产生的新建和数百万以上的并发连接,对于园区网络承载设备都是巨大的考验,传统高端防火墙每秒几万的新建连接速度和一百万级别的并发连接能力已经无法满足当前大型园区出口的应用需求。其中,并发连接可以通过扩展内存来实现性能的提升(并发数和内存呈线性对应增长关系),但新建连接则需要对防火墙的处理流程和硬件架构进行优化才能大幅提升相关性能。

  同时,随着园区网承载实时性业务的增多,对于出口防火墙的延时、丢包率指标也提出了新的要求。(常见业务类型对延时和丢包的要求如下)

  

\

 

  目前多家厂商都已推出了超高性能的防火墙设备来应对用户的性能要求。例如H3C的SecPath F5000-A5通过采用先进的分布式处理架构和FPGA技术,其连接处理能力达到支持20万新建连接、400万并发连接,并采用ACL加速技术,实现在超过20000条安全策略、80%满负荷的流量压力下,保持几十微秒级别的延迟和零丢包率。

  第二大挑战——可靠性

  园区网承载的业务越来越重要,自然其网络可靠性要求也会随之升高。防火墙设备的可靠性是保证网络可靠的基础,同样不能忽视。传统高端防火墙在硬件设计方面做出了一定改进,包括通过双电源、双风扇等部件冗余手段来保证高可靠性,但是这些传统手段已经不能完全满足当前园区出口级设备的高可靠性要求。对于高端防火墙来说,需要在以下几个方面着重加以强调。

  软件系统可靠性: 软件系统对通信产品的重要性,等同于Windows之于电脑,安全、稳定、成熟的软件系统才能帮助用户打造真正的高可靠网络。一些厂商选择FreeBSD等开源代码进行修改,没有经历过大规模电信级应用环境的洗礼,在相对简单的应用环境下应用可以勉强支撑,在大型园区复杂的应用环境下必定会捉襟见肘。只有类似像H3C的Comware、CISCO的IOS这一级别的软件,才能保证系统的可靠性。

  设备级冗余机制:电源冗余等手段仅能解决系统内部局部模块工作异常的问题,无法避免极端情况下设备级故障导致的断网,最好采用关键部件的全冗余设计。此外,双机热备作为传统解决单点故障的方案已经相对成熟,但传统的双机方案利用VRRP或者动态路由方式实现流量的切换,切换时间均以秒计;对于视频等实时性业务来说,秒级的切换时间是不能接受的,必须通过类似H3C F5000这种控制和转发平面完全物理分离的相关机制保证毫秒级的快速收敛和切换。

  自我故障检测机制:对于高可靠性设备来说,实时的运行状态检测和链路状态检测是必不可少的,除了传统的针对CPU、内存利用率的监控外,协议检测、机箱温度、风扇状态、多链路情况下的链路状态探测技术,均是帮助提高可靠性的有效手段。H3C的F5000就是通过物理上独立的检测平面,实现了BFD for BGP/IS-IS/OSPF/ VRRP(针对各种协议的快速故障检测机制,故障检测时间小于20ms)和机箱温度和板卡温度检测等功能,来保证当链路发生异常时能自动切换且切换性能小于50ms。

  第三大挑战——扩展性

  业务方面,云计算、物联网等信息化建设热点虽然尚未成熟普及,但均对网络提出了新的要求,例如需要采用IPv6技术解决海量信息点标识问题,采用VPN技术解决多业务承载问题、采用NAT日志满足公安部82号令问题等。因此,园区网络设计的时候需要考虑IPv6、MPLS VPN、NAT日志审计等相关特性,以及开启这些多业务特性时性能不会受到影响,从而保证基础网络设施和基础安全防护设施对于建设热点的技术扩展性。另外,新协议的支持和相关协议的NAT穿越能力也是用户评估园区出口防火墙时需要重点考察的问题。

  系统方面,高端产品必须具备良好的可升级性及弹性配置,这也是出于对用户投资的有效保护。这种可升级性是全方位的,性能、接口、内存甚至电源和风扇都要做到灵活升级配置。这就要求产品在设计初始就必需充分考虑到产品的升级需求:小到内存条容量的升级,大到网络接口、设备性能/处理能力的升级。

  对于以上要求,H3C的SecPath F5000无论在IPV6、NAT穿越还是部件升级扩容方面都做好了充分的准备。比如F5000获得了IPv6 Ready Phase-2的认证,可以保证IPv4向IPv6的过渡;F5000采用的可扩展硬件加速技术—“FGPA”,保证多业务并发而不影响性能;通过基于Crossbar的分布式架构,保证了F5000的性能、接口等可扩展性。也正是凭借在性能、可靠性和扩展性方面的全面优异表现,SecPath F5000已经先后在武汉大学、西南大学、哈尔滨工程大学、西安电子行政平台、无锡市民行政中心、贵州电网、西山煤电等众多行业客户的大型园区网出口得到应用。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:lyfzlj

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。