请输入您要查询的百科知识:

 

词条 vsp防火墙
释义

随着信息化建设的深入,互联网上的各种应用不断增多,作为边界防御的基础设施——防火墙,也面临多重挑战。一方面安全需求日新月异,另一方面网络带宽飞速扩展,传统的小作坊式研发设计已经不能满足要求,设备平台化已经成为发展的趋势。

通过平台化,防火墙能够迅速适应新的硬件平台,性能得以快速提高,满足甚至领先于网络带宽的发展。同时,平台化的防火墙具备良好的扩展性和适应性,可以快速移植到各种硬件平台,提高系统的性价比,并很容易发展出新的功能,适应用户特殊的或不断变化的安全需求。联想网御在下一代安全架构中,推出了弹性架构的安全平台,正是为了顺应了这种发展潮流,将防火墙产品的研发设计推向了新的高度。

弹性架构的安全平台包含四项核心组成部分:通用安全平台(VSP)是所有防火墙设备的基础,统一安全引擎(USE)是防火墙设备的安全发动机,多重冗余协议(MRP)是防火墙设备高可靠性的保证,高速安全硬件(HSH)则是防火墙设备高性能的助推器。

在安全产品实现上,四类核心技术的有效组合,可以为用户提供多样化的安全功能:既能为高端用户提供专用的、高性能的、高可靠性的安全设备,如防火墙、VPN、IPS等,又能为中小型用户提供多功能、高性价比、易于管理维护的安全设备,如UTM,还能够根据用户需求,在专用安全设备上提供增强的安全功能,快速完成产品定制,如在高端防火墙上提供异常流量的分析过滤器。

1. 通用安全平台(VSP:Versatile Security Platform)

VSP是联想网御自主研发的专用安全软件平台,该平台参照国际标准,基于完善的体系结构设计,将实时操作系统、网络处理、安全应用等技术完美地结合在一起,具有高效、智能、安全、健壮、易扩展等特点,是联想网御边界防御产品的通用平台。

VSP面向网络吞吐和安全处理,不同于Linux,FreeBSD等通用操作系统追求均衡的方向,VSP通过控制平面和数据平面的分离,集中主要资源于数据平面,进行网络吞吐和安全处理,使系统具有极强的实时性和网络吞吐能力。

VSP参考微内核设计,基于消息机制,仅将最基本的操作系统功能置于微内核,多余服务和应用程序均构造于微内核之上,确保任何服务和应用的问题都不会造成整个系统的崩溃。同时,微内核中集成攻击防御引擎,可有效检测和抵御攻击行为, 从根本上提高了产品的可靠性和健壮性。

通过系统功能与资源管理分别工作在不同的平面,各平面和模块之间共同遵循标准接口函数,VSP与各种嵌入式系统相比,具有高度灵活性和可扩展性。同时,VSP将硬件驱动独立为硬件抽象平面,对上层软件提供统一调用接口,对下层硬件统一定义驱动标准,适应不同规格的硬件架构,实现与多种专用芯片的无缝融合,VSP可充分利用从IXP,PowerPC到NP、内容加速芯片等各种先进硬件平台的优势。

2 统一安全引擎(USE:Uniform Security Engine)以VSP为基础,优化传统的安全引擎,抽象数据模型、构造统一架构,有效地将状态过滤、VPN、IPS、内容过滤等多类别安全引擎集成为统一的安全引擎,显著提升了联想网御防火墙的安全防御能力。

统一安全引擎克服了传统上各个安全引擎独自为战,存在大量冗余处理的缺点(比如,蠕虫检测在IDS,病毒检测中都要处理),通过高效的引擎集成技术,将各个安全功能与网络协议栈的处理有机地整合为一体,状态检测、协议分析机、深度过滤、内容检测等引擎协同工作,对于监测的数据包,一次性拆包即可完成2~7层的检测,同时采用联想的专利技术——基于摘要索引的内容处理加速算法,有效地提高了引擎的处理效率。

联想网御防火墙根据用户需求侧重点不同,通过统一的配置接口,可以方便的组合使用各种安全特性,加上不同的硬件架构,可以适应用户的不同安全需求。

3 多重冗余协议(MRP:Multi-layers Redundant Protocol)基于联想拥有的大型计算机高可靠设计专利技术,利用电信骨干网可靠性运营维护专业经验,通过在物理层、链路层、网络层、实体层等多个层面实现多元化冗余设计,可有效地保障联想网御防火墙在用户网络应用中的高可用性。

联想网御防火墙在链路层支持多WAN口出口,通过链路冗余协议,实现多出口间的负载均衡和备份,正常时可以充分利用链路资源,同时任何一条链路的故障瘫痪不会影响网络的正常通信。

联想网御防火墙通过支持基于802.3ad标准,实现多物理端口聚合,在正常状态下可以帮助用户做到“零投资”带宽倍增,在单点故障时,又可以实现正常的网络通信不中断。

MRP支持基于状态自动探测的双机热备。当主系统发生故障或对应线路的网络故障时,备份机可自动检测并切换到主状态,接管主系统的工作,切换时间小于1秒钟。同时,基于国内首创的“状态增量同步”技术,解决了主从设备之间状态一致性问题,在保证不损失状态检测的安全性的同时,保证了系统切换期间会话不会中断。

MRP支持主动负载均衡、会话保护和接管以及主动配置同步等功能,不但可以在集群和双机中实现配置的同步,简化用户的管理负担,并且基于“状态增量同步技术”实现了业务在多台设备之间的平滑任意分布和切换,解决了采用VRRP协议和动态路由协议带来的“业务续断问题”,在透明、路由、混合等多种工作模式下实现负载均衡,最多可以支持2~8台的设备集群。

4 高速安全硬件(HSH: High Speed Hardware)

联想网御防火墙在硬件领域始终引领安全技术潮流。2003年,联想网御在国内率先推出NP架构“超五”千兆线速防火墙,以其优异的性能,受到了业界普遍认可。

多核多线程芯片技术是网络设噶煊虻淖钚路⒄梗??胪??氏仁迪至瞬?坊??ü?猎PU与网络总线、安全应用加速引擎的集成,极大拓展了内部带宽,解决了通用平台的总线瓶颈,多核多线程的体系结构特别适合网络并行运算,使防火墙的网络处理速度从千兆走向了万兆。

弹性架构的安全平台是联想网御防火墙的技术基础,以此为基础形成的产品和解决方案可以应对新的安全威胁在速度、范围和复杂性方面的挑战,快速满足用户需求。除此之外,因为平台具有的弹性特点,部分模块和技术将来还能嵌入到硬件芯片、网络设备、操作系统或者网络应用中,自然地融入信息化建设当中。弹性架构的安全平台必将成为推动信息化建设与信息安全协调发展的重要动力。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/11/15 7:14:00