【51CTO.com原创稿件】众所周知,防火墙是各类网络边界的安全控制点与检测点,作为关卡守护着网络中的关键通道,其本质作用在于:做好网络访问控制,缩小攻击面与提高攻击门槛。
安全事件频发,安全网关在注重性能的同时也应做好网络访问控制
随着网络应用与威胁不断变化,防火墙的安全能力随之不断演进,从最初的包过滤与状态检测到统一威胁防护,从“下一代”到“新一代”,从智能到智慧。防火墙性能在不断提升,体现了极强的可视性、融合性、智能化。
然而,来自外部网络的攻击事件仍旧层出不穷,作为企业网络大门的守卫者,防火墙的性能和作用亟需提高。一方面,网络流量的不断激增与网络复杂度的不断提升,防火墙的性能与网络适配能力经受着不断的挑战,分布式硬件架构的引入,防火墙的吞吐能力与接口密度大幅提升,但成本始终居高不下。另一方面,防火墙也逐渐迷失在不断追求智能、智慧的路上,仿佛忘记了出发的目的,忽视了防火墙等安全网关产品的本质。在实际的应用中,网络访问控制策略设置过于宽松,整网安全策略关联分析缺失,安全策略生命周期管理混乱,安全策略基线失效、失控,致使网络攻击者经常以最简单的方式进入用户网络。面对以上问题用户有心无力,缺少必要的技术手段。
多维度纵深安全防御,安博通发布单盒100G可视化深度安全网关
基于此背景,凭借对网络边界安全防护需求的深入理解,安博通于近日推出了SG-8000超100G可视化深度安全网关(以下简称SG-8000)。
安博通发布单盒100G可视化深度安全网关
SG-8000基于高性能多核硬件平台,搭载业界应用最为广泛的SPOS可视化网络安全系统,具备网络、应用、内容多维度纵深安全防御能力。SPOS控制面与数据面分离,多核并行处理,用户态硬件驱动。在SPOS驱动下,SG-8000拥有单盒120G的安全吞吐性能,同时固化24个千兆接口与16个万兆接口,综合威胁防护能力的应用不再受限,部署方式更加灵活,性价比大幅提升。主要应用于骨干网络出口、中小型网络安全域核心、以及内网边界等场景。
据记者了解, SG-8000为 2U“盒子”形态,具备120G安全吞吐能力与100万以的上的新建能力,性能达到业界同类“盒子”产品的1.5倍-2倍,分布式硬件防火墙需配置多块业务板卡才能与之匹敌。
安博通解决方案总监向记者介绍,性能之所以能够达到如此之高,是因为:在硬件上,安博通坚持多核路线推出高性能安全产品。在Cavium芯片的5系、6系上积累了大量宝贵的研发经验和技术积淀,升级后的Cavium芯片7系为SG-8000的稳定高性能提供了支持与保障。在软件上,实现了包含定时器优化、软件分流优化、审计多库优化、部分模块重构优化等超过150项的软件性能优化。
此外,SG-8000采用无扩展槽设计,自身固化12个千兆电口、12个千兆SFP光口与16个万兆SFP+接口,全面覆盖用户当前与未来的网络端口需求。高性能基础上的高密度接口集成,使得SG-8000可轻松部署于网络的核心层、汇聚层,甚至是接入层,实现精细化安全域划分与隔离,进一步遏制内网攻击蔓延。
可视化重塑网络访问控制策略基线,回归防火墙功能本质
如开篇所说,用户在防火墙的实际应用操作中,网络访问控制策略和路径访问监管存在不足。企业用户需要知道,针对重要信息系统和核心关键数据的安全防护是否有效?核心关键数据的去向和传输路径,是否存在安全风险?如何提高重要信息系统和核心关键数据的安全性?云计算环境下,重要信息系统的安全边界与访问路径是否可见?
为了最有效发挥深度安全网关SG-8000的网络访问控制功能,帮助企业缩小受攻击面与提高攻击门槛。安博通提供了安全策略自适应分析与大数据可视化平台,可对全网的SG-8000与相关网络设备的访问控制策略进行读取、解析与分析,自动挖掘宽松、冗余、无效的访问控制策略,优化访问控制策略结构,并进行全局策略关联分析,实现安全域基础架构与策略路径的全面可视化展示与分析,帮助用户构建精细化的网络访问控制策略基线,有效缩小网络攻击面,并持续进行可视化监控。
并在此基础上,进一步与异常流量、异常行为、安全事件进行关联分析,从而实现网络攻击和未知威胁的快速分析、实时展现与准确预警。
作者:邹峥
来源:51CTO
