10G 一体化网络数据深度安全检查和分析系统
当前网络安全技术发展的主流是向全息安全(Holistic Security)发展。无论是网关与端点的结合即网络准入控制(Network Admission Control),还是入侵防御与泄露防范 (Information Leakage Prevention)的共生,无论是无线与有线兼容,亦或信息安全与数据安 全的结合,都是安全防护技术一体化和集成化在不同侧面的具体表现。在这一发展潮流之中, 传统的安全网关也从单纯防火墙的边界保护(perimeter protection)门卫角色,发展到统一 威胁管理(UTM)的区域保护(local protection)首领地位,不但监控经过的各类流量,而 且监控邻域以致虚拟邻域的终端、应用和数据。本项目将自主知识产权的专利技术研究与成熟的工程队伍和技术创新机制相结合,研制 了基于软硬件协同的应用系统,具有完善的多层次协议分析与过滤能力;具备细粒度访问控 制、入侵检测和防御、防病毒、VPN、反垃圾邮件、内容过滤、流量监控、安全策略统一部 署等安全能力。由于单台设备能够承受超过 20G 的系统吞吐量、10G 的安全能力、7G 的内容过滤流量,依照电信 2M 上网带宽的标准,可以为电信提供至少 3500 个用户的接入,效益十分可观。 对于企业来说,通过高性能 UTM 的内容过滤,将大大降低遭受病毒、垃圾、钓鱼等攻击的 危险性,为企业良好的网络运行提供了有力的保障。在 UTM 领域,内容过滤的准确度、内容过滤性能提高和协议兼容性是应用层处理所面 临的共同问题。例如 NAI-McAfee 的防病毒网关每秒最多只能处理几十个电子邮件,防垃 圾邮件处理能力性能更低,其他厂家针对性能的提高提出了各种方案,将性能提升到上百封 的处理能力,但是如何解决慢速网络连接下的协议兼容性和流畅性并未得到改善,局部性能 的提高,并不能在整体上带来好的用户体验。再比如,在 http 协议的处理上,传统代理架 构的方式必将被淘汰,就算在内容过滤上能够做到每秒上 G 的性能,但是代理过程的延时 几乎没有用户可以接受,如何在流的方式下提高并行处理能力,如何在协议允许的范围内提 高反馈能力,都是需要值得延伸的技术研究。应用层安全网关功能的发展呼唤着新的软硬件 解决方案,像 Tarari 这样专门从事内容过滤(特别是 XML 处理)芯片设计的厂商将在短期 内增多并大有用武之地。总之,安全功能在 OSI 协议架构单层上的集成正在完成,多层间 的集成未艾,并需要有新的硬件平台和软件实现来突破性能瓶颈。当前最重要的目标是带动国产 UTM 性能上突破 10Gbps,从而推动国产高端 UTM 产品 的成熟和完善,提高国产高端 UTM 产品的市场竞争力,使自主知识产权的国产 UTM 在高 端市场上逐步占据主导地位,满足国内迅速增长的网络安全产品市场需求,为建设我国信息 安全框架提供基础产品,更好地保障我国网络信息安全。
清华大学
2021-04-11