3.虛擬交換點-虛擬交換點
隨著信息化建設的深入,互聯網上的各種應用越來越多。防火墻作為邊防的基礎設施,也面臨著多重挑戰。壹方面安全需求日新月異,另壹方面網絡帶寬迅速膨脹,傳統的小作坊式R&D設計已經不能滿足要求,平臺化設備成為發展趨勢。
通過平臺化,防火墻可以快速適應新的硬件平臺,性能可以快速提升,滿足甚至領先於網絡帶寬的發展。同時,平臺防火墻具有良好的擴展性和適應性,可以快速移植到各種硬件平臺上,提高系統的性價比,並可以方便地開發新的功能,滿足用戶特殊或不斷變化的安全需求。在下壹代安全架構上,聯想Netroyal推出了彈性架構的安全平臺,正是順應了這壹發展趨勢,將防火墻產品的研發設計推向了壹個新的高度。
彈性架構的安全平臺由四個核心組件組成:通用安全平臺(VSP)是所有防火墻設備的基礎,統壹安全引擎(USE)是防火墻設備的安全引擎,多重冗余協議(MRP)是防火墻設備高可靠性的保障,高速安全硬件(HSH)是防火墻設備高性能的助推器。
在安全產品的實現上,四大核心技術的有效結合,可以為用戶提供多樣化的安全功能:不僅可以為高端用戶提供專用的、高性能、高可靠性的安全設備,如防火墻、VPN、IPS等。,還能為中小型用戶提供多功能、高性價比、易管理的安防設備,如UTM。還可以根據用戶需求,在專用安全設備上提供增強的安全功能,快速完成產品定制。(VSP:versaille security Platform)VSP是聯想Netware自主研發的專用安全軟件平臺。該平臺基於國際標準和完善的架構設計,完美結合了實時操作系統、網絡處理、安全應用等技術。具有高效、智能、安全、健壯、易擴展的特點,是聯想Netware邊防產品的通用平臺。
VSP面向網絡吞吐量和安全處理,與Linux、FreeBSD等壹般操作系統追求平衡的方向不同。VSP通過控制平面和數據平面的分離,將主要資源集中在數據平面上,使系統具有很強的實時性和網絡吞吐能力。
VSP參考微內核設計,基於消息機制,只將最基本的操作系統功能放在微內核中,在微內核上構建冗余的服務和應用,保證任何服務和應用問題都不會導致整個系統崩潰。同時,微內核中集成的攻擊防禦引擎可以有效檢測和抵禦攻擊,從根本上提高產品的可靠性和健壯性。
系統功能和資源管理分別在不同的平面上工作,平面和模塊遵循標準的接口功能。與各種嵌入式系統相比,VSP具有高度的靈活性和可擴展性。同時,VSP將硬件驅動分離成硬件抽象平面,為上層軟件提供統壹的調用接口,為下層硬件定義驅動標準,適應不同的硬件架構,實現與各種專用芯片的無縫集成。VSP可以充分利用各種先進硬件平臺的優勢,從IXP、PowerPC到NP,還有內容加速芯片。(使用:uniform security yengine)基於VSP,優化傳統安全引擎,抽象數據模型,構建統壹架構,將狀態過濾、VPN、IPS、內容過濾等多種類型的安全引擎有效整合為壹個統壹的安全引擎,顯著提升了聯想防火墻的安全防禦能力。統壹安全引擎克服了傳統安全引擎單獨工作,存在大量冗余處理的缺點(比如蠕蟲檢測需要在IDS和病毒檢測中處理)。通過高效的引擎集成技術,將所有安全功能與網絡協議棧的處理有機集成,狀態檢測、協議分析器、深度過濾、內容檢測等引擎協同工作。對於監控到的數據包,壹次拆包即可完成2-7層的檢測,同時采用了聯想的專利技術。
聯想的防火墻可以通過統壹的配置界面,根據用戶需求的不同側重點,方便地組合各種安全特性,配合不同的硬件架構,適應用戶不同的安全需求。(MRP:Multi-layer redundant Protocol)基於聯想大型計算機高可靠設計專利技術和電信骨幹網可靠運維的專業經驗,通過實現物理層、鏈路層、網絡層、實體層等多層次的多樣化冗余設計,有效保障聯想防火墻在用戶網絡應用中的高可用性。聯想的防火墻在鏈路層支持多WAN口,通過鏈路冗余協議實現多端口間的負載均衡和備份,正常情況下可以充分利用鏈路資源,任何壹條鏈路出現故障都不會影響網絡的正常通信。
聯想的防火墻支持基於802.3ad標準的多個物理端口的聚合,可以幫助用戶在正常情況下實現“零投入”的帶寬倍增,在出現單點故障時可以實現正常的網絡通信不中斷。
MRP支持基於自動狀態檢測的雙機熱備。當主系統故障或相應線路網絡故障時,備份機能自動檢測並切換到主狀態接管主系統工作,切換時間小於1秒。同時,基於國內首創的“狀態增量同步”技術,解決了主從設備狀態壹致性問題,狀態檢測安全性不喪失,系統切換時會話不中斷。
MRP支持主動負載平衡、會話保護和接管以及主動配置同步等功能。不僅可以實現集群和雙機配置的同步,還可以簡化用戶的管理負擔。基於“狀態增量同步技術”,實現了業務在多臺設備間的平滑任意分發和切換,解決了采用VRRP協議和動態路由協議帶來的“服務中斷問題”,實現了透明、路由、混合等多種工作模式下的負載均衡,最多可支持2~8臺。(HSH:HighSpeedHardware)聯想互聯網防火墻始終引領硬件領域安全技術的潮流。2003年,聯想Netroyal在國內率先推出基於NP的“超五”千兆線速防火墻,以其優異的性能得到業界的廣泛認可。
多核多線程芯片技術就是要組建壹個網絡,需要網絡是即時的。方ü?PU與網絡總線和安全應用加速引擎的集成,大大擴展了內部帶寬,解決了通用平臺的總線瓶頸。多核多線程架構特別適合網絡並行運行,使得防火墻的網絡處理速度從千兆走向千兆。
具有彈性架構的安全平臺是聯想防火墻的技術基礎,在此基礎上形成的產品和解決方案能夠應對新的安全威脅在速度、範圍和復雜程度上的挑戰,快速滿足用戶的需求。此外,由於平臺的靈活性,未來可以將壹些模塊和技術嵌入到硬件芯片、網絡設備、操作系統或網絡應用中,自然融入到信息化建設中。靈活的安全平臺必將成為推動信息化建設和信息安全協調發展的重要動力。