隨著網絡環境復雜程度的不斷升級和攻擊手段的花樣百出，網絡通信不再簡單地依托存儲轉發應用，而已經擴展到如即時通訊(IM)、P2P應用、VoIP、流媒體和遠程電話會議等實時協作工具中。此類溝通方式的出現為人們的工作和生活帶來便捷的同時，也為潛在的威脅入侵提供了可乘之機。如今一場精心策劃的惡意攻擊能夠深入到傳統狀態包檢測產品中，而為了確保基本網絡性能，傳統的解決方案只側重于掃描數據包的報頭，而遺漏了數據包內隱藏的數據威脅。為了將安全防護進行到底，今天的統一威脅管理需要出色的硬件架構、實時的深度包檢測(DPI)和足夠強大的防御手段。

　　東軟NISG被稱作集成安全網關的“3G”時代來臨，指的是技術上的突破嗎?其技術特點和先進性到底在哪里?它為用戶信息安全防護提供了什么新的思路?又帶來了哪些實際應用價值?帶著這些疑問，本刊記者采訪了東軟NetEye信息安全產品經理徐松泉。

　　徐松泉解釋說，“1G”時代是狀態包過濾技術，東軟在1998年率先推出了狀態檢測防火墻;“2G”時代是指東軟在2002年推出的“內核流過濾”技術，它為現在的協議分析、內核并行過濾、蠕蟲防護奠定了技術基礎;2009年底，東軟重磅推出的NISG以全線速、全防護的表現開創安全網關的“3G”時代。正如手機“3G”的主要突破是在上網速度和應用多樣性一樣，東軟NISG的突破主要體現在性能和深度防御的全面性上。東軟NISG在開啟包括防病毒等所有功能后，深度防御性能仍可達千兆線速，這是一個重大技術突破，這一突破主要得益于東軟NetEye的內核級“流過濾”技術，采用多核架構并結合內核的并行調度機制，使得深度防御性能完全可以滿足高端千兆網絡的部署環境，如電信、IDC等。同時，東軟NISG采用了東軟NEL平臺，提供細粒度的協議解析控制，從而達到防病毒、URL過濾、反垃圾郵件等功能的緊密集成。

　　“慎重”選擇基礎硬件平臺

　　在不明顯降低網絡吞吐量的前提下，基礎架構的性能對完成實時DPI至關重要，據徐松泉介紹，正是因為重要，東軟NetEye在選擇基礎硬件平臺時是慎之又慎。多核架構在性能、可擴展性和節能性方面比其它安全平臺更具優勢，是進行實時DPI最好的硬件平臺。多核處理器與并行流過濾技術兼容的靈活性、經濟性和能效性構成了高性能信息安全防護的基礎。

　　Nelahem多核技術源于Intel采用串行總線的NP技術，適用于大型機和高端服務器領域，具有強大計算能力，是集NP、并行處理和IA架構優點于一身的高性能、低成本計算架構。

　　與思科的QuantumFlow、RMI的XLR和CAVIUM的OCTEON多核芯片一樣，Nelahem多核架構屬于新的多核低功耗架構。Nelahem架構采用QuickPath的串行總線通信，使用高達6.4GT/s的鏈路互連，所提供的總帶寬高達25GB/s，最高支持4顆處理器，單一芯片最高可擁有2、4及8顆核心，支持經改良的Hyper-Theading技術，單顆處理器最高可支持16 Threads。最高端系統可支持4顆CPU，每顆CPU8個核心，總計64線程。

　　由于Intel的Nelahem多核架構具備高性能、低功耗的特性，面向手機領域的Nelahem架構芯片己用于手機硬件平臺，性能功耗比可媲美ARM架構。東軟NISG的硬件架構在具有出色的性能表現的同時，也響應了今日綠色環保低碳的技術趨勢。

　　出色性能確保安全

　　卓越的硬件架構帶來的出色性能表現主要體現在吞吐量、每秒新建連接數和最大并發連接數三個重要指標上。據徐松泉介紹，東軟NISG的吞吐量可達雙向萬兆線速，每秒新建連接數達50萬，遠遠高于市面上大多數的UTM及防火墻產品。新建連接數代表設備處理突發事件的能力，例如在DDoS攻擊、蠕蟲爆發等熱點事件發生時，會出現網絡流量陡增，用戶數量激增，單位時間內出現大量正常或不正常連接，這時就需要既能過濾非正常連接，同時又能承受大量的正常請求。換句話說，既能夠抵御非法入侵請求，又不會造成性能瓶頸影響正常業務。只有高性能、高穩定性并可靈活擴展的網關類安全設備才能很好地適應金融、電信、能源等高端行業用戶7*24不間斷的業務應用需求。東軟NISG并發連接數可達到400萬，同樣超過多數獨立形態的安全設備。并發連接數反映了安全設備在同一時間內能夠承受的連接數量。目前開啟一個P2P軟件，其并發的連接數量就可以達到十幾個甚至幾十個。對于校園網、電信城域網這些大型網絡來說，在網絡出口處的并發請求可達到上百萬，并且隨著應用的增多這個數字還在不斷攀升，網關設備只有具備足夠的并發連接處理能力才能充分適應和滿足高端行業用戶網絡環境中的真實需求。

　　Web應用深度防護

　　Web數據流是現在威脅傳播的主要載體。據業內估計，大約50%以上的電腦曾感染間諜軟件，但不足10%的系統在網絡周邊部署了惡意軟件防御措施。基于Web的惡意軟件傳播速度非常快，變種能力也很強，其危害性日益嚴重，因此擁有一個強健的、能夠保護網絡周邊并抵御這些安全威脅侵害的安全平臺就極為重要。東軟NISG的Web防護模塊通過Web流量的深度檢測實現了Web應用的深度防護，提供全面的入侵防御保護。Web防護模塊能在攻擊到達Web服務器之前進行阻斷，防止惡意請求或內置非法程序請求訪問目標應用，主要依靠五大法寶取勝web安全保衛戰，徐松泉解釋說。

　　法寶一：站點隱藏。成功的Web攻擊往往由探測網絡漏洞開始。在網絡上很容易找到漏洞掃描工具對網站的應用程序、服務器、URL等進行掃描。東軟NISG的Web防護模塊提供站點隱藏功能，黑客將無法查看web的源信息，如返回碼、終端服務器的IP等，并且訪問出錯信息也將由Web防護模塊提供，后端服務器的出錯信息不會直接返回給用戶，有效避免了服務器敏感信息的泄露，同時也防止黑客利用出錯信息發動攻擊。

　　法寶二：合規性檢查。東軟NISG的Web防護模塊能夠解碼進入請求是否合法合規，僅允許正確的格式或RFC遵從的請求通過，有效阻止惡意請求或Header、URL中腳本非法植入。另外，Web防護模塊能防御包括如跨站點腳本攻擊、緩沖區溢出攻擊、惡意瀏覽、SQL注入等一系列已知或未知的攻擊。Web防護模塊還能進行Web地址翻譯、請求限制和URL格式定義等。

　　法寶三：HTTP協議方法控制。東軟NISG的Web防護模塊可以限制外部訪問Web服務器所使用的HTTP方法，包括：GET、POST、DELETE、HEAD、CONNECT、TRACE、PUT等。同時，它可以設定可信訪問客戶端IP(白名單)而跳過安全策略規則的檢測;設定非法訪問客戶端(黑名單)直接禁止其任何對WEB服務器的訪問。此外，用戶還能夠根據業務需求，針對某些關鍵字、數據段長度等相關信息自定義安全過濾規則。

　　法寶四：默認安全策略。東軟NISG的Web防護模塊提供默認的安全策略對Web網站或應用進行嚴格的保護。每個策略分為若干子策略，包括：HTTP協議合規性、SQL注入阻斷、跨站點腳本攻擊防護、DoS攻擊防護、請求包大小限制等。

　　法寶五：個性化安全策略。除了默認的策略外，用戶還可以創建個性化的安全策略，如限制HTTP請求Head大小、丟棄超過規定大小的請求、避免惡意代碼通過等。

　　利用先進的對象解析和導向技術，東軟NISG的Web防護可以在多個層次上提供反惡意軟件掃描引擎。通過對內容應用的深入檢查及網絡層的模式檢測，實現進站和出站活動的雙向檢查，高效防范包括廣告軟件、瀏覽器黑客、釣魚、網址嫁接攻擊等多種安全威脅，保障網絡數據流的全面安全。另外，利用東軟NISG的Web防護模塊執行可接受的Web使用政策能夠培養員工的風險防范意識，強化風險防范教育，激勵合規操作，減少對網絡和帶寬的誤用和濫用。

　　DDoS攻擊防御有道

　　徐松泉介紹到，東軟NISG集成DDoS防護功能，主要包括以下幾個方面：

　　1.漏洞防護：保護服務器不受攻擊者利用已知漏洞進行攻擊;

　　2.木馬防護：阻止木馬程序入侵PC使其變成“僵尸主機”;

　　3.帶寬防護：保護網絡不受ICMP、TCP 或UDP 等數據包洪水攻擊的影響;

　　4.針對具體的DDoS攻擊的防護：如SYN Proxy防護功能。

　　通過以上四個不同層次的防御，東軟NISG可以將DDoS攻擊拒之門外。以SYN Flood 攻擊為例，東軟NISG可以起到代理服務器的作用，生成SYN/ACK 數據包并將它作為應答傳給請求者，并等候返回的ACK 數據包。當收到請求者的ACK 數據包后，東軟NISG將把三次的“握手”過程“回放”給接收端。如果是一個攻擊者發起的請求，不會完成TCP 的“三次握手”，就不會由數據包傳向目標服務器，避免了連接資源的占用。即使是正常的TCP連接建立，東軟NISG也會持續監視數據和連接，確保服務器始終處于安全狀態下。

　　東軟NISG還可以實現“反攻擊”效果。當NISG的SYN COOKIE被設置啟用后，端口掃描軟件進行掃描時會顯示所有端口都處于開放狀態。由于端口數量過多甚至會造成掃描程序的假死狀況，而假死的原因是LISTBOX的空間最多只能顯示65535行。如果所有端口全部開放，最終顯示的端口列表將超過控件上限而導致掃描程序的假死，由于所有端口都顯示開放，也就讓攻擊者無從下手了。

　　安全與管理兩手抓

　　我們常說安全和管理密不可分，當記者問到東軟NISG設計之初是否有運維管理方面的考慮時，徐松泉表示，東軟NISG支持集中管理功能，大大降低了大型網絡部署的維護和控制難度。以日常審計為例，通過東軟NISG的集中管理系統，用戶可以一次性完成對所有被管理設備的日志審計工作。另外，東軟NISG的集中管理中心可以收集設備上的數據，實時監控當前網絡流量，對網絡使用率進行全面的統計與分析，并生成網絡流量監控圖表，有助實現網絡性能的優化與提升。

　　東軟NISG通常部署在關鍵的網關位置，因此對穩定性的要求極高。在可用性設計方面，東軟NetEye也有著充分的考慮：支持多鏈路接入，這樣部分鏈路的損壞就不會影響到其他鏈路，并可以將故障鏈路的流量轉移到其它鏈路上;重要物理部件的實時監控，可以在出現故障時進行實時報警;支持電源等重要部件的熱插拔;具備冗余電源;支持接口BYPASS功能等等。

　　東軟NetEye集成安全網關NISG采用突破性的Nelahem多核處理器架構與全新的攻擊檢測防御手段，將新一代統一威脅管理(UTM)與實時深度包檢測相結合，具備全面的攻擊防御能力、強大的Web及DDoS防護能力，在安全性和性能方面大大超越傳統UTM解決方案，令人不得不對其在市場上的表現足夠關注、充滿期待。

文章作者：國脈電子政務網