安全和性能:两者不可兼得?

本文讲的是安全和性能:两者不可兼得,随着云计算、大数据和移动互联网等新技术的发展,互联网为社会带来进一步的变革。但同时也产生了大量的网络安全问题,主要集中在病毒、蠕虫、恶意代码,网页篡改,垃圾邮件等应用层攻击,传统的防火墙设备采用单一的安全防范技术对上述威胁已经难以应付。2004年,业界提出“统一威胁管理”的概念,即将防病毒、入侵检测和防火墙等安全设备划归统一威胁管理(Unified Threat Management,简称UTM)。虽然UTM集成了多种功能,但如果用户需要同时开启多项功能,其性能下降严重。我们对多家传统UTM厂商的性能参数进行分析,在UTM多种功能开启的应用场景下,对比单纯防火墙应用性能下降达70%~90%不等。而当前,威胁环境前所未有的恶劣,基于应用的防护逐渐成为边界防护的刚性需求,传统UTM已然满足不了应用场景下的应用层防护性能上的需求。对于UTM,我们可以总结为“安全有余、性能不足”。

  安全和性能:两者不可得兼?

  华为在深耕安全10多年后,推出其下一代防火墙产品USG6000系列,实现安全和性能的完美融合,在打开所有威胁防护下,能够实现万兆级的应用层全威胁防御。华为USG6000采用NG-Security硬件平台和智能感知引擎(IAE,Intelligent Awareness Engine)技术,全面覆盖1G-40G应用层防护场景。

  NG-Security硬件平台是华为公司全新一代高性能系列安全产品的硬件平台。NG-Security硬件平台采用“多核MIPS”+“硬件协处理加速”+“高速SwitchFabric”的架构,通过高速总线实现多核CPU与业务处理模块、接口扩展模块之间的通信。NG_Security硬件平台同时进行了冗余设计,提高硬件可靠性。增强了性能和功能的扩展,进一步实现了存储的扩展,满足网络安全设备对本地日志存储的需要。

  1、华为NG-Security硬件平台采用64位高性能新一代多核MIPS平台,MIPS架构基于一种固定长度的定期编码指令集,其精简的指令集、指令与高速数据缓存分层的设计、并发的多级流水线、以及专门为网络报文吞吐所设计的高速接口及DMA能力,结合华为公司电信级的嵌入式实时操作系统,保证了华为下一代墙平台处理的高性能。同时,在NG_Security硬件平台的高端机型,还可多扩展一块CPU处理板,即相当于实现1+1的CPU扩展能力,每颗CPU均为多核MIPS处理器,这样的弹性扩展能力可实现硬件处理能力的翻倍。

  2、华为NG-Security硬件平台集成了IPSec、SSL加解密运算、压缩解压缩、模式匹配、以及硬盘RAID的硬件协处理器。使得本来应该由CPU软件来计算处理的特定、重复的耗费CPU性能的业务,如加解密、压缩解压缩、模式匹配等,由协处理器来完成,其处理能力将有质的飞跃。同时CPU就不需要参与此类复杂计算,对CPU的消耗大大降低,使CPU集中实现擅长的网络报文的处理。

  3、华为NG-Security 硬件平台选用容量达480Gbps的交换芯片作为多核CPU、业务处理模块、扩展接口模块之间的互联总线,高容量的交换总线为模块之间的提供的足够的带宽,保证了各模块之间的业务交换。同时选用高速率的SAS硬盘,支持300GB大容量,为用户提供实时记录日志和报表,减少CPU与外围网管采集软件的交互流量和性能消耗,进一步提高CPU的利用率,并且为用户提供实时大容量的日志和报表记录。

  另外,华为下一代防火墙采用全新架构的智能感知引擎(IAE, Intelligence Aware Engine),通过该项技术,能够实现下一代防火墙的核心安全功能,同时能够带来全功能和高性能的全新用户体验。

  IAE是一体化的内容安全业务处理框架和一系列安全特性或组件的集合,配合各种安全知识库,以及和安全智能中心实时联动,是方便各种产品在其上进行内容安全业务的定制、扩展、集成和快速发布的安全服务程序。 简单来讲:IAE = 安全框架(流+代理) + 安全特性组件 + 配套知识库 + 安全智能中心联动。传统威胁检测引擎根据逐个报文进行威胁特征匹配,这种方式容易造成攻击者逃避检测。IAE摒弃了此种方式,将报文根据会话进行重组,并进行协议解码和特征匹配,更加精准的检测各层协议中的威胁。在检测过程中,基于多核CPU架构,IAE采用了一次解析,多业务并行处理的架构。其核心的应用解析和特征匹配处理由硬件加速模块高速处理,各个安全业务并行的跟踪处理结果并更新状态,当威胁特征的条件都符合时,立即根据安全策略触发响应动作,而当条件不符合时,IAE会自动调整跟踪状态,确保检测安全的流量高速转发。这种架构确保了多种安全业务开启情况下,对整体性能影响最小。

  华为下一代防火墙通过其软硬件的创新,在相同防火墙性能的条件下启用应用威胁防护特性后,性能下降在50%以内,实现真正意义上的万兆全防御性能,达到业界顶尖水平,为客户提供全网络最佳的性能体验。安全和性能两者兼得。

作者:王新

来源:it168网站

原文标题:安全和性能:两者不可兼得?

时间: 2024-08-16 22:03:14

安全和性能:两者不可兼得?的相关文章

阿里云RDS金融数据库(三节点版) - 性能篇

标签 PostgreSQL , MySQL , 三节点版 , 金融数据库 , Raft , 分布式共享存储版 背景 终于到了性能篇,三节点同时满足了企业对数据库的可用性.可靠性的要求,那么性能如何呢? 提到性能测试,我有几点一定要说明一下,很多朋友对性能的理解可能有偏差,那么如何评判性能的好坏呢? 1.首先要明确测试的环境,包括数据库主机(主要包括CPU.内存.网卡,如果你的数据库能用上FPGA.GPU的计算能力,还得算上他们,例如PostgreSQL就可以利用GPU和FPGA进行计算加速.).

浏览器多核概念只是浮云

自从小月月横空出世,大家不由感叹:神马芙蓉姐姐.春哥.凤姐和拜月教主比起来都是浮云.竞争日趋惨烈的浏览器市场也出现了跟小月月一样火爆的新概念"双核浏览器",既然有了双核浏览器,难保大家不会随着Intel.AMD的步伐推出三核.四核乃至八核浏览器,所以我提前把多核浏览器提出来,交互传闻一软在手全部拥有描述的大概就是这样的至高境界. 浏览器为啥要双核?这样的概念是在大家对IE使用的Trident内核落后于主流,稳定性.浏览速度大幅落后于Firefox.Opera.Chrome等第三方选手,

Weex详解:灵活的移动端高性能动态化方案

在2016年4月份的QCon上,阿里巴巴资深总监,淘宝移动平台及新业务事业部.阿里百川负责人庄卓然(花名南天)宣布阿里移动端跨平台开发框架Weex开始内测,并将于6月份开源.在QCon的第二天,阿里技术专家徐凯(花名鬼道)和阿里前端开发专家赵锦江(花名勾股)向参会者做了<Weex--灵活的移动端高性能动态化方案>的演讲,对这一技术方案进行了详细的剖析. 以下为演讲内容的整理: 昨天南天宣布Weex启动开源内测,截至到今天中午,我们统计申请内测用户突破1400人,大家的热烈程度远远超过我们的设想

深度揭秘阿里移动端高性能动态化方案Weex

2016年Qcon大会首日,阿里巴巴资深总监.淘宝移动平台.阿里百川负责人庄卓然宣布移动端高性能动态化方案Weex即时内测,并将于6月开源.此消息一出,群情汹涌,在座的程序猿.攻城狮们纷纷拿起手机扫码,以期第一时间感受Weex的神奇之力. 在第二天的主题分享会上,阿里巴巴前端开发专家赵锦江和技术专家徐凯对Weex进行了深入的解析.以下为演讲速记整理后的成文. 阿里怎么看待移动开发? 目前的移动开发者面临的最大痛点就是面对极其复杂的环境,对此,庄卓然给出一个公式,移动开发的复杂度=应用数量×平台数

APU引导PC产业新突破

"在和合作伙伴交流的时候,我经常发现他们为一件事而苦恼.那就是,传统的计算架构束缚了他们的创意,产品的研发往往是局限在一个既定框架之下." 我们注意到,在市场中性能不均衡的产品比比皆是:有的徒具高端的CPU,却只用非常低端的GPU或干脆采用集成显卡,造成实际应用捉襟见肘:有的为了保证性能强劲不惜工本,结果却因价格高昂而乏人问津:尤其是在HTPC.便携终端等产品中,体积.散热和性能始终无法兼得,导致这类产品虽然有广泛的潜在市场,却一直发展极为缓慢. PC已经不是过去高高在上的高端工具,而

安全与性能可以兼得:优化SSL/TLS保障网站安全

如今,HTTPS更快也更安全,使用HTTPS的企业网站也比以往更多.尽管Web开发人员或网络架构师忙碌依旧,却很难跟上互联网技术的最新发展. 在本文中,笔者将讨论通过SSL保障现代网站安全的最佳方法.现代SSL除了要保障企业网站的安全外,还要兼顾性能.因此,本文会涉及一些有助于提高网站性能的SSL优化方法. 在讨论所谓的最佳方法之前,我们首先看几个SSL和TLS术语.从技术上讲,SSL已经被TLS(传输层安全)协议代替,但是多数人仍将SSL和TLS混称为SSL.除非SSL后有一个版本号,否则此文

密度与性能兼得 杰和四节点服务器推荐

大数据应用的兴起和云计算的快速增长,数据中心的部署也不断扩张.传统服务器往往体积巨大,而大规模计算系统的应用,导致企业常常面临机房空间不足.能耗成本增加等难题.综合资源配置.成本管控.便捷管理.节能环保等要素,兼具密度与性能优势的服务器呼声最高,它在应用与成本中取到了一个平衡点. 在企业数字化转型中,选对服务器产品是关键.杰和科技针对业务快速部署.易于运维.数据安全等需求推出优化架构的四节点服务器,具有高性能.高密度.易维护等出众特点,是企业服务器规模化应用场景的理想选择. 杰和四节点服务器采用

小型企业塔式服务器导购价格与性能兼得

英特尔06年按原计划推出了四核处理器,随着他的大力推广,今天四核处理器已经是遍地开花.服务器开始从单核进入双核,再度进化到标配四核.相关文章中曾提到,四核处理器比单核处理器有4.5倍的性能提升,针对双核而言,则保持功耗不变的情况下,整体性能提升了50%. 然而,对于http://www.aliyun.com/zixun/aggregation/9348.html">小型企业来说,这未必是一件好事.采用新技术的新产品价格都会在一个高价位上运行,特别是服务器会在这一价位上运行相当长的一段时间.

成本与性能兼得 简化Hadoop云部署的高招

对于大数据管理和分析应用程序云服务,用户的关注度正不断增长,而为了应对这一趋势,供应商已经开始努力简化Hadoop的云部署流程,并试图降低云端Hadoop的购买价格. 大数据和云计算现在对于Hadoop供应商和一些大数据技术公司来说,已经变得十分重要.这些公司正在尝试使用新方法,来简化用户部署Hadoop云系统的步骤,并降低用户的部署成本. 例如,Cloudera将计量功能加入其Cloudera Director工具中,以管理构建在Hadoop中的分布式集群.这允许Cloudera用户采用一种基