技术详情
一、成果简介
当前网络安全技术发展的主流是向全息安全(Holistic Security)发展。无论是网关与端点的结合即网络准入控制(Network Admission Control),还是入侵防御与泄露防范(Information Leakage Prevention)的共生,无论是无线与有线兼容,亦或信息安全与数据安全的结合,都是安全防护技术一体化和集成化在不同侧面的具体表现。在这一发展潮流之中,传统的安全网关也从单纯防火墙的边界保护(perimeter protection)门卫角色,发展到统一威胁管理(UTM)的区域保护(local protection)首领地位,不但监控经过的各类流量,而且监控邻域以致虚拟邻域的终端、应用和数据。本项目将自主知识产权的专利技术研究与成熟的工程队伍和技术创新机制相结合,研制了基于软硬件协同的应用系统,具有完善的多层次协议分析与过滤能力;具备细粒度访问控制、入侵检测和防御、防病毒、VPN、反垃圾邮件、内容过滤、流量监控、安全策略统一部署等安全能力。
二、技术指标
1、系统吞吐量:20Gbps;
2、启用安全能力时,性能达到 10Gbps;
清华大学科技成果重点推广项目
1、支持 1000 万个并发会话;
2、IPSEC VPN:1Gbps;
3、主动式高可用性(HA)和冗余组件,如双重热交换电源,以提高可恢复性和网络
可靠性;
4、支持热插拔;
5、全面支持 802.1Q,支持最多 1024×2 个 VLAN;
6、支持访问控制的规则数:10K;
7、支持系统审计、日志管理;
8、设备管理方式支持:Web 管理、CLI/SSH 管理、SNMP 管理等;
9、加密算法支持:DES,3DES, AES,可扩展使用国内的专用算法。
三、应用说明
本系统采用软硬件相结合的集众多安全功能于一身的高性能一体化 10GUTM 设备,适用于骨干网、校园网、大型企业网,能够为净化网络环境,构建和谐社会提供网络安全平台。
四、效益分析
由于单台设备能够承受超过20G 的系统吞吐量、10G 的安全能力、7G 的内容过滤流量,依照电信2M 上网带宽的标准,可以为电信提供至少3500 个用户的接入,效益十分可观。对于企业来说,通过高性能UTM 的内容过滤,将大大降低遭受病毒、垃圾、钓鱼等攻击的危险性,为企业良好的网络运行提供了有力的保障。
在UTM 领域,内容过滤的准确度、内容过滤性能提高和协议兼容性是应用层处理所面临的共同问题。例如NAI-McAfee 的防病毒网关每秒最多只能处理几十个电子邮件,防垃圾邮件处理能力性能更低,其他厂家针对性能的提高提出了各种方案,将性能提升到上百封的处理能力,但是如何解决慢速网络连接下的协议兼容性和流畅性并未得到改善,局部性能的提高,并不能在整体上带来好的用户体验。再比如,在http 协议的处理上,传统代理架构的方式必将被淘汰,就算在内容过滤上能够做到每秒上G 的性能,但是代理过程的延时几乎没有用户可以接受,如何在流的方式下提高并行处理能力,如何在协议允许的范围内提高反馈能力,都是需要值得延伸的技术研究。应用层安全网关功能的发展呼唤着新的软硬件解决方案,像Tarari 这样专门从事内容过滤(特别是XML 处理)芯片设计的厂商将在短期内增多并大有用武之地。总之,安全功能在OSI 协议架构单层上的集成正在完成,多层间的集成未艾,并需要有新的硬件平台和软件实现来突破性能瓶颈。当前最重要的目标是带动国产UTM 性能上突破10Gbps,从而推动国产高端UTM 产品的成熟和完善,提高国产高端UTM 产品的市场竞争力,使自主知识产权的国产UTM 在高端市场上逐步占据主导地位,满足国内迅速增长的网络安全产品市场需求,为建设我国信息安全框架提供基础产品,更好地保障我国网络信息安全。
