【51CTO.com 獨家特稿】在過去的十年中，以防火墻為主的安全防御體系得到了廣泛的應(yīng)用，但是，歷史曾無數(shù)次證明，隨著企業(yè)合理安全規(guī)劃的失誤和缺失，即便是部署了傳統(tǒng)防火墻，CSO和IT經(jīng)理們驚訝的發(fā)現(xiàn)，入侵依然時有發(fā)生，這不僅是因為受到多方的攻擊，更重要的是黑客越來越傾向于針對應(yīng)用程序的攻擊。

事實上，那些認為通過防火墻進行訪問控制就可以抵御絕大部分攻擊的想法，已經(jīng)不適合如今的網(wǎng)絡(luò)安全現(xiàn)狀了。越來越多的黑客不在乎防火墻關(guān)閉了多少端口，他們的目標直指防火墻一般都打開的端口——80和443等，比如通過HTTP攜帶惡意數(shù)據(jù)進行跨站腳本攻擊等，或者將P2P通信應(yīng)用在80端口上或干脆直接封包在HTTP協(xié)議中，而黑客完全可以通過未經(jīng)授權(quán)的P2P通信進入企業(yè)網(wǎng)絡(luò)內(nèi)部。

留給CSO們的問題也再清楚不過了，是淘汰防火墻更換其他邊界安全防護設(shè)備呢？還是改進傳統(tǒng)的防火墻，使之能夠不斷應(yīng)對新的安全威脅？

為了解答上述疑惑，我們不妨先來看是否淘汰防火墻的問題，目前業(yè)內(nèi)普遍認為，防火墻不會消失，只會性能提升，功能改進。事實是最好的真理，下面兩個案例就能充分說明防火墻為什么不會消失：

圖1

這是一種常用的安全組網(wǎng)方式，把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)通過防火墻隔離開，通過在防火墻上采用各種技術(shù)，來防止外部網(wǎng)絡(luò)的不安全因素進入內(nèi)部網(wǎng)絡(luò)。在這種組網(wǎng)中，內(nèi)部網(wǎng)絡(luò)是不對外開放的區(qū)域，它不對外提供任何服務(wù)，所以外部用戶檢測不到它的IP地址，也難以對其進行攻擊。通過防火墻的代理功能，內(nèi)部網(wǎng)絡(luò)用戶可以正常訪問Internet。

圖中的DMZ區(qū)，對外提供各種服務(wù)，如網(wǎng)頁瀏覽、郵件、FTP……等，換句話說，DMZ區(qū)的系統(tǒng)是對外開發(fā)的信息平臺，正因為這樣，才使這個區(qū)域成為黑客攻擊的首要目標，但由于它與內(nèi)部網(wǎng)絡(luò)是隔離的，所以即使受到了攻擊，也不會危及內(nèi)部網(wǎng)絡(luò)的安全。

圖2的這種組網(wǎng)比較適用于有跨地域業(yè)務(wù)的企業(yè)，其中內(nèi)網(wǎng)和Internet的互訪與圖1一樣，只是增加了內(nèi)部網(wǎng)絡(luò)與外界的聯(lián)系。除了經(jīng)由防火墻訪問外部網(wǎng)絡(luò)外，內(nèi)部網(wǎng)絡(luò)不與Internet發(fā)生任何聯(lián)系，通過和路由器采取的安全技術(shù)相配合，就保證了內(nèi)網(wǎng)的安全，相比之下，這種組網(wǎng)方式要比圖1的安全性更強。

由此可見，防火墻的應(yīng)用不僅僅是抵御網(wǎng)絡(luò)層的攻擊，更重要的是整個安全策略中的一個非常重要的環(huán)節(jié)，因此，防火墻不可或缺。

但CSO們面臨的問題還是沒有解決。這也給新一代防火墻，或者說新一代安全網(wǎng)關(guān)的發(fā)展提出了嚴峻挑戰(zhàn)。在防火墻技術(shù)的演進中，作為擁有我國自主知識產(chǎn)權(quán)的天融信公司，給我們提出了新的防火墻概念：X3-CyberSecX。

所謂X3-CyberSec是指：X-Service、X-Management、以及X-Wall。天融信認為，安全防御應(yīng)該是立體的，不應(yīng)單靠某一產(chǎn)品，強調(diào)在三個維度上的能力的打造，塑造業(yè)務(wù)系統(tǒng)的防護能力、管理能力和運維能力。通過對安全防護技術(shù)的整合和部署、全局化的安全態(tài)勢感知、以及安全策略的統(tǒng)一制定，借助集中統(tǒng)一的安全管理和策略下發(fā)、以及各種安全部件對策略的執(zhí)行，實現(xiàn)防護能力和管理能力的提升，借助業(yè)務(wù)生命周期的系列服務(wù)，保持業(yè)務(wù)系統(tǒng)的持續(xù)安全和持續(xù)優(yōu)化。

在經(jīng)歷了單CPU、到NP技術(shù)、到ASIC與FPGA協(xié)處理技術(shù)、到多核技術(shù)的探索之后，采用多核多級處理器的超百G安全網(wǎng)關(guān)——“擎天”，在天融信安全研發(fā)團隊的努力下，即將面市。

據(jù)天融信公司介紹，“擎天”繼承了網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)的功能優(yōu)勢，采用業(yè)界領(lǐng)先的TMC架構(gòu)，可以實現(xiàn)性能上的多級擴展，隨需擴展安全動力，整機性能超100G，真正實現(xiàn)安全網(wǎng)關(guān)處理性能從超萬兆到超百G的跨越。再加上動態(tài)自適應(yīng)負載均衡保障服務(wù)的連續(xù)性，完備的全網(wǎng)安全控制功能構(gòu)建完整可信的網(wǎng)絡(luò)平臺，通暢的無縫切換降低斷網(wǎng)幾率和故障恢復(fù)時間，綠色、節(jié)能、可持續(xù)應(yīng)用等特點更節(jié)省數(shù)據(jù)中心空間，真正實現(xiàn)了低成本購買產(chǎn)品高回報反饋用戶的設(shè)計思路。“擎天”自身的高性能特點將為云計算中心或大型數(shù)據(jù)中心撐起一片安全的天空?！扒嫣臁睂槟木W(wǎng)絡(luò)和業(yè)務(wù)帶來真正可靠、可信、全方位的保障服務(wù)。

網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)集成了防火墻、IPSEC VPN、SSL VPN、帶寬管理、防病毒、入侵防御、內(nèi)容過濾等多種安全功能；用戶可根據(jù)實際需求靈活選擇針對行業(yè)應(yīng)用特點及不同性能的產(chǎn)品。據(jù)天融信公司統(tǒng)計：遍布全國兩萬九千多個主干網(wǎng)和業(yè)務(wù)網(wǎng)在天融信TOPSEC平臺保護下平穩(wěn)運行。

“擎天”采用采用真正模塊化設(shè)計思路，TMC架構(gòu)中的各模塊卡相互獨立，可以隨業(yè)務(wù)流量的需要任意擴展，而且擁有多項國家重點專利技術(shù)。而整機的三個層面：管理控制層面、數(shù)據(jù)轉(zhuǎn)發(fā)層面、安全動力層面構(gòu)成了全面的“一機三層面”立體防護系統(tǒng)。再加上自我保護能力極強的安全處理卡，以及具有完全自主知識產(chǎn)權(quán)的TOS (Topsec Operating System)安全操作系統(tǒng)，擺脫以往的直接處理理念，更多使用中間層架構(gòu)，減少了系統(tǒng)對硬件的依賴性。同時，多種安全引擎有效保障了訪問控制、內(nèi)容過濾、帶寬管理、抗攻擊等功能的安全性。
 
擎天的的很多亮點中，有幾個值得我們注意：
●多核多級，整機超百G
“擎天”安全處理卡具有8個處理內(nèi)核，每個處理內(nèi)核支持4個硬件線程，相當于4×8=32個單線程CPU，擁有高速的數(shù)據(jù)傳輸和轉(zhuǎn)發(fā)能力。整機多個安全處理卡即可實現(xiàn)多級多核的處理能力，性能遠遠超越其他單一多核產(chǎn)品。同時，擁有高速的交換背板，可以提供超100G的吞吐量，支持所有端口L2/L3線速轉(zhuǎn)發(fā)，完成安全網(wǎng)關(guān)處理性能從超萬兆到超百G的跨越。

正是這一點，完全可以滿足運營商級別安全需求。也奠定了擎天系列新一代防火墻的用戶市場，一定是大型或超大型機構(gòu)。

●性能擴展?jié)M足可持續(xù)應(yīng)用需求
“擎天”各模塊卡均相互獨立，且均支持熱插拔。整機性能、端口密度、安全功能等模塊均可擴展，并且所有的擴展可以簡單的通過增加模塊卡的方式進行，對網(wǎng)絡(luò)結(jié)構(gòu)幾乎沒有影響，也無須對系統(tǒng)進行徹底的升級，如此一來就可以滿足用戶不斷變化的需求。

由于良好的可擴展性設(shè)計，使得X-Firewall的理念得以實現(xiàn)，真正做到了“我一顆螺絲釘，哪里需要往哪里擰”。

●動態(tài)自適應(yīng)負載均衡，保障服務(wù)的連續(xù)性
當多安全處理卡運行時，可自動實現(xiàn)多安全處理卡安全應(yīng)用的負載均衡功能。系統(tǒng)如果檢測到有備份的安全處理卡，會將會話自動同步到備份安全處理卡上，實現(xiàn)會話備份。如果主安全處理卡出現(xiàn)故障，備份安全處理卡能夠接替主安全處理卡繼續(xù)工作且保證流量不中斷，為用戶提供高可用性和可靠性。

在大型數(shù)據(jù)中心環(huán)境中，能夠利用集群技術(shù)和負載技術(shù)提供安全服務(wù)的產(chǎn)品，在市場中并不多見，這對數(shù)據(jù)中心架構(gòu)變革也產(chǎn)生了重要意義。

●綠色低碳節(jié)能
“擎天”可以在不增加設(shè)備的情況下，通過增加接口卡，整機多接口卡，單安全處理卡等端口輸出，既節(jié)省了交換投入，又在不增加設(shè)備的同時，構(gòu)建綠色環(huán)保網(wǎng)絡(luò)，達到節(jié)省電耗、空間、節(jié)省投資及冷卻等IT成本，滿足節(jié)能減排的政策要求。

現(xiàn)在CSO面前的迷霧終于有了曙光。不過，或許有人還是會問一下，究竟什么事下一代防火墻？在記者看來，所謂下一代防火墻技術(shù)，或者說新一代安全網(wǎng)關(guān)的發(fā)展，一定是走統(tǒng)一平臺，模塊化、智能防護之路。

不過，在目前云計算和虛擬化大興其道的情況下，防火墻技術(shù)還有很大的發(fā)展空間，云內(nèi)的安全、云間的安全、云外的安全，都需要致力于保護企業(yè)安全的商家們花心思仔細研究。雖然在記者采訪結(jié)束后，天融信公司依然沒有透露了擎天——新一代防火墻的上市具體日期，但也表示，將在今年7月份，擎天或許會與大家見面。