| ||||
| 件防火墙系统。第三代基于ASIC和NP架构的防火墙可以实现高性能的网络安全防护,对于应用层的安全防护无能为力,应用层完全依靠通用CPU进行处理,包括目前流行的UTM产品,一旦打开应用层安全防护功能,如P2P/IM安全控制、IPS、Web过滤、防病毒以及防垃圾邮件等内容过滤功能,性能会急剧下降,无法满足用户实际的网络安全需求。 Hillstone全线产品采用了创新的新一代网络安全架构,硬件平台采用64位高性能的多核网络专用处理器Multi-Core CPU(多达16核),内部传输采用高达48-480Gbps高速交换总线,同时高端产品采用多核处理器和新一代高性能专用ASIC处理器,其网络安全的处理能力达到了一个新的起点:比如,安全产品中重要参数之一的每秒新建会话数是目前业界最高性能的基于ASIC和NP架构安全产品的5到10倍,达到每秒20万的TCP会话创建速率。64位专用高性能多核处理器的多核并行处理能力为应用层内容安全功能提供了强大的保障,同时又避免了纯ASIC和NP安全系统对会话可管理能力和流量控制能力弱的弊病。由于新一代64位多核处理器Multi-Core CPU集成了IPSec VPN、SSL VPN、TCP、QoS、压缩/解压缩以及其他安全功能的芯片级硬件加速功能,使得Hillstone产品具有强大高效的VPN和应用层安全处理能力。采用创新的新一代网络安全架构的Hillstone产品提供了更高、更可靠、更稳定和更安全的综合处理能力,开创了新一代网络安全的新纪元。 | ||||
 | ||||
|
新一代网络安全架构 |
面向用户的网络服务
安全网关的网络服务主要是访问控制以及网络资源的分配。传统的网络服务以IP地址为对象,Hillstone SA系列安全网关在继承这种面向IP的网络服务模式的同时,也创新地提供了以用户为对象的全新的网络服务模式。
以IP为对象的网络服务只能做到静态地对网络和应用进行访问控制和资源分配,但是这样的模式有两大问题,一、IP地址本身是不可靠,IP地址是可盗用或者冒用的。二,IP地址在网络中也经常需要变更。电子业务平台需要更灵活的IP分配方式,但这会与传统的基于IP为对象 访问控制模式冲突。用户不得不在业务灵活性与安全性做选择。以用户为对象的网络服务完全提供的服务完全是动态的,可以完美地解决以上两个问题。
以IP为对象的网络服务只能做到静态地对网络和应用进行访问控制和资源分配,但是这样的模式有两大问题,一、IP地址本身是不可靠,IP地址是可盗用或者冒用的。二,IP地址在网络中也经常需要变更。电子业务平台需要更灵活的IP分配方式,但这会与传统的基于IP为对象 访问控制模式冲突。用户不得不在业务灵活性与安全性做选择。以用户为对象的网络服务完全提供的服务完全是动态的,可以完美地解决以上两个问题。
与传统的以IP为对象的网络服务模式相比,面向用户的网络服务(RBNS)模式可以对通过访问者身份审核和确认,确定访问者的访问权限,分配的网络资源,在技术上可避免IP盗用或者PC终端被盗用从而使得带来的从访问控制的力度上来说,面向用户的访问控制模式在控制力度更加严密,面向用户访问控制方式的审计结果也可为追踪和定位非法访问者身份提供依据,安全防护的效果更好。从分配资源的角度来说,面向用户的分配方式更加精细,可更使用户更合理更细腻地利用网络资源。
下表为面向IP网络服务与面向用户网络服务的主要区别
|
|
面向IP的网络服务 |
面向用户的网络服务 |
|
访问控制网络资源配置方式 |
静态 |
动态 |
|
访问控制粒度 |
访问权限控制到IP地址 |
访问权限控制到“人”和应用 |
|
审计与追踪 |
记录到IP地址, |
记录到“责任人” |
|
网络带宽资源 |
分配到IP地址或者IP段 |
分配到“人”或者“某一部门”与应用 |
高 性 能
| ||||
| 多达16核的专用64位MIPS处理器具有强大的应用层安全处理能力,众所周知,应用层安全的效率很大程度上依赖于CPU的处理能力,即使基于ASIC/NP架构的安全系统一旦要处理应用层的数据也必须依赖于CPU,而目前安全产品在CPU资源上有很大瓶颈,因此有些厂商已经放弃ASIC/NP架构而采用纯CPU的架构。纯CPU的架构在应用安全方面有了提高,但又丧失了ASIC架构所具有的网络层数据处理的高效性。Hillstone采用多核处理器和专用新一代ASIC处理器架构,使得该硬件架构充分考虑到了应用安全和网络安全的平衡,在某些性能指标上有了质的飞越,如作为安全网络产品重要指标之一的每秒新建连接数最高达到了20万/秒,同时结合内部高速交换总线和多核64位专用处理器,Hillstone系列产品具有了强大的应用安全处理能力和可扩展能力,为集成更多的应用安全提供了强大的资源保障。 |
专用实时64位并行安全操作系统StoneOS
Hillstone全线产品采用专用多线程实时64位并行操作系统,多线程的并行处理能力和模块化的结构易于集成和扩展安全功能,专用的安全加固的64位操作系统针对新一代多核处理器安全架构进行了全面的优化和安全加固,极大地提高了系统的处理效率、系统稳定性和安全性。模块化和多线程的处理机制,为Hillstone新一代的
网络安全系统提供了极大的可扩展能力,包括支持更多核处理器和集成更多安全功能。
众所周知,操作系统是整个安全设备的核心和基础,安全产品的操作系统必须具有很强的抗攻击能力,而基于软件的安全系统采用的是通用的操作系统,通用操作系统会暴露大量的操作系统漏洞,安全系统再强大,操作系统的漏洞会直接导致这个系统的崩溃。
目前,专用定制的操作系统被广泛采用。Hillstone系列产品均采用定制的专用操作系统StoneOS。StoneOS具有64位实时并行处理能力,其核心针对Hillstone硬件产品进行了全面优化,使得系统具有更高的处理效率和稳定性。模块化的系统结构易于集成更多的安全功能,系统具有极强的伸缩性和可扩展性。任何独立的安全模块出现问题都不会影响整个系统的运行。
 |
|
StoneOS产品系统架构 |
发表评论 评论 (0 个评论)