近日,东软集团正式发布160G高性能下一代防火墙NISG 7000-XII。该产品依托东软自身技术优势与近二十年的网络安全行业积累,针对运营商、金融、大型行业客户数据中心等超大规模业务应用场景而设计,旨在帮助大型行业客户完成数据中心边界的安全防护和应用安全管控。
随着云计算、移动互联网等技术的发展,大型机构的数据中心已经成为企业的核心竞争力。但同时,数据中心所承载的IT设施和数据业务也成为了各种网络攻击的焦点。三层转发性能和应用层检测性能的不匹配,使高流量下无法完整地进行应用控制、IPS检测等,而75%的安全风险来自于应用层流量,于是安全功能大打折扣,这是传统“高性能”UTM/NGFW面临的尴尬处境。那么,安全设备如何做到没有性能妥协,同时保障业务操作顺畅无忧?企业应用越来越丰富,如何提升数据中心网络的可控性与可视性?据悉,东软此次推出的NISG7000-XII产品,目的正是帮助客户在复杂的业务流量下,构建高性能的新型安全防护机制。
依靠针对数据中心业务流量特征设计的Rocky高速并行计算架构,东软NetEye NISG7000-XII具备160Gbps防火墙吞吐量、160Gbps的应用识别与控制吞吐量、每秒600,000新建应用层会话,以及30,000,000的应用层并发会话,是真正的高性能下一代应用防火墙。同时,在Rocky高速并行计算架构下重新调校的智能IPS引擎,更将东软NetEyeNISG7000-XII的IPS检测能力提升到了80Gbps的水平,完全满足数据中心在高带宽、高并发下,对复杂应用数据进行安全检测和管控的需求。
为数据中心而生的高速并行计算架构
Rocky高速并行计算架构,是东软网络安全基于IntelDPDK技术和东软安全操作系统NOS针对数据中心流量特性而设计的安全架构。通过对网络接口行为的重构,支持基于流的多核负载分配,确保全局无锁化,保证多核高速并行计算的性能。另一方面,通过NOS自主设计的调度系统,解决了上下文切换带来的巨大开销,以及Cache失效带来的性能丢失,确保每次数据访存都能命中Cache,极大地提升了性能;通过重构文件系统的方式,大大优化了I/O操作的性能,并根据需求改变I/O行为,保证块模式扫描性能得到提升。
智能IPS引擎
NEL引擎是东软拥有完整自主知识产权和多项国家及国际专利的IPS检测引擎,此次NISG 7000-XII沿用了NEL强大的攻击事件描述能力和强大的扩展性,也对其检测机制进行了调优。采用基于以位并行(Bit Parallelism)和q-grams作为技术基础并改进的模式匹配算法,通过概率计算预测运行效果,对模式集进行合理统筹分组,更智能优化了过滤效果。通过多层过滤技术加速检测。首先从高速流量当中快速锁定有潜在威胁的数据区域,然后通过逐层局部放大的方式进行深入检查,大幅提升了检测效率的同时,也能够准确识别攻击数据。同时,各层次过滤条件可以根据实际网络流量实时调优,达到最高检测性能。
强大的灾备能力
作为数据中心网络边界的下一代防火墙,东软NetEyeNISG 7000-XII具备全方位的灾备处理能力。在硬件设计上,系统采用双电源设计、网络接口硬件Bypass设计。在极端硬件故障情况下,保障数据业务的连贯性。在软件功能上,东软NetEyeNISG 7000-XII支持多系统、冗余接口、VPN冗余网关、链路备份、负载均衡、主-主模式热备、主-备模式热备等多种灾备解决方案,保证应用访问业务的连续性,增强运营的可靠性。
高密度接口
东软NetEyeNISG7000-XII可以通过选配达到最大单板配置为32个10GE接口或64个GE接口,同时支持40GE接口的选配。多种的接口配置使其更易于部署在数据中心网络中。
完整的下一代防火墙功能
区别于传统防火墙智能识别端口和IP地址,东软NetEye NISG7000-XII可以实现基于应用、用户以及内容的识别与控制,能够有效识别超过2000种互联网应用。值得一提的是,依靠东软集团多年丰富的大型行业IT解决方案建设经验,东软NetEye NISG 7000-XII对大型行业客户数据中心的复杂业务,有着更胜一筹的分析理解和识别能力,可以协助客户真正地实现数据业务的可视化管理。此外,东软NetEye NISG7000-XII可提供完整的防病毒、反垃圾邮件、URL过滤、防DDoS攻击等功能,有效保障数据中心的资产安全。