新一代网关架构内容与网络安全的融合
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
新一代网关架构内容与网络安全的融合
近日,卫士通公司结合网络安全技术发展现状及市场需求,提出了开发新一代安全网关(New-qeneration seCur5ty GateWay,NGsG)的指导思想:采用内容加速硬件,在保证网络通信质量的前提下,增加内容安全功能,提升安全的控制粒度和广度,保证内容安全和网络安全,同时提供灵活的管理和网络部署特性。
新一代安全网关在内容安全方面以内容过滤、行为监控功能为主,提供Web页面的内容过滤、邮件内容过滤、URL 地址过滤、病毒过滤、垃圾邮件过滤、行为识别与控制(对QQ、MSN、SKYPE、BT、edonkey、迅雷等常用的IM工具和P2P工具的监控等)、行为记录与审计等功能;在网络安全方面提供访问控制、流量控制、NAT、IPSECVPN、SSL VPN、IP MAC 绑定、身份认证功能等。在管理方面采用灵活多样的方式,支持集中和分布式相结合的部署方式,可以通过安全管理平台进行统一管理,也可以通过B/S方式进行无客户端的管理。
新一代安全网关(NGsG)的处理机制
NGSG包含了如图1所示的组成部分。整个系统采用层
次结构,在通用的安全架构基础上增加了内容过滤加速模块和密码加速模块。
采用通用X86硬件平台架构,当添加大量内容过滤规则、开启网络行为识别与记录后,系统的处理能力就会急剧下降,会严重影响网络的通信质量,但不启用这些功能又会形成严重的安全隐患。解决方法就是采用基于全包多任务并行内容查询与过滤的加速模块,其简单结构如图2。它不仅能够实
现常用的基于协议、IP地址、服务端口的访问控制功能,还能够实现基于报文特征和内容字段的全包查询功能,将CPU 从繁忙的规则匹配、内容匹配中释放出来,更好地为复杂的分析、处理和调度功能服务。网络报文在该系统中的处理过程如下:CPU将收到的报文通过Memory和SCFC(special ContentFilter Channels)发送给CFC(ContentFilter Core),CFC将查询的结果信息通过SCFC返回给CPU,根据结果信息,CPU 对报文作后续的处理(状态刷新、地址转换、记录日志等),
高速地完成报文转发。
强大的加解密功能也是这款设备的亮点之一。结合IP加密处理技术,实现了内容过滤模块与IP加密模块的有机融合,达到内容过滤与IP加密双加速的目的,在充分保证内容安全
和通信安全的前提下提供了高质量的通信带宽保障。为了保证处理的效率,内容过滤加速模块只对加密前和解密后的报文作内容安全处理。
如图3是一个NGSG的典型应用场景。Intranetl和Intranet2是分布于不同地域的有上下级关系的内部网络,分别部署了NGSGl和NGSG2,都安装了统一安全管理平台和行为记录与审计服务器。NGSGl与NGSG2之间通过建立高速的VPN通信通道,保证两个内网间的业务通信过程安全(机密、完整、有效);配合高速内容过滤模块,保证内网与内网间、内网与外网间的内容安全,同时保证内部的重要内容通过网络可控传送。NGSG2行为记录信息可发送给上级行为记录与审计服务器NGSGl,同时本地保留相同记录信息,保证上级对下级的上网行为进行监视、审计和管理。同时,上级通过安全管理平台,可以对下级NGSG2进行配置管理或状态查询等操作,保证了上级可对下级上网行为进行控制。
NGSG提供了完善而快速的网络安全、内容安全功能,还提供详细的内容、行为记录与审计功能,不但能保障网络安全和内容安全,而其还能遵从相关的法规要求。NGSG将网络安全与内容安全高性能的有机地融合,为客户提供了高附加值的信息安全产品和解决方案,对于日趋复杂的信息安全需求具有重大意义。