NGFW系列产品基于天融信公司10年高品质安全产品开发经验结晶的NGTOS系统架构,采用了多项突破性技术。基于分层的设计思想,天融信公司通过长期的安全产品研发经验,分析多种安全硬件平台技术的差异,创造性地提出在硬件和操作系统内核层之间引入硬件抽象层。基于硬件抽象技术,使得NGTOS能适应各种硬件体系平台,并充分利用多种计算技术的优点。通过完善的系统结构设计,使NGTOS对比业界通常使用的其它系统具有如下特性:
高效、可靠的基础系统
NGTOS高效转发系统提供的多任务机制中对任务的控制采用了优先级抢占(Preemptive Priority Scheduling)和轮转调度(Round-Robin Scheduling)机制,充分保证了可靠的实时性,使同样的硬件配置能满足更强的实时性要求,为应用的开发留下更大的余地。同时,采用专为报文转发设计实现的系统,与通用操作系统相比,内容更精简,稳定性、可靠性更高。
应用安全精细识别与控制
NGTOS能够精确的识别12大类,超过400种当今互联网中常见和流行的网络协议,而这些协议的识别,并不是像传统防火墙中依赖端口号来简单的区分应用。天融信组建了一支专业的协议分析团队,密切的跟踪互联网应用协议的变化动态,及时的更新设备内置的应用协议特征库。在业界通用的单包特征匹配方法(DPI)之外,天融信还独创行为识别方法(DFI),通过的报文地址、端口、长度、数量,以及多个会话间的关联关系,来识别很多种特征并不明显或特征经常发生变化的协议,例如一些P2P应用和加密协议。
内容安全策略完美整合
由于传统防火墙基于五元组的访问控制机制无法应对各种复杂的网络应用,因此,NGTOS中的安全策略整合了用户身份、应用识别与控制、IPS、AV、URL过滤、垃圾邮件过滤、流量控制等等多种安全特性,从而构建了全方位立体化的安全防御体系。而这些安全已经实现单一引擎处理和联动,例如入侵防御功能侦测到的威胁可以自动加载到防火墙规则内,在网络层就能提前阻断。它们之间已经不仅仅再是互动关系,而是一个整体。
高性能平台
据测算,到2015年通过网络处理的数据量将比目前增长4倍,这对网络设备的性能提出了更高要求。天融信NGTOS基于先进的SmartAMP并行处理架构,内置处理器动态负载均衡专利技术,结合独创的SecDFA核心加速算法,保证了在NGFW产品中开启全特征和全部流量的情况下,整机的转发性能并不受明显的影响。与此同时,天融信通过此次与Intel的合作,利用Intel数据层高速处理技术将数据包处理解决方案快速迁移到最新的英特尔架构平台上,以获得最优性能。Intel数据层高速处理技术是一套用于高速网络的数据平面库,与Intel多核平台合而为一,可获得更高的数据包处理能力。通过将天融信NGTOS与Intel数据层高速处理技术进行有效整合,使天融信NGFW系列产品单安全引擎板网络吞吐性能达到40Gbps,而在天融信并行多级的硬件架构下通过部署多安全引擎将使NGFW旗舰机型整机吞吐达到320Gbps。
原文地址:https://www.cnblogs.com/hshy/p/11875891.html