隨著云計算����、移動互聯網等技術的發(fā)展,大型機構的數據中心已經成為企業(yè)的核心競爭力�����。但同時��,數據中心所承載的IT設施和數據業(yè)務也成為了各種網絡攻擊的焦點�。三層轉發(fā)性能和應用層檢測性能的不匹配,使高流量下無法完整地進行應用控制���、IPS檢測等�����,而75%的安全風險來自于應用層流量��,于是安全功能大打折扣���,這是傳統“高性能”UTM/NGFW面臨的尷尬處境����。那么�,安全設備如何做到沒有性能妥協,同時保障業(yè)務操作順暢無憂�?企業(yè)應用越來越豐富,如何提升數據中心網絡的可控性與可視性��?據悉����,東軟此次推出的NISG7000-XII產品,目的正是幫助客戶在復雜的業(yè)務流量下���,構建高性能的新型安全防護機制�����。
依靠針對數據中心業(yè)務流量特征設計的Rocky高速并行計算架構�����,東軟NetEye NISG7000-XII具備160Gbps防火墻吞吐量�����、160Gbps的應用識別與控制吞吐量�、每秒600,000新建應用層會話���,以及30,000,000的應用層并發(fā)會話�,是真正的高性能下一代應用防火墻��。同時����,在Rocky高速并行計算架構下重新調校的智能IPS引擎,更將東軟NetEyeNISG7000-XII的IPS檢測能力提升到了80Gbps的水平����,完全滿足數據中心在高帶寬、高并發(fā)下,對復雜應用數據進行安全檢測和管控的需求��。
為數據中心而生的高速并行計算架構
Rocky高速并行計算架構��,是東軟網絡安全基于Intel DPDK技術和東軟安全操作系統NOS針對數據中心流量特性而設計的安全架構�。通過對網絡接口行為的重構,支持基于流的多核負載分配���,確保全局無鎖化�����,保證多核高速并行計算的性能��。另一方面����,通過NOS自主設計的調度系統��,解決了上下文切換帶來的巨大開銷���,以及Cache失效帶來的性能丟失����,確保每次數據訪存都能命中Cache,極大地提升了性能�;通過重構文件系統的方式,大大優(yōu)化了I/O操作的性能��,并根據需求改變I/O行為����,保證塊模式掃描性能得到提升。
智能IPS引擎
NEL引擎是東軟擁有完整自主知識產權和多項國家及國際專利的IPS檢測引擎���,此次NISG 7000-XII沿用了NEL強大的攻擊事件描述能力和強大的擴展性��,也對其檢測機制進行了調優(yōu)�����。采用基于以位并行(Bit Parallelism)和q-grams作為技術基礎并改進的模式匹配算法,通過概率計算預測運行效果�����,對模式集進行合理統籌分組���,更智能優(yōu)化了過濾效果����。通過多層過濾技術加速檢測。首先從高速流量當中快速鎖定有潛在威脅的數據區(qū)域�,然后通過逐層局部放大的方式進行深入檢查,大幅提升了檢測效率的同時����,也能夠準確識別攻擊數據。同時�,各層次過濾條件可以根據實際網絡流量實時調優(yōu),達到最高檢測性能���。
強大的災備能力
作為數據中心網絡邊界的下一代防火墻����,東軟NetEyeNISG 7000-XII具備全方位的災備處理能力���。在硬件設計上��,系統采用雙電源設計����、網絡接口硬件Bypass設計�。在極端硬件故障情況下��,保障數據業(yè)務的連貫性���。在軟件功能上,東軟NetEyeNISG 7000-XII支持多系統�����、冗余接口��、VPN冗余網關��、鏈路備份����、負載均衡、主-主模式熱備����、主-備模式熱備等多種災備解決方案����,保證應用訪問業(yè)務的連續(xù)性,增強運營的可靠性�。
高密度接口
東軟NetEyeNISG7000-XII可以通過選配達到最大單板配置為32個10GE接口或64個GE接口����,同時支持40GE接口的選配���。多種的接口配置使其更易于部署在數據中心網絡中�。
完整的下一代防火墻功能
區(qū)別于傳統防火墻智能識別端口和IP地址��,東軟NetEye NISG7000-XII可以實現基于應用�����、用戶以及內容的識別與控制�,能夠有效識別超過2000種互聯網應用。值得一提的是�����,依靠東軟集團多年豐富的大型行業(yè)IT解決方案建設經驗��,東軟NetEye NISG 7000-XII對大型行業(yè)客戶數據中心的復雜業(yè)務�,有著更勝一籌的分析理解和識別能力,可以協助客戶真正地實現數據業(yè)務的可視化管理�。此外,東軟NetEye NISG7000-XII可提供完整的防病毒�、反垃圾郵件��、URL過濾�����、防DDoS攻擊等功能��,有效保障數據中心的資產安全����。
