随着美国次贷危机爆发、房地产泡沫破裂,对美国和世界金融机构带来连锁性负面影响,其对我国国内经济的影响也日益显现。在这个时期,金融作为现代经济的核心首当其冲,受到的影响和面临的困境更加引人关注。结合国内各大金融机构近期的一些应对举措和相关专家提出的解决办法,我们发现,在这一关键时期推动和加快金融业的信息化建设和应用,使其有效地作用于金融体系建设和服务拓展,将成为金融业熬过寒冬、迎来暖春的一剂良方。
08年10月,一次偶然的机会,网御神州产品经理和客服技术人员回访了公司的老客户—某著名全国性保险公司的IT部门的主管,检查产品运行状态之余,询问金融危机对他们的有多大的影响等问题。谈话中发现,他非常的困惑,原因是他们的在IT建设上的投入缩减了预算的30%,特别是在网络安全的投入上。本来08年的预算在实际的建设中就有点勉为其难,09年的预算更是雪上加霜。众所周知,金融保险行业的数据安全性是至关重要的。如果数据安全性没有办法保证那么就面临着数据的窃取、破解等危险,这个是无法接受的。
看到了他的苦恼,我们就主动帮助他们提出了一个关于统一威胁管理UTM的一体化综合安全防护的解决方案,开始这位主管没有怎么在意,因为在我们之前也有过一些厂商提出过相应的方案。了解这样的情况,我们便开始虚心的请教,来和他探讨这个方案的疑虑。他便和我们讲起的UTM目前的架构和性能问题。目前的UTM架构主要是通用架构、ASIC、NP等。其中ASIC架构的安全产品从架构上改进了中断机制,数据从网卡收到以后,不经过主CPU处理,而是经过集成在系统中的ASIC芯片直接处理,由这些芯片来完成路由、NAT、防火墙规则匹配等网络层数据处理的功能。因此,其性能得到了大幅度的提升: 吞吐可以达到64 Bytes小包线速。但问题是,这种UTM在设计时,就必须将安全功能固化进ASIC芯片中,所以它的灵活性不够,如果想要增添新的功能或进行系统升级,开发周期较长,对技术的要求也很高,几乎没有国内安全厂商能够做到。更重要的是目前ASIC只能做转发的加速,但是对于应用层安全过滤的加速没有大量的CPU资源是没有办法做到的。NP架构实现的原理和ASIC类似,但升级、维护远远好于ASIC架构。NP架构内部有多核网络处理引擎,并行处理来自网口的数据, 再辅以多个硬件加速协处理器完成查表等复杂操作,其在数据转发性能方面毫不孙色于ASIC。同时,通过专门的指令集(微码)和配套的软件开发系统提供较强的编程能力,因而相对ASIC,容易开发新的应用。典型的是IBM的PowerNP和Intel的IXP系列。然而,为了保证处理的高效率,网络处理引擎上软件实现使用微码编程,其开发的难度比较大,软件移植难度大,开发周期很长,同时功能扩展受到NP代码空间的限制,做为UTM有些局限性。尤其是无论是那种架构,功能同时开启性能都是不敢恭维的。
听到了这位主管的讲话,心中暗自佩服他深厚的技术底蕴。我们也就顺着他的思路,问了一下:“目前多核架构可以比较好的解决这些问题”,听到这个他稍微迟疑了一下,说道:“听说过,但是目前没有成熟的吧?多核确实一个好的选择”。听到这里感觉他对多核还是比较认可的。于是我们开始详细介绍网神多核UTM解决方案。
网御神州在多核的合作方面选择与RMI和英特尔进行深度合作,芯片的速度提升,有着强大的技术基础。在性能、安全、稳定性、升级和管理上都有相对的优势。同时我们的SOC统一集中管理平台也可以管理所有网神UTM设备。
性能超越-多核架构与多核并行操作系统完美匹配
多核架构下多个核能够做到并行处理,分担数据流量,能够极大的提升系统性能,双核架构相比单核,吞吐量同比提高30%-70%,8核架构处理性能可以达到万兆线速。
多核的硬件架构,必须匹配合适的并行操作系统,才能完美彰显多核的优势。网御神州在上一代安全操作系统SecOS的基础上,经过2年时间成功推出了多核并行操作系统新一代SecOS。其在多核并行处理和统一架构方面取得了重大超越,实现了在驾驭更多处理器核、减少串行比例、降低系统开销三个核心关键因素方面的突破,并获得了国家版权局颁发的国内第一个多核并行OS著作权证书。
安全超越-安全功能全面开启确保安全无忧
网神全线多核架构产品,将整个系统任务按数据、功能等多个维度划分为若干子任务,分别由不同的核来执行这些子任务,确保多个安全功能可并行处理,使得延迟大幅降低,彻底打破了传统单核产品同时开启防火墙、VPN、IPS、AV、P2P限制等功能时处理性能会大幅降低的尴尬局面。保障用户网络安全畅通。
稳定性超越-任务处理物理独立、多核相互监控
传统的单核架构下,数据转发、深度检测、系统监控、日志记录等所有的功能都在同一个核上运行,依靠系统的时间片调度完成系统资源的分配,各个功能之间不可避免的存在影响,一旦某项任务出现异常极易造成核心功能无法处理,系统不稳定。
网神多核产品,任务处理物理独立,确保核心任务不受干扰,且多核之间可以做到相互监控,当一个核上的任务出现故障时,其他核可以及时接管其处理的任务和数据,确保用户业务处理一路坦途。
扩展超越-安全功能无限升级
ASIC架构的安全产品以高性能著称,但灵活性不够,产品化后根本无法升级。NP架构在于保证高性能的同时,通过专门的指令集提供强大的编程能力,因而便于开发应用,可扩展。但NP微码编程开发难度较大,周期较长,同时受NP代码空间限制,不能做到无限升级。
网神多核产品架构采用通用的指令级和通用的存储期间,不仅能升级特征库,也能升级处理引擎,升级更快且不受代码空间限制。可应对不断变化的未知威胁手段,可支持不断变化的新的应用。满足用户当前需求的同时还避免未来的重复投资。
管理超越-系统管理专核掌控
传统单核架构下,当设备处于高负载下时设备本身的管理就变得非常缓慢甚至无法管理。假如在遇到大流量攻击的情况下,本想安全策略需要根据攻击状况进行调整,但是此时单核处理下,无法管理查看设备中的连接状况,更无法修改策略将是非常令管理员“苦恼”的事情!
网神多核产品架构下可以分配单独的CPU核,或者在某一个核的任务分配中将系统管理线程的优先级设置为最高,确保用户不受网络状况影响随时进行设备管理,及时准确了解网络状况并做出策略的优化调整。
他听到了后非常高兴,记得一位记着说过“多核催熟UTM”,这样就可以使用一台网神多核UTM设备来替代预算中防火墙,IPS,防毒墙三个设备,同时原有的网神SOC统一管理平台可以管理这些设备,这样既节约了采购成本也降低了维护的成本。
后面的产品试用,采购,开始三十几台设备的大规模部署……已经让这位主管逐渐的露出笑颜,为网神的多核产品带来的“超值”和优秀的服务表示了赞许!
在金融海啸的大背景下,对于企业的每一笔投资都必须要精打细算,必须“物有所值”,甚至“物超所值”,所以以统一集中管理SOC为中心,关键节点全面部署网神多核UTM的一体化解决方案是目前解决企业网络安全综合防护是一个不错的选择,也是经济危机下安全建设的必然方向。