Crossbeam刀片式高端UTM助运营商安全无忧

network

　　在过去几年中，蠕虫、病毒和其他网络攻击的次数不断增长。有数据显示，我国网络在去年遭受到的攻击包括:病毒和蠕虫攻击(占63%);间谍软件和恶意软件攻击(占41%);非预谋内部攻击(占29%)黑客攻击(占14%);拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击(占13%)。

　　事实上，要维持一个强健的、先进的网络防御体系越来越困难了，仅靠周边防火墙来保护公司的信息安全资产已远远不够。相反，企业需要一种更先进的分层安全保护方法。

　　英国移动运营商O2的首席安全架构师Mathew Rhodes说:“最初我们的网络架构是经过精心设计，也配置了防火墙等安全设备。但随着业务及网络的扩展，我们开通了新的业务，增加了新的远程节点，并且随着合作伙伴的增加，我们有了新的Internet接口，为合作伙伴提供了更多的网络接口，而这些都需要我们不断的增加网络安全设备，而这些新的安全设备又需要新的网络设备，最后把我们的网络搞的一团糟。”

　　构建分层安全基础设施的传统方法需要多个不同的设备，不仅成本高而且也很烦琐，因为每种设备都需要自己的维护(补丁、升级)、管理基础设施和连接。显然，通过独立的安全技术配置正确的数据流需要掌握路由、接头连接和/或端口镜像方面的丰富知识。扩展性能意味着需要添加额外的负载均衡器，而这会进一步增加复杂性。每一个单元都会增加复杂性并留下看不见的安全漏洞。

　　那么，究竟有没有一款产品能够系统管理并解决所有的安全问题吗?实际上，在过去一段时间里，不少网络安全公司推出了所谓的UTM产品。根据IDC定义，这种All-in-One的UTM(United Threat Management即统一威胁管理)安全解决方案设备，是将企业防火墙、入侵检测和防御以及防病毒结合于一体的设备。但是，有一点几乎可以肯定:高性能和多功能不可兼得。不过，美国Crossbeam公司却专门为大型网络安全设计了创新的刀片型高端安全交换机，采用标准刀片式模块化设计，不仅整合了多种安全功能，包括防火墙、VPN、入侵检测、防毒和内容过滤等，而且还保证了所有功能的高安全性能，都可以在一台设备中实现统一的系统管理。

　　“Crossbeam被IDC评为高端UTM领域的领导者，是全球领先的UTM整体安全解决方案提供商。Crossbeam所提供的安全应用交换机产品可提供对用户网络全面的防护，包括防火墙、VPN、IDS/IPS、内容安全、防病毒、防垃圾邮件等。通过Crossbeam专利的技术可以使用户聚合其安全架构，保持其固有安全策略，简化安全管理，减少安全部署对网络带来的影响。”Crossbeam公司首席执行官兼总裁Peter George介绍说:“Crossbeam 所提供的安全应用交换机一直都是安全设备高性能、高可靠性、高可用性的代表。其专利的N+1 备份技术可实现对安全应用的流量负载均衡及统一备份。Crossbeam公司的全球用户包括中大型企业、政府机关、校园网、城域网、运营商及金融机构等。”

　　Crossbeam公司高端的X系列安全交换机与其它公司的UTM设备不同，Crossbeam的X40和X80是运营商级的安全平台，具备高性能、高端口密度，以及在一个平台上可同时支持多种安全应用的特性，这些安全应用均来自于在安全领域技术及市场领先的厂商，包括Check Point、ISS、Aladdin、Secure Computing和Trend Micro等。

　　大部分传统的安全产品把网络、安全应用、管理控制功能全部集中在一块卡或一台设备上，仍然采用单中央处理器、单总线、单内存的结构。这不可避免的会带来多种功能的相互冲突，影响到整个设备的性能及稳定性。在X系列中，各模块的功能是分离的，每片应用模块都内建处理器、内存和硬盘，是其性能不会因为具备较多功能而有所降低。每种模块负责其各自的功能，然后整个设备通过机架无源背板全交叉总线及Crossbeam专利的实时调度操作系统XOS有机的集成。“X系列就像是一台刀片服务器，模块化设计是它的主要特色，包含管理模块(CPM)、网络模块(NPM)和安全应用处理模块(APM)，不但延展性更佳，企业也拥有更多选择，”Peter George介绍说:“例如使用单处理器的APM升级成双处理器，X40升级到X80，或将X45的管理模块插到X80上使用，都可有效降低企业投资成本。O2后来就采用了Crossbeam的X80。”

　　据了解，X系列有X40、X45及X80等3款产品，适合电信及大型网络中心。X45具备7个插槽，80 Gbps背板频宽，X40和X80则有14个插槽，40 Gbps背板频宽。X80单台设备可支持32个千兆接口或 64个百兆接口。同时能够提供很高的吞吐能力。不过，最吸引O2的Rhodes还是Crossbeam X80的高可靠性。它使用 Crossbeam 公司专利的自动调节、可自愈等技术确保了不间断的安全性——即使在 X80 中的一个或多个应用模块出现故障的情况下也不会间断。它将负载均衡、数据流分类和分配功能与其可自愈的模块阵列结合在一起，这个结合使得 Crossbeam X80始终保持“畅通”，并连续不断地提供运营商级网络安全性能。其所有的硬件要素(包括接口、电源、风扇、背板、以及模块)都是完全冗余的。整个设备不会出现单点故障。

　　Crossbeam X80 的特点是，它具有最多8 个安全应用处理模块(APM)，如果任何一个 APM 出现故障，X80会在几毫秒内重新分配数据流，并动态的重新提供一个备用的 APM，该APM的配置与有故障的APM相同。如果所有的8个APM模块都在使用中，X80将会用一个优先级较低的虚拟应用处理(VAP)组中的一个模块，替代有故障的模块。从而，一个对该系统不了解的技术人员也能够安全的热插拔一个新的 APM，避免了业务的中断。

　　Crossbeam X系列的独一无二的先进性使其在市场拓展上赢得了众多重要客户的信赖。在全球用户中包括德国电信下属固网运营商和宽带运营商、英国电信、Verizon Wireless、Telefonica、O2、捷克电信、菲利宾电信、Earthlink(美国网络服务提供商)等电信运营商，以及银行、大学、电视台、石油和通信公司等。Peter George介绍，近期中国地区签约用户包括河北网通、上海市政府、上海电力、浙江电力、上海电信花木 IDC 中心、上海大众、上海英维思、江苏省政府等。其中为中国网通提供的安全服务采用了24台X80高端的安全交换机，是目前在国内最大的防火墙项目，同时，中国网通成为国内第一个可管理的安全服务提供商，也成为国内第一家部署虚拟防火墙概念的运营商。

　　Peter George表示:“我们期待今年亚太市场将成为Crossbeam业务持续增长的驱动力，我们在人才资源、产品及客户群等方面已经准备就绪，将可令这个设想实现。”

　　据了解，该公司在今年还与中国最大的信息技术产品分销商和系统集成商——神州数码有限公司签署了一份协议。根据协议，神州数码成为Crossbeam在国内的独家总代。

　　除了X系列以外，Crossbeam公司还有企业级的C系列UTM产品。考虑到企业级用户所能负担的成本和需求，C系列提供更好的性能价格比。

　　据介绍，以C25为例，该UTM设备内置双处理器，最高可加载4GB内存，全双工下可提供6 Gbps的防火墙吞吐量。与其他同类产品相比，C25只有2U高度，却缺省内置了12个千兆接口，而且还可以同时安装3种应用软件，可以很轻松地拥有防火墙、VPN功能、IPS和防毒等安全功能。

　　总体来说，对于服务供应商而言，基于网络侧的选项显然更有吸引力。这是因为所有的安全设备都可以在一个单一的、中央的位置进行部署和管理。在这种情况下，在服务提供商的网络上只需一台设备、一个防火墙软件许可，却可以使用根据每个客户不同的规则建立的“虚拟”防火墙，从而为100 个客户提供保护。一直以来，基于网络的产品要面对的挑战