2010年运营商网络安全产品总结

network

2010年运营商网络安全产品总结

一年转眼又过去了，下面是运营商结合当年度的需求对网络安全产品的总结。以下内容是借鉴了部分技术资料而编写的，前半部分的内容在这里发表感觉有点搬门弄虎了，望各路高手提意见。 网络运营商现网部署了防火墙、异常流量监测分析及清洗设备、UTM、VPN网关、WAF、IPS/IDS、DPI等具备相应安全防护功能的网络安全设备，对运营商的网络基础设施、业务支撑平台等进行安全防护，保障网络及业务的正常运营。 1.硬件架构变化趋势 随着带宽快速的扩充及不断开拓的新业务，如流媒体，在线视频，互动游戏，实时语音通信，P2P应用等，新的业务应用与以前相比，对带宽的要求更高，对时延的要求更小，这些都使得网络安全设备的处理性能必须进一步提高，同时，新的交互式的应用，使得网络从“单向开放”变为了“双向开放”，使得客户面临的安全风险加大，新的应用为了避开传统防火墙等安全设备的检查，许多都使用了开放的80端口等，比如Web迅雷，MSN等，这些应用迫使安全的检测更加深入，而传统硬件设计架构的网络安全产品只关注3-4层网络安全，已不能满足日益多样化的网络安全需求。 传统的网络安全产品基本基于ASIC、FPGA、NP芯片进行开发，ASIC在性能体现方面确实有一定优势，但由于其更新设计周期长、更新速度慢，比较适合做功能相对固定的网络产品，例如基于3-4层访问控制功能的防火墙，或者基于 2-3层转发的交换机等网络设备，无法满足网络安全产品的不断更新需求。同时由于ASIC产品都是各个厂家自己设计的，不能像Cisco、Juniper等大厂家可以维持大规模数量，缺乏芯片产业链的支持，不能保障自身产品稳定性的发展。而FPGA和NP架构芯片也存在着代码空间受芯片存储空间的限制等缺点，无法满足对不断变化的安全需求进行编程的灵活性。 随着Intel放弃主频在4Ghz以上的研发计划为标志，几乎所有的芯片处理器厂商，包括AMD，IBM等都转向了用更低主频，集成多个CPU核，达到低功耗，更高性能的多核方向发展。目前Intel/AMD主流的2核，4核技术在高端服务器领域已经非常成熟，10年也相继推出6核、8核处理器，同时Intel实验室也已经在进行80以上核的研究开发了。而另一类新兴通信芯片厂商如RMI,Cavium，Tilera等均成功探路了采用灵活编程的硬件并行技术，在大力发展比NP更加通用灵活的多核处理器，全面发展通用可编程多核芯片，相比以前技术在性能和灵活性方面带来了突破。 而正因为旧硬件体系架构约束了网络安全产品的进一步发展，目前Cisco、Juniper、Checkpoint、Crossbeam、Fortinet、Huawei、Hillstone、绿盟、网御神州等多个国内外厂商均采用了多核CPU来进行研发生产。 Cisco 自08年公布了在单芯片上整合了40个核的网络数据处理器QuantumFlow后，09及10年，防火墙ASA系列不同型号的设备相继采用了Intel多核处理芯片,并采用了Cavium 的安全处理器（Nitrox Crypto Security Processors）来处理IPSEC 、 SSL等协议，摒弃了旧架构的PIX系列；而作为以ASIC著称的前NetScreen，现在的Juniper，也从ASIC架构的NS系列防火墙，转向了以处理器为核心架构的SSG系列防火墙 ；而其他Fottinet、Checkpoint、Crossbeam、网御神州、HP华三、Hillstone、绿盟等均采用了Intel、RMI、Cavium、Tilera等芯片厂家不同型号的芯片进行网络安全产品的硬件架构研发并推出相应的安全产品。 多核架构下，不同任务可分布在不同核上并行处理，多核CPU从应用处理性能、功能扩展性、平台稳定性及上下游产业链支持等方面均比FPGA、ASIC、NP等芯片具有一定的优势，目前防火墙、IPS、异常流量清洗设备、UTM等网络安全设备均采用了多核架构，多核架构是下一代安全产品发展的趋势。 2.产品功能需求变化趋势 2010年运营商随着业务发展、自身管理、云安全及国家工信部安检等各方面的需求对网络安全产品功能也提出了特异性的要求。 1)IPv6 2010年电信运营商正进行IPv6试点部署及验证，对于未来IPv6的大规模部署进行经验积累，安全方面的考虑也要求紧跟步伐。IPv6过渡阶段期间将不可避免地采用到NAT444、双栈、隧道、DS-LITE等技术部署方案，因而要求网络安全设备在对IPv6特性进行相关的支持，而从目前测试情况来看，大部分厂家在IPv6上没有相应的技术积累，对IPv6的组网、攻击识别、拦截、访问控制等均存在不同程度的缺陷，甚至部分厂家的安全产品根本不支持IPv6特性。 2）SOC技术管理平台 目前运营商SOC技术管理平台工程建设正密锣紧鼓地进行着，SOC平台对现网网元设备、网络安全设备、业务系统等安全事件进行实时收集，并进行关联分析，并将告警情况及时反馈给维护管理人员，使运维人员对电信网络安全事件进行整体、实时、准确地掌控。而对于网络安全设备要求是开启Syslog，在不影响业务正常运营的情况下将Syslog 信息发往SOC管理平台，目前部分厂家的网络安全产品未能满足这需求，在开启Syslog功能后，产品对业务的正常运营存在一定的影响，或者丢掉部分Syslog信息。 3）云安全 2010年各大厂家均推动云计算、云安全等热点技术，云计算是一种将池化的集群计算能力通过互联网向内外部用户提供弹性、按需服务的新业务、新技术，云计算从新的计算承载方式、计算模型及应用模式等方面影响着新一代的数据中心，而新一代数据中心的安全防护方案则要求网络安全设备具备虚拟化、资源池化及自动化等相应的功能。例如网络安全设备需具备较高的处理能力，能通过虚拟化功能将其逻辑分开多个网络安全设备，提供给不同的客户应用，各个客户也能对自己的逻辑设备实现相关的安全策略定制、日志审核、配置管理等操作功能，物理安全设备的物理资源能根据不同的客户实际需求进行资源动态调整，实现资源池化；同时部署在不同物理位置的网络安全设备需具备全网动态联动的策略，将不同的安全策略根据自身通信协议发送到不同物理位置的安全设备进行安全策略实施，实现全网安全防护自动化。 4） 国家政府相关要求 互联网经过多年发展，在带给人们诸多正面影响的同时也带来了社会、政治、法律、技术、经济、道德、文化等方面的负面问题，因而工信部对各大运营商提出了互联网的治理的相关要求，要求运营商对不良信息的互联网传播进行管理。 而对于互联网信息获取、内容分析、信息阻断技术等方面，面临着技术手段不健全，手段技术成熟度低等情况。目前针对IDC、WAP网关、国际出口链路等部署相依的过滤系统，而这些过滤系统出于在技术功能、性能上原因只能对文本信息内容及URL等进行过滤，而对多媒体消息（图像、视频、音频等）、实现内容过滤、限制\禁止访问等操作还存在一定技术上的难度。 从上面各方面所述，厂商网络安全设备在传统的安全功能基础上，也应及时掌握客户需求的变化，对自身产品进行及时改进完善，满足最终用户的实际应用需求，体现自身产品的价值，这才是其长久发展之计。

(没有打分) [td]

工具箱
本文链接 | 邮给朋友 | 打印此页 | 17条用户评论 »



雁过留声

“2010年运营商网络安全产品总结”有17个回复

• Will Chie 于 2011-01-24 8:24 上午
  不知道是不是我之前我理解有问题，我之前觉得WAF是给传统网站或云计算厂商用的，运营商部署上有啥用？
  还有像SSL VPN，运营商也会用，他们的需求是怎样的呢？
  我知道运营商的确会部署，但想不通应用场景。
• willchen 于 2011-01-24 5:44 下午
  写的很好，如果能再细分一下就更好了。运营商的需求其实可以分为三个层面：
  一是运营商对主干运营网的安全需求。如流量检测及清洗等设备就是部署于此；
  二是运营商在运营网及托管IDC等的增值安全服务。如防火墙、用户行为分析、SSL VPN等设备应该是部署于此的；
  三十运营商自己支撑业务网络的需求。如自己的办公网、400等，其实和一般的企业网需求差不多了。
  另，云安全是今后的亮点，也是必然。但现在国内基本上是防病毒厂商的声音。其实云安全远远没这么简单，希望版主能开个专题大家讨论一下。
• kernelchina 于 2011-01-24 8:00 下午
  网络设备虚拟化也是个趋势，有什么想法？
• Will Chie 于 2011-01-24 8:19 下午
  TO will chen, 目前来讲您说的第一个层面个人觉得已经相对成熟了，主要就是FW，IDP, QOS， 等。目前第二个层面可创新的点似乎比较多，像近年来兴起的ADN、WAF等等，这些往往是企业客户需要的，而作为运营商，应该需求是有所区别的，个人能想到的最大区别就是虚拟化。但我还是不理解运营商的托管IDC服务的具体运营方式，我想深入的挖掘一下，这块还是有文章可做的。
• Will Chie 于 2011-01-24 8:23 下午
  另外，对云计算的部署运营方式也不是很清楚，目前来看，是不是SSL VPN、WAF会解决一些问题？够用么？还是需要有新的设备去解决云安全问题？
• willchen 于 2011-01-24 9:42 下午
  救我自己了解的，运营商的增值服务就安全角度可以分为两个层面。一方面是为企业用户提供安全打包服务。比如说为企业用户提供抗攻击服务，提供流量清洗服务等。
  很多企业曾经问我一个问题：在互联网出口放抗DDoS攻击设备到底有多大价值？如果运营商提供的线路本身被占满带宽了，企业这边部署什么都没用。由此可见，类似抗攻击这样的问题其实是该运营商和用户一起来解决的。
  而运营商通过在核心部署流控或WAF类设备，也可以将其作为一种增值服务卖给企业。这样企业就不用自己部署且维护这些设备了。
• willchen 于 2011-01-24 9:45 下午
  另，对于云计算来说，也分为所谓的公共云和私有云等等。毫无疑问，传统的防火墙等设备是必要的，但只能解决其中一部分问题。新的理念和技术将会层出不穷。但这要看到底是基于哪个云了。
• deluric 于 2011-01-24 10:36 下午
  lz对内容过滤有什么看法？除了文本之外，你说的图像、音视频这块现在有技术解决吗？加密内容可以通过中间人攻击的方式来解决，但是涉及到语义层面或者视频内容鉴定方面，我认为识别其属性的可能性不大，是否可以从视频命名等其他手段来做？
• 大黄蜂 于 2011-01-24 10:42 下午
  我觉得要重新认识一下fpga,从xilinx的v7开始。
• tom 于 2011-01-25 8:16 下午
  SOC这块，从移动或者电信的soc规范看，还是假大虚空的多。
• bigrong 于 2011-01-25 8:37 下午
  2楼的问题没有很好的解答。2楼的问题问到根子上了。
  在如此混沌的互联网上，如何合理的提供有明确的分层商务模式是关键。
  另外，我们都是在局外喷。那么大的一个体系结构，推新业务用新技术，让大家都协调的跑起来，让并不是非常懂的销售人员卖起来，都是一个庞杂的系统工程。
  我现在做得事情已经有些体会，到运营商估计更难。
  培训就要培训一溜够。
• Patrick 于 2011-01-26 8:10 上午
  ASA什么时候用Cavium多核了？瞎说。
  只是用了Coprocessor。
• gztommyt 于 2011-01-26 5:20 下午
  1. To 2F WillChen:
  Big ISP基本从以下几个层面进行安全防护措施考虑
  1） 网络层可分为骨干、汇聚、接入等层面；
  2）对外提供的业务及支撑基础系统(门户网站、移动业务平台、AAA、 DNS等）；
  3)ISP 对外提供的增值业务平台或系统（IDC、下游ISP的流量清洗系统等）
  4）ISP 内部的支撑系统（MBOSS等）
  如果要写的话就是一个整体解决方案了，迫于年头到年尾都在瞎折腾，较难抽时间来形成总体文档（基本上各层面均有相关的资料及自己的想法），有时间私底下交流交流。
  2.To 3F kernelchina :
  网络设备虚拟化，你指的是否新一代数据交换中心中的设备？ 这里确实有文章可做。
  3.To 10F Tom：
  确实目前SOC厂家做得都不大好，但Big ISP确实有这个需求，一个MAN的Switch、Bras、SR、CR、网络安全设备等加起来都有几百台，如何对网络安全事件进行统一集中管理，这确实是个非纸上谈兵的科题。
  3.TO 12F Patrick :
  感谢纠正！ 文章已修订，望继续赐教。
• tom 于 2011-01-26 6:55 下午
  流量清洗这块，目前有没有做成增值服务的方式？单纯在企业端做是没有意义的？
• tom 于 2011-01-26 7:16 下午
  前段时间看电视，说云南电信有套对wap图片的识别，系统先识别可疑的黄色图片，然后人工再进行甄别，不过感觉最有创意的是那些，都是孩子的母亲，年龄多在40-50
• softarts 于 2011-01-28 9:30 下午
  “Fottinet、Checkpoint、Crossbeam、网御神州、HP华三、Hillstone、绿盟等均采用了Intel、RMI、Cavium、Tilera等芯片厂家不同型号的芯片进行网络安全产品的硬件架构研发并推出相应的安全产品。”
  有没有人能够专门针对芯片展开讲一下，比如说有没有单用intel多核cpu做的防火墙?还是必须要带
  RMI、Cavium、Tilera这些厂家的NP？
• Will Chie 于 2011-02-01 1:32 上午
  思科仅用x86，多核是用的AMD的NUMA架构。传说思科的防火墙将来也不会考虑其他架构，历史上思科的防火墙也一直是x86，从来没用过其他架构。