网络安全 频道

性能与安全,缺一不可

  公司经常面临着网络安全方面的博弈,是要封锁网络降低系统性能表现,还是要以牺牲对潜在攻击的预防为代价获得高性能?现今,做这些决定就更难了。应用层威胁越来越多地成为黑客和恶意软件的首选载体。这些攻击往往伪装成合法的流量,需要更深入和更复杂的检查才能识破,这就需要更多的处理能力。与此同时,很多公司已经开始过渡到10千兆(GB)以太网,要求网络安全解决方案必须跟上这些速度,以保持一个好的投资回报。

  运行在Intel多核心处理器上的Check Point开放性能架构安全软件就是为了应对这种难题而研发的。这种解决方案在增加了吞吐量的同时,可以提高安全级别,使企业无需再面临在性能与安全之间做选择的难题。通过提供多层加速技术,Check Point安全软件能够在同一平台上实现安全性和高性能。这与四核Intel至强处理器等先进的技术,可在高性能级别实现应用层安全。

  一个恰到好处的平衡:高性能和安全性

  保护网络是一个持久的博弈,如何平衡用户访问数据的容易程度与免于遭受网络犯罪的安全保护这个问题。用户希望即时地对数据、系统访问和通过互联网语音协议(VoIP)与同事朋友沟通。而网络安全要求限制不受约束的访问,从而保护数据和系统、确保它们不受病毒侵扰。新的法规和更高级别的安全意识,迫使企业重新审视他们的安全策略,并更加注重安全。随着企业对安全越来越严格,用户访问的程度通常会下降。

  复杂是,随着安全控制的增加,安全工具在高负载情况下运行,从而降低了性能并间接影响了访问级别。为了防止当今非常先进的攻击和信息泄露的风险,必须在流量经过边界网关时进行更高级别的检查。当对信息进行更多的安全检查时,为实施安全策略,安全工具本身面临着更大的处理负荷,实际上减缓了安全检查。

  平衡信息访问和安全性这个问题在增加带宽需求和提升应用层威胁水平两个关键领域显而易见。

  增加的带宽需求

  现在,网络在从1GB到10GB以太网过渡。虽然不会立即转化为在边界增加吞吐量要求,但是对安全性能的要求将在整体上增加。除了边界现有的集成防火墙/VPN在大型办公室和数据中心的网段分离和重要服务器分隔方面发挥着重要作用。对内部来说,在向10Gb过渡中要求防火墙能够根据需求扩展。

  增加的应用层威胁

  现今,许多攻击都伪装成合法应用层流量,从而能够威胁整个主机的应用:例如即时通讯、聊天、对等网络和Web应用程序等。这些攻击背后的原因是,传统的基于防火墙的安全关注于网络层的访问,可以阻止用户未经授权访问特定的IP地址或网络。但现今黑客伪装成可信的用户从而通过防火墙。从安全检查的角度来看,答案是进行更深层次的检查,类似在防火墙上进行入侵防御,检测应用层威胁。然而,每一个额外的安全检查,就会降低防火墙实际处理流量的能力,减缓其可预期的性能。

  增加安全性能要求的传统处理方法是开发一个基于专用集成电路(ASIC)或其他专用硬件的封闭架构。这些特制设备有效处理特定任务的速度远远超过通用处理器。对于某些安全任务,如网络地址转换(NAT)或基本包过滤,这些封闭系统提供了一个加快安全性能的简单方法。

  封闭系统的问题是应用层威胁不是静态的,而是动态的,封闭式系统的设计并不能充分应对这些类型的威胁。在初始配置后,基于ASIC的系统不能被重新编程,以应对新的攻击。为了对付这些新的攻击,封闭系统将配置一个通用可编程的处理器,但是,它将阻止基于ASIC系统的加速功能。这会导致封闭系统的两个主要问题:

  1.产生快和慢的检查轨道

  2.封闭的系统在时间防御方面失去他们性能价值

  开放式体系结构设计,基于多核高性能处理器的安全解决方案,可为预防现有和潜在威胁提供所需的灵活性和性能。显然不只是任何CPU都可以满足最苛刻的安全工作负荷,但最新的电源优化的四核Intel处理器可以完成任务。结合Check Point和Intel的安全和平台的专业知识,机构可以部署世界优秀的安全设备,满足下一代的安全挑战。

  高性能环境的高安全性

  安全设备基于Check Point的开放性能架构和四核Intel至强处理器5400系列正在改变安全性能的标准。Check Point安全软件采用,由两个四核Intel处理器提供的多达8个CPU内核,可提供了未来保护网络所需的性能空间。主要性能统计信息包括:

  ● 12 Gbps防火墙检测为最苛刻的企业环境提供数据中心级别速度。

  ● 5.3 Gbps入侵预防检查使用默认设置,实现了安全性和性能之间的平衡。

  ●1.8 Gbps入侵预防检查和严格保护文件,在不牺牲性能的情况下提供最大的安全。

  为了达到这些速度,安全设备采用了Check Point开放性能架构,它包括含了CoreXL™多核加速、SecureXL安全加速器和ClusterXL™智能负载平衡三项专利技术。这三项技术共同作用全面加速安全检测,确保高性能和高安全性的安全检查。

  提升解决方案生命周期的性能价值

  安全系统的真正价值不在于是否能有效地处理已知威胁,而是预防尚未出现的潜在威胁。Check Point开放性能架构的一个主要特点是在保持一定性能水平的同时,可以预防新的威胁。其通过使用常用的硬件技术维护一个统一的检查路径。当一种新型的攻击出现时,Check Point安全软件不会由于基于ASIC加速切换到一般用途处理器而??性能下降。相反,会将其视为现有的防御一样处理。这让客户可以确保性能与他们安全策略调整保持一致。

  相比之下,基于ASIC的系统在一个新攻击出现后,流量开始被转移到较慢的检查通道时开始失去价值。在实践中,当第一次深入检查设置开启从95%到99%的下降,就导致性能突然大幅下降。重要的是要明白,性能价值的损失并非始于系统购买时,而源于该系统的设计。在接近特定系统生命周期的末端时,该值是特别低的。

  Intel可扩展平台

  Intel可扩展平台具有可扩展性、低功率和更高的性能。与以往相比,现在Intel提供的计算平台更可满足苛刻的服务提供商、企业、小中型企业、以及对精打细算的消费者的安全挑战。使用Intel架构处理器的一个成本优势是相同的代码库可以运行在广泛的处理器上,包括高端的四核Intel至强处理器、以价值为导向的Intel赛扬或Intel Atom处理器。这种高层次的软件可移植性降低了公司软件开发的成本,就如同Check Point可为各种规模不同行业的组织提供安全解决方案。

  Check Point CoreXL:多核加速

  与Intel®多核处理器的高计算性能配合使用,CoreXL提供了先进的负载均衡,提高了深入检测所需的吞吐量,从而在防火墙上成功部署入侵防御。CoreXL一起以前加速的安全功能提供了更高的性能,使网络运行在峰值性能和安全性水平。为之前未加速的安全功能增加性能,CoreXL使网络在高性能和高安全水平运行。

  保护虚拟环境

  现在,强大的服务器和安全设备通常在一个虚拟环境中运行着应用程序的组合。虚拟化隔离应用程序,可预防有可能导致极端性能和安全后果的无意的软件互动。因为保护网络免受外部威胁非常重要,安全设备要求防备可能运行在同一平台上的其他应用程序。运行在VMware虚拟机中的Check Point VPN-1虚拟版本(VE)可以提供此功能,其可使虚拟系统彼此隔离,也让虚拟系统和外部威胁隔离。

  提高软件的可移植性

  安全威胁发展迅猛,安全厂商必须迅速采用最新的技术创新才能保持领先黑客一步。安全软件和专用安全硬件的不断改进,对网络保护有利的,但它对软件可移植性带来了挑战。可移植性是厂商让解决方案投入应用市场速度更快,更可靠的关键。

  为了实现可移植性,Intel推出了一个软件框架,其可使供应商整合下一代安全技术,避免主要应用软件的变化。Intel QuickAssist加密功能的API,使开发人员能够选择最好的平台架构,同时保持的软件兼容性,而不考虑该技术路径。通过这种可移植的解决方案,可以确保IT专业人员采用一致有效的途径来应对跨越范围广泛的产品的安全威胁。

  网络层攻击向动态应用层威胁的转变使对安全性能的需求急剧增加。应对应用层威胁,需要一个能够迅速发展保证性能,同时保持高水平的安全性的架构。虽然封闭的基于ASIC架构一直没能做出有效的改进以防止应用层威胁。Check Point开放性能架构和Intel处理器和技术提供了电信运营商、大型校园和数据中心获得较高性能,同时保持高水平安全性所需的基础。

  有了这个开放的架构,企业可部署集成的入侵防御,而无需担心网络性能的损失。

3
相关文章