Firewall de próxima generación [El firewall de próxima generación requiere mucha energía y bajo consumo]

Con el continuo desarrollo de la tecnología de Internet, el número de terminales de red continúa aumentando, dando lugar a una variedad de negocios y aplicaciones basadas en Internet. Desde aplicaciones tradicionales como navegación por Internet, redes privadas corporativas y VoIP hasta nuevas aplicaciones como sitios de redes sociales, blogs, WiFi, juegos en línea, comunidades virtuales, videollamadas e Internet móvil, se han vuelto populares. Tráfico y número de nuevas conexiones por segundo. El valor máximo es cada vez mayor.

Gao Xuesong, experto en productos de seguridad del Departamento de Ingeniería de Marketing de Huawei Symantec, cree que garantizar la experiencia del usuario y el ahorro de energía verde al mismo tiempo que se garantiza la seguridad se ha convertido en un requisito para una nueva generación de firewalls. En otras palabras, la tendencia de desarrollo futuro de los firewalls es un mayor rendimiento y un menor consumo de energía. Con este fin, Huawei Symantec lanzó recientemente la serie Huawei Secoway USG5000, una nueva generación de firewall de hardware que integra múltiples servicios, y aumentó el indicador de "número de nuevas conexiones por segundo" en el firewall Gigabit a más de 150.000.

Experiencia de alto rendimiento

Los indicadores a los que los usuarios suelen prestar atención en los productos de firewall incluyen principalmente la tasa de rendimiento, la cantidad de nuevas conexiones por segundo y la cantidad máxima de conexiones simultáneas. entornos de red reales (no experimentales) entorno de sala) Lo que afecta directamente a la experiencia del usuario es el número de nuevas conexiones por segundo. Según Gao Xuesong, esto se debe a que cada negocio en las aplicaciones actuales tendrá más sesiones simultáneas. Cuando el tráfico de la red explota o es atacado, se generarán nuevas conexiones enormes en un corto período de tiempo, lo que requerirá que el equipo tenga capacidades antiataques más fuertes. y la capacidad de respuesta empresarial, por lo que el "número de nuevas conexiones por segundo" es el indicador de medición más crítico del firewall de nueva generación.

Como firewall Gigabit, la serie Huawei Secoway USG5000 proporciona una velocidad de rendimiento de 6 Gbps y un número máximo de 6 millones de conexiones simultáneas. El retardo de reenvío de paquetes es de solo 30 ms, con más de 150.000 nuevas conexiones por segundo. . Esto significa que con su poderosa capacidad para crear nuevas conexiones por segundo, el firewall de la serie Secoway USG5000 puede resolver eficazmente los problemas de protección contra ataques DDoS de los usuarios. Puede prevenir ataques DDoS de más de millones de paquetes por segundo y puede admitir SYN FLOOD, UDP. Identificación y control precisos de varios tipos de ataques DDoS, como FLOOD, ICMP FLOOD, DNS FLOOD y CC.

Como un importante problema de seguridad que afecta a varios sistemas de aplicaciones (como sitios web, servidores de correo y sistemas de bases de datos) en las redes de usuarios, la nueva generación de ataques a la capa de aplicaciones representados por ataques DDoS, especialmente ataques CC, plantea un problema. enorme amenaza. Debido a que realiza una gran cantidad de solicitudes de acceso a sistemas comerciales simulando el acceso normal, es difícil identificarlo y protegerlo de manera efectiva. El algoritmo de conexión inteligente ICA patentado de Huawei Symantec puede identificar y proteger eficazmente contra ataques CC basados ​​en la capa de aplicación a través de medios técnicos como las características de los mensajes y la correlación entre los mensajes anteriores y siguientes, y puede proporcionar seguridad efectiva para las empresas de los usuarios, al tiempo que garantiza una protección precisa. La identificación del tráfico de ataques DDoS, no afecta el acceso normal de los usuarios, logrando una verdadera protección de seguridad en condiciones de red complejas.

Experiencia de la aplicación

En escenarios de aplicaciones de gran tráfico, los usuarios también prestan gran atención a la tecnología NAT, el mapeo de direcciones y otras características funcionales. Entre ellas, la tecnología NAT es una de las tecnologías básicas de los firewalls. En redes de campus grandes, el firewall en la salida de la red suele ser responsable de esta tarea. Gao Xuesong dijo que cuando los recursos de direcciones IP de la red pública son escasos y una única IP solo puede admitir un número limitado de hosts de intranet, para admitir más hosts de intranet, el enfoque habitual es aumentar el grupo de direcciones NAT y combinar múltiples o incluso It es un grupo de direcciones compuesto por docenas de direcciones IP públicas. Obviamente, esto está en conflicto con los recursos de direcciones IP públicas actuales.

Huawei Symantec ha desarrollado tecnología NAT extendida para este propósito. Adopta un algoritmo de alternancia inteligente y redefine la traducción de direcciones quíntuple. Puede admitir una dirección IP de red pública para traducir un número ilimitado de hosts de intranet, resolviendo problemas. usuarios Resuelve la contradicción entre el aumento en el número de hosts de intranet y el reducido número de direcciones IP públicas, y reduce en gran medida el problema del consumo de IP pública de los usuarios.

Además, a medida que la tecnología de Internet avanza cada día que pasa, varias aplicaciones inalámbricas se enriquecen gradualmente y el acceso a la red ya no se limita a la ubicación física del usuario, lo que plantea grandes desafíos para las aplicaciones de red del usuario final. conveniente. Sin embargo, en todo el proceso de transmisión de datos, el protocolo GTP juega un papel clave debido a las lagunas y problemas inherentes al protocolo GTP, como los ataques de anomalías del protocolo al protocolo GTP, la suplantación del protocolo GTP, los ataques de agotamiento de recursos y otros problemas de seguridad. , los operadores se enfrentan a enormes amenazas y desafíos de seguridad.

Huawei Symantec ha adoptado una tecnología innovadora para permitir que los firewalls de la serie Huawei Secoway USG5000 admitan el filtrado del protocolo GTP para lograr protección de seguridad para la transmisión del protocolo GTP. De esta manera, esta serie de firewalls puede usar reglas ACL para filtrar paquetes ilegales de GTP, filtrar contenido específico de GTP, proteger la seguridad de la contabilidad a través del filtrado de datos de Ga y también proporcionar funciones de prevención de ataques para la interfaz Gi, proporcionar estadísticas de estado de GTP y registros de filtrado de GTP. , que puede resolver eficazmente los problemas de seguridad en el dominio PS de las redes de operadores inalámbricos.

Protección ambiental verde

La protección ambiental verde, actualmente tan discutida, también se ha aplicado al diseño de cortafuegos. Según Gao Xuesong, los firewalls de la serie Secoway USG5000 de Huawei, al cumplir con los requisitos de suministro de energía dual de alta confiabilidad del mercado de operadores, aún reducen significativamente el consumo de energía de toda la máquina a solo 1/4 de productos similares en la industria. , Lo que puede ahorrar a los usuarios muchos costos de mantenimiento de equipos posteriores.

Esto se debe, en primer lugar, a que utiliza un chip de procesamiento principal de bajo consumo de energía y también utiliza una serie de tecnologías de ahorro de energía en la placa base del sistema para optimizar el suministro de energía de las unidades clave que consumen energía. , y lo hará El consumo de rendimiento se ajusta al suministro de energía. En segundo lugar, utiliza tecnología de control inteligente del ventilador. El sistema de enfriamiento ajustará inteligentemente la velocidad del ventilador y el consumo de energía de acuerdo con la temperatura del sistema, en lugar de dejar que el ventilador funcione siempre a máxima velocidad y con un alto consumo de energía. En tercer lugar, aunque adopta un diseño de alta confiabilidad con fuente de alimentación dual, solo la fuente de alimentación principal proporciona energía al dispositivo y la fuente de alimentación de respaldo solo monitorea el funcionamiento, manteniendo el consumo de energía en un nivel extremadamente bajo.