扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
2007年10月29日
关键字:
在本页阅读全文(共2页)
一丝曙光
应该说,硅谷的工程师们看清楚了两种技术不可调和的矛盾。他们认为,取消网关而又能保持安全的另一种途径,应该是将网络层和应用层进行安全捆绑,甚至直接进行融合。
Nevis中国区首席代表张弛在接受采访时表示,目前安全最关键的问题就是把网络层和应用层统一在一起。请注意,这里说的是统一,并非叠加。此前美国《Network World》曾对Nevis和ConSentry这两家新兴厂商的安全产品进行了测试,结果显示,基于统一架构的安全产品具备了速度和安全性的优势。
令记者印象深刻的是,这些公司的共同点就是在芯片上花的心思比较多。老实说,即便是老牌的网络或者安全公司,也都在向网络和应用融合的方向上迈进,但困扰他们的都是产品的性能。
无论是网关还是桌面,实施控制的代价就是牺牲速度,特别是对于软件控制的系统而言。对此,这些新兴厂商的专家认为,未来的安全出路就是从网络产品上加入对安全的全面考虑。
以Nevis为例,他们在10G交换机的基础上突破了对于ASIC的使用,利用CPU进行拆包,同时发挥ASIC转发与匹配的双重速度优势(详见本报今年一月份的测试报告)。虽然类似架构的设备在一些UTM厂家中也能见到,但Nevis的特色在于他们擅于利用底层操作系统去控制相关的安全算法。事实上,他们在交换矩阵上重写了特征匹配、行为检测、协议检测、状态检测、流量检测等一系列算法,而这些正是防火墙、IDS、IPS等安全模块的基础。利用操作系统融合安全算法,保证了安全模块的线性吞吐,因此不会像UTM那样出现操作系统与模块之间的低效率瓶颈。
在记者看来,这些新兴厂商的产品都是以内网安全交换机的面目示人的。通过在核心层上整合交换和安全资源,实现了低成本下的全网安全。其实,最早在交换机上整合安全模块的是Cisco,而把交换和安全发挥到极致的则是Crossbeam,只不过他们的思路是在“盒子里插板子”,而非芯片层的代码重构。
当然,任何事物都有两面性。相对于NAC类的安全模式,内网安全交换机实现了全程的终端安全控制。因为NAC类代理(包括Active X插件)的终端准入只是一个时间点扫描,终端通过之后就会被划到安全VLAN之内,而后期监控明显不足。而内网安全交换机除了接入期的扫描,还可以利用自身的API和监控模块进行全程跟踪,记录内网用户的行为,包括访问了哪些IP、运行了哪些程序等等,可以做到实时控制。但正是由于这种思路,导致了内网安全交换机目前无法集成反病毒和内容过滤模块。在些应用在全程控制的模式下实现有难度,而且由于是芯片级代码融合,添加新的功能也比较困难。
瑕不掩瑜,新技术总是令人兴奋,记者衷心希望,今后会有越来越多的新技术出炉,并在中国的土地上开花结果。
相关链接
后网关时代典型安全技术比对
■Cisco NAC全网方案
收益:控制与隔离并重
不足:弹性差,后期监控不足,成本高昂
■ 微软Forefront软件包
收益:身份控制好,能与AD整合
不足:难以精确控制行为,部署复杂
■Nevis 1048内网安全交换机
收益:10G线性吞吐,部署简单,性价比高
不足:后期功能添加难度较高
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。