上元信安下一代防火墙采用高性能多核架构,支持多种国产 CPU、多种国产操作系统;
全面适配云环境,支持主流的虚拟化平台,包括 VMware、KVM 等。结合全面丰富的联动和 RESTful API 可编程接口,上元信安下一代防火墙具备高效的协同防御能力,包括沙箱联动,EDR 联动,威胁情报联动,态势感知联动等,为构建网络立体化防护提供有力支撑。 与此同时,上元信安下一代防火墙还具备 SD-WAN 智能组网能力,设备支持零接触上线(ZTP)Q,可通过云端管理平台实现对业务配置统一编排、设备集中运维、状态实时监控及可视化,最大程度的简化了运维管理的工作,降低资金和人力投入。
2. 关键技术
2.1.系统架构
上元信安下一代防火墙采用通用平台设计,系统采用 SunyaOS Optimized Linux,对上层安全功能屏蔽硬件差异,提供统一的软件接口。因此,上元信安下一代防火墙可运行于X86、MIPS、ARM 及国产化多核平台上,或者基于上述平台的 KVM 和 VMware 虚拟化平台。SunyaOS Optimized Linux 在 Linux 的基础上着重增强了自身的安全性,并基于 UIO 技术对上层提供应用层零拷贝报文高速处理机制,显著提升了报文处理效率。
上元信安下一代防火墙在软件架构上采用了控制与业务分离的设计,根据业务类型分为控制面(ControlPlane,简称 CP)和数据面(Data Plane,简称 DP)两部分,CP 主要处理鉴权、配置、路由、日志和高可用性等管理业务,并提供 WebUI、命令行、云管理平台和 SD-WAN API 等管理接口。DP 则处理网络层、应用层解析和各项安全策略的执行。每个 CP 或 DP 都与一个逻辑处理器进行绑定,避免由于系统调度对性能产生负面影响。同时,上元信安下一代防火墙采用了先进的 DPDK 快速数据包处理技术,旨在解决 linux 内核瓶颈,大幅提升了网络转发性能。
2.2.多核并行处理技术
为了更好地发挥多核平台的性能,上元信安下一代防火墙会根据硬件平台的不同调整CP 和 DP 的实例数,以实现性能的最大化。在处理业务数据的过程中,每个 DP 都采用 Runto-completion 的方式,即一个数据包从接收到所有业务处理完毕,均在同一个 DP 中完成,这种处理方式能够显著提高处理性能。但是,数据包之间存在各种逻辑关系,例如应用层分片或者多连接应用。以往的基于多核技术的网络产品,有的会将数据包随机发送到各个处理核,忽略这种内在的逻辑关系,这样做的直接后果是无法正确处理应用层分片和多连接应用的相关业务,并且从现象上,经过该设备会出现较多的乱序报文。一个改进的做法是在特定的功能点(如 NAT、应用识别、内容审计)对特定的报文进行重组,报文在多个处理核之间传递(同时需要共享内存、共享流表等),需要使用锁等方式进行同步和互斥,对处理性能有较大影响。在 X86 平台下如果处理不当,还有可能造成跨节点访问,性能下降更加显著,甚至可能出现 CPU 核数越多,性能反而越低的现象。上元信安通过智能分流器对流量进行分配。当数据包到达上元信安下一代防火墙时,首先由智能分流器对数据包进行初步分类。智能分流器根据当前启用的上层功能以及数据包的网络层、应用层信息,决定将该数据包投递到哪个处理核。智能分流器保证了数据包能在单个处理核上完成所有所需的处理(出于对某些特殊情况的处理,系统仍提供核间报文互操作机制),避免了跨节点访问内存的高昂开销,是保证多核并发性能的关键技术。
2.3.一体化报文处理引擎
传统的报文处理流程中,多个功能模块往往是串行的关系,每个模块的处理相对独立,或者只共享少量的信息。这样做的好处是每个模块的实现相对简单,降低了开发的技术难度。 但是各个模块重复解析,有的还存在报文多次拷贝,降低了处理性能。更重要的是多个模块之间缺乏逻辑上的一致性导致难以综合所有信息进行高级策略管理和行为分析。上元信安采用了一体化报文处理引擎完成报文的统一解析。引擎首先分析用户配置的各项功能,决定进行哪些分析,随后一次性对二至七层所有需要进行解析的内容进行统一处理,并将结果一并送至策略控制模块。策略控制模块依据这些解析结果,匹配用户配置的策略进行报文的后续 处理。一体化报文处理引擎配合智能分流器,在单个处理核的处理进程上完成从报文接收、报 文解析、策略控制、报文发送的所有工作。一次解析,统一处理,避免了多模块、多进程之间的重复工作和报文拷贝。在策略统一处理时,还可基于用户策略、应用策略、安全策略等,进行更高层次的抽象,制定基于基础策略的高级策略。
2.4.基于用户、应用、终端和资源的控制策略
上元信安认为,任何行为的背后都有对应的用户,任何行为的途径都可以抽象为一种应用。规范用户的行为就保证了网络资源的安全,所以上元信安下一代防火墙应以用户和应用为中心。用户的属性应具有一致性和延续性,用户通过不同方式访问网络资源,应用于该用户的策略应始终保持一致。此外,基于用户的策略也更有利于在网络访问权限与组织架构之间建立映射关系,简化网络管理员的配置管理工作。
上元信安下一代防火墙提供了用户策略、应用策略、终端策略、访问策略、防护策略、路由策略、流控策略、NAT 策略等多种控制策略,这些策略全部都围绕用户和应用进行组织:用户策略规定了用户如何接入网络,用户所属的类别,以及具备的访问权限等等。应用策略规定了哪些人可以使用哪些应用,以及这些应用可以进行哪些行为。访问策略规定了用户和应用对网络资源的访问权限。路由策略规定了用户和应用如何进行网络选路,达到负载 均衡、优化广域网访问等目的。流控策略规定了用户和应用对网络带宽资源的使用方式NAT策略规定了用户和应用跨内外网互访问的映射方式。
上元信安下一代防火墙将上述几类策略区分开来,并非因为这些功能在实现上相互分离 ——实际上所有功能都在一体化报文处理引擎中完成。功能实现的集中有助于提高引擎工作的效率和实施更有效的控制,而控制策略的适度分散则能明显降低策略的复杂度,简化网络管理员的配置管理工作。
3. 产品特色功能
3.1 全方位防御体系
上元信安下一代防火墙通过事前风险监测、事中防护响应、事后取证分析形成了全方位 的安全防御体系,为用户提供全面的安全防护。
Ø 事前风险监测:上元防火墙能够在事前自动识别网络内主机资产和服务器资产的网络信息,能够识别内网资产的开放端口、弱密码等安全风险,同时提供多种可视化系统监控数据,帮助用户有效监测和预知网络风险。
Ø 事中防护响应:上元防火墙在事中提供了深入的全方位安全防护能力,包括入侵防护、病毒防护 DOS/DDOS 攻击防护、URL 过滤、防暴力破解、威胁情报应急响应、APT 攻击防护、EDR 联动防护等,为用户提供一个多层次防御体系,保障企业和组织的网络安全。
Ø 事后追溯审计:上元防火墙在事后能够进行追踪溯源、取证分析,根据日志分析事 件来源和原因,并进行针对性加固措施;能够通过黑客视角或资产视角对攻击事件进行综合分析,将抽象的网络形象化,将攻击行为可视化,帮助用户快速了解网络的安全情况。同时,上元防火墙基于资产视角,将所有攻击行为深度分解为四个阶
段,为用户展示出一条完整的攻击链,帮助管理员对处于不同攻击阶段的高风险资 产进行针对性安全加固处理。
