新一代網(wǎng)關(guān)架構(gòu)：內(nèi)容與網(wǎng)絡(luò)安全的融合

近日，衛(wèi)士通公司結(jié)合網(wǎng)絡(luò)安全技術(shù)發(fā)展現(xiàn)狀及市場需求，提出了開發(fā)新一代安全網(wǎng)關(guān)(New-qeneration seCur5ty GateWay，NGsG)的指導(dǎo)思想：采用內(nèi)容加速硬件，在保證網(wǎng)絡(luò)通信質(zhì)量的前提下，增加內(nèi)容安全功能，提升安全的控制粒度和廣度，保證內(nèi)容安全和網(wǎng)絡(luò)安全，同時提供靈活的管理和網(wǎng)絡(luò)部署特性。

新一代安全網(wǎng)關(guān)在內(nèi)容安全方面以內(nèi)容過濾、行為監(jiān)控功能為主，提供Web頁面的內(nèi)容過濾、郵件內(nèi)容過濾、URL地址過濾、病毒過濾、垃圾郵件過濾、行為識別與控制(對QQ、MSN、SKYPE、BT、edonkey、迅雷等常用的IM工具和P2P工具的監(jiān)控等)、行為記錄與審計(jì)等功能；在網(wǎng)絡(luò)安全方面提供訪問控制、流量控制、NAT、IPSECVPN、SSL VPN、IP MAC綁定、身份認(rèn)證功能等。在管理方面采用靈活多樣的方式，支持集中和分布式相結(jié)合的部署方式，可以通過安全管理平臺進(jìn)行統(tǒng)一管理，也可以通過B/S方式進(jìn)行無客戶端的管理。

新一代安全網(wǎng)關(guān)(NGsG)的處理機(jī)制

NGSG包含了如圖1所示的組成部分。整個系統(tǒng)采用層次結(jié)構(gòu)，在通用的安全架構(gòu)基礎(chǔ)上增加了內(nèi)容過濾加速模塊和密碼加速模塊。

采用通用X86硬件平臺架構(gòu)，當(dāng)添加大量內(nèi)容過濾規(guī)則、開啟網(wǎng)絡(luò)行為識別與記錄后，系統(tǒng)的處理能力就會急劇下降，會嚴(yán)重影響網(wǎng)絡(luò)的通信質(zhì)量，但不啟用這些功能又會形成嚴(yán)重的安全隱患。解決方法就是采用基于全包多任務(wù)并行內(nèi)容查詢與過濾的加速模塊，其簡單結(jié)構(gòu)如圖2。它不僅能夠?qū)崿F(xiàn)常用的基于協(xié)議、IP地址、服務(wù)端口的訪問控制功能，還能夠?qū)崿F(xiàn)基于報文特征和內(nèi)容字段的全包查詢功能，將CPU從繁忙的規(guī)則匹配、內(nèi)容匹配中釋放出來，更好地為復(fù)雜的分析、處理和調(diào)度功能服務(wù)。網(wǎng)絡(luò)報文在該系統(tǒng)中的處理過程如下：CPU將收到的報文通過Memory和SCFC(special ContentFilter Channels)發(fā)送給CFC(ContentFilter Core)，CFC將查詢的結(jié)果信息通過SCFC返回給CPU，根據(jù)結(jié)果信息，CPU對報文作后續(xù)的處理(狀態(tài)刷新、地址轉(zhuǎn)換、記錄日志等)，高速地完成報文轉(zhuǎn)發(fā)。

強(qiáng)大的加解密功能也是這款設(shè)備的亮點(diǎn)之一。結(jié)合IP加密處理技術(shù)，實(shí)現(xiàn)了內(nèi)容過濾模塊與IP加密模塊的有機(jī)融合，達(dá)到內(nèi)容過濾與IP加密雙加速的目的，在充分保證內(nèi)容安全和通信安全的前提下提供了高質(zhì)量的通信帶寬保障。為了保證處理的效率，內(nèi)容過濾加速模塊只對加密前和解密后的報文作內(nèi)容安全處理。

如圖3是一個NGSG的典型應(yīng)用場景。Intranetl和Intranet2是分布于不同地域的有上下級關(guān)系的內(nèi)部網(wǎng)絡(luò)，分別部署了NGSGl和NGSG2，都安裝了統(tǒng)一安全管理平臺和行為記錄與審計(jì)服務(wù)器。NGSGl與NGSG2之間通過建立高速的VPN通信通道，保證兩個內(nèi)網(wǎng)間的業(yè)務(wù)通信過程安全(機(jī)密、完整、有效)；配合高速內(nèi)容過濾模塊，保證內(nèi)網(wǎng)與內(nèi)網(wǎng)間、內(nèi)網(wǎng)與外網(wǎng)間的內(nèi)容安全，同時保證內(nèi)部的重要內(nèi)容通過網(wǎng)絡(luò)可控傳送。NGSG2行為記錄信息可發(fā)送給上級行為記錄與審計(jì)服務(wù)器NGSGl，同時本地保留相同記錄信息，保證上級對下級的上網(wǎng)行為進(jìn)行監(jiān)視、審計(jì)和管理。同時，上級通過安全管理平臺，可以對下級NGSG2進(jìn)行配置管理或狀態(tài)查詢等操作，保證了上級可對下級上網(wǎng)行為進(jìn)行控制。

NGSG提供了完善而快速的網(wǎng)絡(luò)安全、內(nèi)容安全功能，還提供詳細(xì)的內(nèi)容、行為記錄與審計(jì)功能，不但能保障網(wǎng)絡(luò)安全和內(nèi)容安全，而其還能遵從相關(guān)的法規(guī)要求。NGSG將網(wǎng)絡(luò)安全與內(nèi)容安全高性能的有機(jī)地融合，為客戶提供了高附加值的信息安全產(chǎn)品和解決方案，對于日趨復(fù)雜的信息安全需求具有重大意義。