随着互联网应用的不断深入,丰富的互联网内容规模不断扩大,再加上云计算时代的来临,使得网络数据的传输容量比以往出现了几何级数般的增加。相应的,大流量的网络传输也对网络安全和数据中心提出了巨大挑战。千兆网络过渡到万兆、百G网络预示着需要有更高性能、更强扩展性的网络安全产品。
天融信公司总裁王勇致辞
作为国内专注于网络安全设备研发生产的知名企业来说——天融信,肩负着保障新型骨干网络安全、适时推出符合市场需要的网络安全设备的历史使命,全面推出采用多核多级处理器的超百G安全网关——“擎天”系列产品。
天融信公司推广和方案中心副总刘辉在做现场讲解
据介绍,“擎天”继承了网络卫士防火墙系统的功能优势,采用业界领先的TMC架构,可以实现性能上的多级扩展,随需扩展安全动力,整机性能超100G,真正实现安全网关处理性能从超万兆到超百G的跨越。再加上动态自适应负载均衡保障服务的连续性,完备的全网安全控制功能构建完整可信的网络平台,通畅的无缝切换降低断网几率和故障恢复时间,绿色、节能、可持续应用等特点更节省数据中心空间,真正实现了低成本购买产品高回报反馈用户的设计思路。
天融信公司总裁王勇认为,安全防御应该是立体的,不应单靠某一产品,更应该注重服务和管理。利用先进的产品主动收集信息,根据用户的不同需求,制定相应的安全策略,这就需要产品具有相当高的可靠性和可扩展能力。“擎天”自身的高性能特点将为云计算中心或大型数据中心撑起一片安全的天空。“擎天”将会为用户的网络和业务带来真正可靠、可信、全方位的保障服务,并足以满足用户对灵活扩展性的需求。
天融信多核多级、超百G“擎天”安全网关
产品架构方面,“擎天”采用采用真正模块化设计思路,TMC架构中的各模块卡相互独立,可以随业务流量的需要任意扩展,而且拥有多项国家重点专利技术。而整机的三个层面:管理控制层面、数据转发层面、安全动力层面构成了全面的“一机三层面”立体防护系统。再加上自我保护能力极强的安全处理卡,以及具有完全自主知识产权的TOS (Topsec Operating System)安全操作系统,摆脱以往的直接处理理念,更多使用中间层架构,减少了系统对硬件的依赖性。同时,多种安全引擎有效保障了访问控制、内容过滤、带宽管理、抗攻击等功能的安全性。
媒体问答
可以预见,未来信息数据的高速发展,超百G防火墙能满足高端行业用户高扩展性、高可靠性、高性能需求。它所带来安全设备部署方式的革命,简化安全防御复杂度,也将会大大降低政府、电信、数据中心、大型企业、学校、电力、网络等单位高端应用安全防护成本。“擎天”系列超百G防火墙必将引领行业新高度,为中国的信息安全发展建设保驾护航。
具体来说,“擎天”具有如下显著特点:
多核多级,整机超百G
“擎天”安全处理卡具有8个处理内核,每个处理内核支持4个硬件线程,相当于4×8=32个单线程CPU,拥有高速的数据传输和转发能力。整机多个安全处理卡即可实现多级多核的处理能力,性能远远超越其他单一多核产品。同时,拥有高速的交换背板,可以提供超100G的吞吐量,支持所有端口L2/L3线速转发,完成安全网关处理性能从超万兆到超百G的跨越。
性能扩展满足可持续应用需求
“擎天”各模块卡均相互独立,且均支持热插拔。整机性能、端口密度、安全功能等模块均可扩展,并且所有的扩展可以简单的通过增加模块卡的方式进行,对网络结构几乎没有影响,也无须对系统进行彻底的升级,如此一来就可以满足用户不断变化的需求。
高端口密度
“擎天”具备10GE、GE、FE、SFP、XFP等各种丰富的接口模块,单台最高可提供480个千兆端口或40个万兆端口,满足各种网络环境需求。
动态自适应负载均衡,保障服务的连续性
当多安全处理卡运行时,可自动实现多安全处理卡安全应用的负载均衡功能。系统如果检测到有备份的安全处理卡,会将会话自动同步到备份安全处理卡上,实现会话备份。如果主安全处理卡出现故障,备份安全处理卡能够接替主安全处理卡继续工作且保证流量不中断,为用户提供高可用性和可靠性。
全网安全控制,构建完整可信的网络平台
“擎天”集成了防火墙、内容过滤、IDS、三层交换以及接入认证等技术,结合天融信的安全审计分析系统,可以实现服务器群之间以及内网主机点对点策略,真正实现全网安全。
通畅的无缝切换,大于二十万小时的平均无故障间隔时间
“擎天”的系统控制卡、安全处理卡、电源等模块及组件均可以实现1:1、1+1模式的冗余配置。关键部件和组件冗余、支持热插拔,故障倒换时间小于0.1秒。
绿色低碳节能
“擎天”可以在不增加设备的情况下,通过增加接口卡,整机多接口卡,单安全处理卡等端口输出,既节省了交换投入,又在不增加设备的同时,构建绿色环保网络,达到节省电耗、空间、节省投资及冷却等IT成本,满足节能减排的政策要求。
完善的安全过滤功能
“擎天”支持ACL安全过滤机制,支持SSH2.0安全管理、802.1x接入认证及透传。支持RIP/OSPF/IS-IS/BGP/LDP动态路由MD5认证,防止路由信息泄露,支持MAC、IP地址及端口的捆绑功能,支持TACACS+协议,可以实现命令行级的认证授权,支持报文阻断策略,支持访问控制,支持应用协议端口绑定,提供报文的深度过滤,实现二到七层的访问控制,提高了全面性和安全性。
强大的抗攻击性
“擎天”内置入侵防御模块,具有强大的攻击检测能力,高级的Intelligent Guard技术提供了强大的入侵防护功能和强大的抗攻击能力,可以有效检测并抵御常见的Synflood、Icmpflood、Udpflood等DoS/DDoS攻击和CC攻击。此外,通过主机防护功能,用户可以通过设置并发连接数和并发半连接数来保证被保护主机的正常工作。
全面的网络适应性
“擎天”全面支持IPv4、IPv6、MPLS、NAT、组播、QOS等业务功能。支持二、三层MPLS VPN。支持基于端口、基于协议和基于子网的VLAN、IEEE 802.1Q、PVLAN、VLAN双层标签、SuperVLAN、Selective VLAN。支持STP、RSTP和MSTP、支持静态Trunk和LACP。支持ADSL、PPP、H.323、MMS、RTSP、DHCP、SNMP、NAT、静态路由和RIP、OSPF、BGP、IS-IS动态路由协议。IPV6路由支持RIPng、BGP4+、OSPFv3、IS-ISv6。支持IGMP、IGMP Snooping、IGMP Filter、IGMP Fast Leave等功能,支持PIM-DM/SM、DVMRP、MSDP、MBGP等组播路由协议,支持跨VLAN的组播复制。