随着网络飞速发展,网络应用日新月异,网络管理的需求必然不断提高,现有的上网行为管理产品已经日渐无法满足当今客户的复杂需求。作为上网行为管理的明星企业深信服公司,再次提出了“第二代上网行为管理”的概念,将终端与网关形成了端到端的管理解决方案,以适应用户对上网速度和安全的最新需求。
那么,为什么会有第二代上网行为管理产品的出现呢?第一代与第二代有什么样的区别?面对现在复杂的网络应用,究竟有哪些方面是现有上网行为管理产品已经不能管理的呢?深信服市场行销部技术总监殷浩在接受记者采访时表示,第二代上网行为管理设备与第一代的在设计思路上最大区别就是在“封堵”的基础上增加了“隔离”与“削减”的核心思想。
“安全隔离”+“流量削减”
除了延续第一代上网行为管理的网关杀毒、防火墙、防DOS攻击、防ARP欺骗功能外,深信服第二代上网行为管理针对目前肆行的以经济利益为目的的恶意网页、病毒木马推出了上网安全桌面。当使用上网安全桌面时,一切都在虚拟中进行。即使点到了恶意链接或恶意邮件,他们攻击的都是一个虚拟化桌面。当退出上网安全桌面后,那些木马、病毒,都将即刻化成浮云。
“安全桌面”实际是使用沙盒技术,构建的一个虚拟化“容器”,使得用户在该“容器”中,对文件、注册表的操作都被虚拟化。当用户退出“容器”时,之前在“容器”里面所做的修改,全部都被还原。除此之外,安全桌面还结合了一系列的规则(网络规则,放行规则等)用来限制用户在“容器”中操作的权限。
深信服上网安全桌面
深信服第二代上网行为管理可以通过“上网安全桌面”这个新功能,帮助用户在一台终端上设立两个相互“隔离”的桌面环境,用默认桌面访问内部网络,用“安全桌面”访问互联网,从而保证了在不改变用户使用习惯,不增加操作复杂度的前提下,让终端“永不中毒”,避免了内网引入互联网风险。
深信服第二代上网行为管理设备的“安全桌面”将终端与网关形成了端到端的管理解决方案,是一套真正适合企业级市场的上网行为管理方案,在网关设备上可以将网络安全策略与终端安全策略统一部署,在行为管理的同时保障内网安全,简化管理;而防病毒厂商提供的安全桌面仅仅是在单独PC上进行配置、安装,无法进行统一调控部署。
殷浩表示,“安全桌面”的创新,是上网行为管理在安全方面的重大举措,弥补了第一代上网行为管理在上网安全方面的严重不足,是第二代上网行为管理的重要标志。
在传统的上网行为管理设备中,流控是主要的功能之一。但是流控的目的是什么呢?是为了合理分配出口带宽,提高带宽使用率。有研究显示,同一个工作环境下的人员,访问同一个或者同一种网页的概率高达70%。有些企业内部每天访问新浪门户网站的次数达到5000多次,使用抓包工具看到,新浪门户网站包含200多个元素,每次访问此门户网站产生的平均流量在1178918 字节,5000多次的访问将产生5000Mb的流量,其中有99%的流量为重复冗余的数据。
深信服第二代上网行为管理在带宽管理上推出缓存加速功能,通过内容缓存功能,在网络出口形成了一个针对http、视频、flash等应用的缓存池,第一次访问这些资源时将会直接存入缓存池中,如果后续检测到有其他人访问同样的资源,将会直接从本地的缓存调去,从而不用在通过互联网下载,从而既提升了响应速度,又合理节约了带宽,延后了带宽升级的问题,提高内部用户上网速度达3倍以上。同时,提供更高的ROI,从而达到“削减”的目的。
作为部署在出口网关的上网行为管理设备,在承载过多的控制功能时势必存在性能瓶颈和压力。因此,深信服第二代上网行为管理采用的是分布式建设思想。将部分安全功能下载到了终端上的“安全桌面”进行,比如分部的网络访问控制等功能,将原先“集中式”的防护模型,变为了“分布式”模型,从而极大的提升了设备的处理性能。据悉,为了满足像运营商、高校这种高端用户需求,深信服将会推出万兆级第二上网行为管理产品。
一代VS二代
上网行为管理产品需要能精确识别上网的行为,所以专业的上网行为管理厂商都具有两个库,一个是网页库——URL库,一个是应用识别规则库。URL库主要用于网页过滤。应用识别规则库主要用于行为的控制和根据应用分配流量。但纵观国内各厂商的上网行为管理,真正有这两个库,并且实时更新的厂商屈指可数。
殷浩表示,深信服第二代上网行为管理具有2000多万条URL,并且针对最新的恶意URL地址可以做到每小时更新一次,从而确保了访问的安全性。同时,深信服与中科院联合开发的URL智能识别系统,自动搜索和更新词条。在第一时间录入新浪、腾讯、搜狐等微博网页,解决市场上目前静态库带来的弊端,并且第二代上网行为管理突出了对加密网页的内容识别和管理,弥补以往上网行为管理中的不足,解决了SSL加密网页管理的漏洞。配上应用智能识别库,解决了P2P应用更新速度快的问题,为P2P的流控和整体网络的稳定管理提供了保障。这个是第一代上网行为管理产品目前没有触及的。
从在架构上看,深信服第二代上网行为管理万兆平台仍然采用X86架构。NP架构在万兆网络中数据处理能力优于X86架构。那么为什么采用X86架构而不采用NP架构呢?殷浩向记者解释到,对于应用层设备来说需要更为强大的计算能力来满足针对L4-L7数据报文的分析和对比,而NP芯片主频远远落后于X86的多核CPU,相差数倍。此外,大家一直认为X86性能不足的原因在于南北桥的总线架构导致了64字节小包处理能力弱;但是,目前采用最新技术的X86硬件平台通过对总线技术的改近,64字节的小包转发能力已经达到了20G,性能瓶颈已经打消。综上两方面原因,X86架构目前已经成为大多数万兆应用层设备的首选。
同时,深信服做上网行为管理的数据处理、架构优化上积累了丰富的经验,而且深信服在X86架构上做了很多的优化以提高性能。
随着互联网的急速发展,传统的上网行为管理似乎开始捉襟见肘。深信服科技适时提出了“第二代上网行为管理 = 安全桌面+内容缓存+万兆高性能”的概念,率先推出了第二代上网行为管理产品,我们期望第二代的上网行为管理设备能够为用户提供更加安全的上网体验,更加快速的访问效果,降低用户的IT运维工作量,提升效率,降低成本。