圖1 NSG系統(tǒng)的軟硬件組成與關系圖
采用通用X86硬件平臺架構���,當添加大量內(nèi)容過濾規(guī)則、開啟網(wǎng)絡行為識別與記錄后��,系統(tǒng)的處理能力就會急劇下降�����,會嚴重影響網(wǎng)絡的通信質量��,但不啟用這些功能又會形成嚴重的安全隱患�����。解決方法就是采用基于全包多任務并行內(nèi)容查詢與過濾的加速模塊�����,其簡單結構如圖2��。它不僅能夠實現(xiàn)常用的基于協(xié)議����、IP地址、服務端口的訪問控制功能��,還能夠實現(xiàn)基于報文特征和內(nèi)容字段的全包查詢功能����,將CPU從繁忙的規(guī)則匹配、內(nèi)容匹配中釋放出來�,更好的為復雜的分析、處理和調度功能服務�。網(wǎng)絡報文在該系統(tǒng)中的處理過程如下:CPU將收到的報文通過Memory和SCFC(Special Content Filter Channels)發(fā)送給CFC(Content Filter Core),CFC將查詢的結果信息通過SCFC返回給CPU��,根據(jù)結果信息����,CPU對報文作后續(xù)的處理(狀態(tài)刷新、地址轉換��、記錄日志等)�����,高速地完成報文轉發(fā)����。
圖2 內(nèi)容過濾加速模塊的基本結構圖
強大的加解密功能也是這款設備的亮點之一����。結合IP加密處理技術����,實現(xiàn)了內(nèi)容過濾模塊與IP加密模塊的有機融合,達到內(nèi)容過濾與IP加密雙加速的目的���,在充分保證內(nèi)容安全和通信安全的前提下提供了高質量的通信帶寬保障�����。為了保證處理的效率�,內(nèi)容過濾加速模塊只對加密前和解密后的報文作內(nèi)容安全處理��。
如圖3是一個NGSG的典型應用場景���。Intranet1和Intranet2是分布于不同地域的有上下級關系的內(nèi)部網(wǎng)絡,分別部署了NGSG1和NGSG2�����,都安裝了統(tǒng)一安全管理平臺和行為記錄與審計服務器。NGSG1與NGSG2之間通過建立高速的VPN通信通道�����,保證兩個內(nèi)網(wǎng)間的業(yè)務通信過程安全(機密�����、完整����、有效);配合高速內(nèi)容過濾模塊����,保證內(nèi)網(wǎng)與內(nèi)網(wǎng)間、內(nèi)網(wǎng)與外網(wǎng)間的內(nèi)容安全�,同時保證內(nèi)部的重要內(nèi)容通過網(wǎng)絡可控傳送。NGSG2行為記錄信息可發(fā)送給上級行為記錄與審計服務器NGSG1�,同時本地保留相同記錄信息,保證上級對下級的上網(wǎng)行為進行監(jiān)視���、審計和管理�。同時����,上級通過安全管理平臺�����,可以對下級NGSG2進行配置管理或狀態(tài)查詢等操作����,保證了上級可對下級上網(wǎng)行為進行控制���。
圖3 NGSG的網(wǎng)絡簡單應用拓撲
NGSG提供了完善而快速的網(wǎng)絡安全����、內(nèi)容安全功能�,還提供詳細的內(nèi)容、行為記錄與審計功能��,不但能保障網(wǎng)絡安全和內(nèi)容安全�����,而其還能遵從相關的法規(guī)要求���。NGSG將網(wǎng)絡安全與內(nèi)容安全高性能的有機地融合�,為客戶提供了高附加值的信息安全產(chǎn)品和解決方案���,對于日趨復雜的信息安全需求具有重大意義�����。
