追溯万兆产品的发展,早在2006年已经有厂商发布了相关产品,即在2006年就已经存在万兆这种产品形态,但当时的市场需求还不明朗,对于万兆产品的功能和性能的要求也与今天不尽相同。当时大家更看重万兆产品的性能,主要指高吞吐量。但是今天,随着互联网发展的日益多元化和复杂化,仅仅对于吞吐量提出要求已远远不够,如低延迟、深度防御等其他因素开始扮演着越来越重要的角色。就万兆这个话题,记者采访了东软网络安全营销中心解决方案部部长徐松泉。
视频影音时代来临
网络产品的更新换代一定与整个互联网大环境的发展息息相关,万兆也不例外。今天互联网上视频和语音的流量越来越大,YouTube已经成为仅次于Google和facebook的全球流量排名第三的网站;在国内,土豆、优酷、CNTV(中国网络电视台)等在线视频网站也正大热,人们改变了原来的从网上下载的视频浏览习惯,更多地选择在线观看。徐松泉说道,P2P下载对网络传输质量的要求并不高,而在线视频应用却绝对要求网络传输的高质量。美国、日本等国家已经实现了真正意义上的高带宽和低时延,能够充分保障在线观看的流畅。从我们国家的网络基础设施看,虽然目前还支持不了视频流量占整个带宽的百分之六七十这样的比率,但可以看到,运营商们为了适应人们对于互联网应用的新需求正在积极“备战”。未来绝大多数的互联网应用是与视频相关的,因此今天的运营商看重的不仅仅是带宽,更看重数据传输的质量,同时需要面临诸如低时延的挑战。
其实不单是通信行业,交通、医疗、环保、金融等与人们生活紧密相关的其他行业也是如此。比如平安城市,徐松泉举例说,一个城市可能有几十万甚至上百万的监控摄像头,通过这些监控摄像头采集到的海量视频数据被传输到指挥监控中心,工作人员正是依据这些数据,进行分析并做出及时的响应和反馈。再比如近年来的热词之一——健康城市。试想,患者的血压、心率等相关数据都将被实时地传输到医院,患者与医生的沟通也将通过实时的视频来实现。大量的影像、视频、通讯会话数据的传输对网络质量,尤其是延迟,是非常敏感的。另外还有中国目前在建的很多云计算中心、IDC等等。这些都反映出,未来的互联网数据将以实时数据、特别是实时的视频数据为主。
新趋势赋予“万兆”的新使命
以上的种种对万兆产品的发展提出了新的要求。徐松泉认为,首先不仅要求保障高带宽,更要低时延。例如在线观影,数据可能要经过十几个甚至更多的设备,如果每个防火墙的时延是几十微秒,叠加起来就会出现很大的时延,严重影响视频的流畅和观影体验。因此低时延是保障网络传输质量的关键。目前,东软是唯一一家可以将万兆产品的时延控制在5微秒以下的国内厂商,法宝就是东软核心的FPGA专利技术。据悉,该技术需要很长时间的技术积累,东软从2004年开始研发FPGA技术,到现在已经有7年的时间。所谓七年磨一剑,最终形成了今天的东软万兆和超万兆(100G)的解决方案。高带宽、高并发、低时延,该系列产品和解决方案在市场上试水一年,取得了不错的成绩。
其次,除了低时延和高带宽,万兆产品还需具备深度防御能力。徐松泉提到,解决这个问题的最好办法就是多核架构。将协议级的深度检测放在8核甚至16核上运行,CPU就不会成为技术瓶颈,既保障了强大的深度防御能力,又能适应高带宽的需求。据了解,东软从两个领域同时发力:2004年开始研发FPGA技术;2006年研究多核架构;2009年做到将两个技术的深入融合;2010年正式对外发布了东软NetEye集成安全网关(NISG)万兆产品和相关解决方案,目的就在于充分满足如运营商、IDC、高校等大型网络环境用户的部署需求。
另外一个亟待解决的关键问题是异常流量的监控。如何在几百G的巨型网络环境下准确定位出异常流量攻击,徐松泉给出的解释是,东软依靠其特有的Flow采样技术,可以通过东软的超万兆(100G)解决方案很快地找到攻击源头,再通过加载控制规则定点拦截、精确打击攻击流量。同时,利用东软正在申请国际专利的NEL技术还可以解决对互联网音视频核心协议的防护问题,如对SIP协议的防护,对H323协议的防护,对3G中最核心的GTP协议的防护等,有效地解决了互联网面临的基于音视频协议攻击的防护问题。除了提供最基本的防火墙等功能和基于协议的攻击防御功能以外,东软万兆安全解决方案还具备DDoS攻击防御、QoS保证、带宽管理等功能,以及采用东软多核、众核的先进技术架构进行检测,拥有万兆甚至超万兆的业界领先水平的深度防御检测能力。
最后徐松泉还提到,东软的万兆解决方案采用平台化的思路,将FPGA解决方案作为一个平台,能以插件的形式与其他设备结合,将需要检测的流量通过网络设备直接引导到FPGA上做深度检测,也可以与国内、国际的合作伙伴开展深度合作,将10-100G的FPGA解决方案嵌入到设备中,令其在原有的功能基础上具备强大的防火墙、IPS和DDoS防御等功能。
一个产品或者解决方案不能解决所有的安全问题,因为信息安全本来就不是一件能够一劳永逸的事情。即使是拥有了如东软集成安全网关(NISG)这样40G的防火墙处理能力、8G的应用层处理能力的超级重型武器,也还是需要配合专业的信息安全服务(东软同时也提供等保咨询与规划等专业信息安全服务)来充分填补安全缝隙,才能将信息安全真正做得彻底、做得面面俱到,做得万无一失。
徐松泉简介:
徐松泉, 1997年毕业于中国科技大学,2000年获得东北大学计算机硕士学位。现任东软网络安全营销中心解决方案部部长。曾先后参与东软Universal CA、SJW20网络密码机、东软NetEye防火墙等研发工作,在信息安全领域拥有近12年的信息安全产品技术及市场研究经验,历经国内信息安全产业发展全过程,深悉国内外信息安全产品技术特征,并多次参与国家级重大科研课题研究,以及重要行业信息系统安全建设项目实施工作。在金融、电信、能源、政府、企业等行业信息安全体系建设中积累了丰富的实践经验,在国内信息安全杂志上发布过多篇文章,并曾经担任国内CIW信息安全培训讲师。