圖1 NSG系統(tǒng)的軟硬件組成與關(guān)系圖
采用通用X86硬件平臺架構(gòu),當(dāng)添加大量內(nèi)容過濾規(guī)則��、開啟網(wǎng)絡(luò)行為識別與記錄后����,系統(tǒng)的處理能力就會急劇下降����,會嚴(yán)重影響網(wǎng)絡(luò)的通信質(zhì)量,但不啟用這些功能又會形成嚴(yán)重的安全隱患�����。解決方法就是采用基于全包多任務(wù)并行內(nèi)容查詢與過濾的加速模塊���,其簡單結(jié)構(gòu)如圖2���。它不僅能夠?qū)崿F(xiàn)常用的基于協(xié)議、IP地址���、服務(wù)端口的訪問控制功能�����,還能夠?qū)崿F(xiàn)基于報(bào)文特征和內(nèi)容字段的全包查詢功能���,將CPU從繁忙的規(guī)則匹配、內(nèi)容匹配中釋放出來�,更好的為復(fù)雜的分析、處理和調(diào)度功能服務(wù)���。網(wǎng)絡(luò)報(bào)文在該系統(tǒng)中的處理過程如下:CPU將收到的報(bào)文通過Memory和SCFC(Special Content Filter Channels)發(fā)送給CFC(Content Filter Core)���,CFC將查詢的結(jié)果信息通過SCFC返回給CPU,根據(jù)結(jié)果信息����,CPU對報(bào)文作后續(xù)的處理(狀態(tài)刷新、地址轉(zhuǎn)換、記錄日志等)�����,高速地完成報(bào)文轉(zhuǎn)發(fā)����。
圖2 內(nèi)容過濾加速模塊的基本結(jié)構(gòu)圖
強(qiáng)大的加解密功能也是這款設(shè)備的亮點(diǎn)之一。結(jié)合IP加密處理技術(shù)���,實(shí)現(xiàn)了內(nèi)容過濾模塊與IP加密模塊的有機(jī)融合�����,達(dá)到內(nèi)容過濾與IP加密雙加速的目的����,在充分保證內(nèi)容安全和通信安全的前提下提供了高質(zhì)量的通信帶寬保障��。為了保證處理的效率��,內(nèi)容過濾加速模塊只對加密前和解密后的報(bào)文作內(nèi)容安全處理�����。
如圖3是一個(gè)NGSG的典型應(yīng)用場景。Intranet1和Intranet2是分布于不同地域的有上下級關(guān)系的內(nèi)部網(wǎng)絡(luò)����,分別部署了NGSG1和NGSG2��,都安裝了統(tǒng)一安全管理平臺和行為記錄與審計(jì)服務(wù)器�。NGSG1與NGSG2之間通過建立高速的VPN通信通道,保證兩個(gè)內(nèi)網(wǎng)間的業(yè)務(wù)通信過程安全(機(jī)密�����、完整���、有效)�����;配合高速內(nèi)容過濾模塊�,保證內(nèi)網(wǎng)與內(nèi)網(wǎng)間�����、內(nèi)網(wǎng)與外網(wǎng)間的內(nèi)容安全�����,同時(shí)保證內(nèi)部的重要內(nèi)容通過網(wǎng)絡(luò)可控傳送。NGSG2行為記錄信息可發(fā)送給上級行為記錄與審計(jì)服務(wù)器NGSG1�,同時(shí)本地保留相同記錄信息,保證上級對下級的上網(wǎng)行為進(jìn)行監(jiān)視����、審計(jì)和管理。同時(shí)��,上級通過安全管理平臺���,可以對下級NGSG2進(jìn)行配置管理或狀態(tài)查詢等操作��,保證了上級可對下級上網(wǎng)行為進(jìn)行控制��。
圖3 NGSG的網(wǎng)絡(luò)簡單應(yīng)用拓?fù)?/p>
NGSG提供了完善而快速的網(wǎng)絡(luò)安全����、內(nèi)容安全功能�����,還提供詳細(xì)的內(nèi)容�����、行為記錄與審計(jì)功能,不但能保障網(wǎng)絡(luò)安全和內(nèi)容安全���,而其還能遵從相關(guān)的法規(guī)要求。NGSG將網(wǎng)絡(luò)安全與內(nèi)容安全高性能的有機(jī)地融合��,為客戶提供了高附加值的信息安全產(chǎn)品和解決方案�����,對于日趨復(fù)雜的信息安全需求具有重大意義��。
