下一代防火墙新一代防火墙要求高能低耗

下一代防火墙新一代防火墙要求高能低耗 　　伴随互联网技术的不停发展，网络终端数量不停增加，催生出多种多样基于互联网的业务和应用从网上冲浪、企业专网、VoIP这些传统应用到社交网站、博客、WiFi、在线游戏、虚拟小区、视频通话、移动上网等新应用全部已经普及，网络突发流量的频度和每秒新建连接的峰值越来越高　　华为赛门铁克企业营销工程部安全产品教授高雪松认为，在保障安全的同时确保用户体验和绿色节能，已经成为新一代防火墙的要求也就是说防火墙未来发展趋势是更高性能、更低能耗为此，华为赛门铁克企业近日推出了集成多业务的新一代硬件防火墙华为Secoway USG5000系列，并在千兆防火墙上将“每秒新建连接数”这一指标提升到了15万以上　　高性能体验　　防火墙产品通常被用户关注的指标关键包含吞吐率、每秒新建连接数和最大并发连接数，但在实际网络环境中直接影响用户体验的却是每秒新建连接数据高雪松介绍，这是因为目前的应用中每种业务将并发更多Session，当网络流量突发或受到攻击时，短时间内会产生巨大的新建连接，要求设备含有更强的抗攻击能力和业务响应能力，因此“每秒新建连接数”是新一代防火墙最关键的衡量指标。

　　作为一款千兆防火墙，华为Secoway USG5000系列提供6Gbps的吞吐率和最大600万的并发连接数，数据包转发的时延仅为30ms，配合超出15万每秒新建连接数这意味着，凭借着强大的每秒新建连接数的能力，Secoway USG5000系列防火墙能够为用户有效处理DDoS攻击防护问题，能够防范每秒数百万包以上的DDoS攻击，可支持对SYN FLOOD、UDP FLOOD、ICMP FLOOD、DNS FLOOD、CC等多个DDoS攻击种类的正确识别和控制　　作为困扰着用户网络中多种应用系统的关键安全问题，DDoS攻击中尤以CC攻击为代表的新一代应用层攻击威胁巨大因为它是采取模拟正常访问的方法对业务系统进行大量的访问请求，因此难以有效地识别和防护华为赛门铁克专有ICA智能连接算法，能够经过报文特征、前后报文关联关系等技术手段，对基于应用层的CC攻击进行有效的识别和防护，能够为用户的业务提供有效的安全防护，在确保正确识别DDoS攻击流量的同时，不影响用户的正常访问，在复杂网络情况下实现真正的安全防护　　应用体验　　在大流量应用场景下，用户还很关注NAT技术、地址映射等功效特征其中，NAT技术是防火墙的基础技术之一，在大型园区网络中，网络出口的防火墙往往担负着这一任务。

高雪松表示，不过在公网IP地址资源担心，单个IP支持内网主机数量有限的情况下，为了支持更多的内网主机数量，通常的措施就是增大NAT的地址池，将多个甚至是几十个公网IP地址组成地址池使用这和现在的公网IP地址资源显然是相冲突的　　华为赛门铁克为此开发出扩展NAT技术，采取智能交替算法，重新定义地址转换五元组，能够支持一个公网IP地址转换无限内网主机数，为用户处理了内网主机数量增加和公网IP地址数量担心之间的矛盾，大幅度地降低用户的公网IP消耗的问题　　另外，当互联网技术日新月异的时候，多种无线应用也逐步丰富起来，网络接入不再受限于用户所在的物理位置，给终端用户的网络应用带来极大的便利在整个数据传输过程中，GTP协议起到了关键的作用，不过因为GTP协议固有的漏洞和问题，比如针对于GTP协议的协议异常攻击、GTP协议欺骗、资源耗尽攻击等安全问题，运行商面临巨大的安全威胁和挑战　　华为赛门铁克企业为此采取了创新技术，让华为Secoway USG5000系列防火墙支持GTP协议过滤，实现对GTP协议传输的安全防护这么，该系列防火墙能够利用ACL规则过滤GTP非法报文，对GTP特定内容过滤，经过Ga数据过滤保护计费安全，还能提供Gi接口的攻击防范功效，提供GTP状态的统计信息和GTP过滤日志，能够有效地处理无线运行商网络PS域中的安全问题。

　　绿色环境保护　　而目前热议的绿色环境保护也被应用于防火墙的设计当中据高雪松介绍，华为Secoway USG5000系列防火墙在满足运行商市场高可靠性双电源要求的基础上，依然将整机的功耗大幅度降低，仅为业界同类产品的1/4，能够为用户节约大量的后期设备维护费用　　这是因为，首先，它采取低功耗主处理芯片，同时在系统主板上采取了多项省电技术，对关键的耗电单元作了供电优化，而且会依据设备的性能消耗进行供电调整其次，它采取智能风扇控制技术，散热系统会依据系统的温度智能调整风扇的转速和功耗，而不是让风扇一直工作在全速的高功耗状态下再次，即使采取双电源供电的高可靠设计，不过只有主电源为设备提供电能，备电源只会监控运行，功耗维持在一个极低的水平上。