安全桌面:第二代上網行為管理初探
隨著網絡飛速發展,網絡應用日新月異,網絡管理的需求必然不斷提高,現有的上網行為管理產品已經日漸無法滿足當今客戶的復雜需求。作為上網行為管理的明星企業深信服公司,再次提出了“第二代上網行為管理”的概念,將終端與網關形成了端到端的管理解決方案,以適應用戶對上網速度和安全的最新需求。
那么,為什么會有第二代上網行為管理產品的出現呢?第一代與第二代有什么樣的區別?面對現在復雜的網絡應用,究竟有哪些方面是現有上網行為管理產品已經不能管理的呢?深信服市場行銷部技術總監殷浩在接受記者采訪時表示,第二代上網行為管理設備與第一代的在設計思路上最大區別就是在“封堵”的基礎上增加了“隔離”與“削減”的核心思想。
“安全隔離”+“流量削減”
除了延續第一代上網行為管理的網關殺毒、防火墻、防DOS攻擊、防ARP欺騙功能外,深信服第二代上網行為管理針對目前肆行的以經濟利益為目的的惡意網頁、病毒木馬推出了上網安全桌面。當使用上網安全桌面時,一切都在虛擬中進行。即使點到了惡意鏈接或惡意郵件,他們攻擊的都是一個虛擬化桌面。當退出上網安全桌面后,那些木馬、病毒,都將即刻化成浮云。
“安全桌面”實際是使用沙盒技術,構建的一個虛擬化“容器”,使得用戶在該“容器”中,對文件、注冊表的操作都被虛擬化。當用戶退出“容器”時,之前在“容器”里面所做的修改,全部都被還原。除此之外,安全桌面還結合了一系列的規則(網絡規則,放行規則等)用來限制用戶在“容器”中操作的權限。
深信服上網安全桌面
深信服第二代上網行為管理可以通過“上網安全桌面”這個新功能,幫助用戶在一臺終端上設立兩個相互“隔離”的桌面環境,用默認桌面訪問內部網絡,用“安全桌面”訪問互聯網,從而保證了在不改變用戶使用習慣,不增加操作復雜度的前提下,讓終端“永不中毒”,避免了內網引入互聯網風險。
深信服第二代上網行為管理設備的“安全桌面”將終端與網關形成了端到端的管理解決方案,是一套真正適合企業級市場的上網行為管理方案,在網關設備上可以將網絡安全策略與終端安全策略統一部署,在行為管理的同時保障內網安全,簡化管理;而防病毒廠商提供的安全桌面僅僅是在單獨PC上進行配置、安裝,無法進行統一調控部署。
殷浩表示,“安全桌面”的創新,是上網行為管理在安全方面的重大舉措,彌補了第一代上網行為管理在上網安全方面的嚴重不足,是第二代上網行為管理的重要標志。
在傳統的上網行為管理設備中,流控是主要的功能之一。但是流控的目的是什么呢?是為了合理分配出口帶寬,提高帶寬使用率。有研究顯示,同一個工作環境下的人員,訪問同一個或者同一種網頁的概率高達70%。有些企業內部每天訪問新浪門戶網站的次數達到5000多次,使用抓包工具看到,新浪門戶網站包含200多個元素,每次訪問此門戶網站產生的平均流量在1178918 字節,5000多次的訪問將產生5000Mb的流量,其中有99%的流量為重復冗余的數據。
深信服第二代上網行為管理在帶寬管理上推出緩存加速功能,通過內容緩存功能,在網絡出口形成了一個針對http、視頻、flash等應用的緩存池,第一次訪問這些資源時將會直接存入緩存池中,如果后續檢測到有其他人訪問同樣的資源,將會直接從本地的緩存調去,從而不用在通過互聯網下載,從而既提升了響應速度,又合理節約了帶寬,延后了帶寬升級的問題,提高內部用戶上網速度達3倍以上。同時,提供更高的ROI,從而達到“削減”的目的。
作為部署在出口網關的上網行為管理設備,在承載過多的控制功能時勢必存在性能瓶頸和壓力。因此,深信服第二代上網行為管理采用的是分布式建設思想。將部分安全功能下載到了終端上的“安全桌面”進行,比如分部的網絡訪問控制等功能,將原先“集中式”的防護模型,變為了“分布式”模型,從而極大的提升了設備的處理性能。據悉,為了滿足像運營商、高校這種高端用戶需求,深信服將會推出萬兆級第二上網行為管理產品。
一代VS二代
上網行為管理產品需要能精確識別上網的行為,所以專業的上網行為管理廠商都具有兩個庫,一個是網頁庫——URL庫,一個是應用識別規則庫。URL庫主要用于網頁過濾。應用識別規則庫主要用于行為的控制和根據應用分配流量。但縱觀國內各廠商的上網行為管理,真正有這兩個庫,并且實時更新的廠商屈指可數。
殷浩表示,深信服第二代上網行為管理具有2000多萬條URL,并且針對最新的惡意URL地址可以做到每小時更新一次,從而確保了訪問的安全性。同時,深信服與中科院聯合開發的URL智能識別系統,自動搜索和更新詞條。在第一時間錄入新浪、騰訊、搜狐等微博網頁,解決市場上目前靜態庫帶來的弊端,并且第二代上網行為管理突出了對加密網頁的內容識別和管理,彌補以往上網行為管理中的不足,解決了SSL加密網頁管理的漏洞。配上應用智能識別庫,解決了P2P應用更新速度快的問題,為P2P的流控和整體網絡的穩定管理提供了保障。這個是第一代上網行為管理產品目前沒有觸及的。
從在架構上看,深信服第二代上網行為管理萬兆平臺仍然采用X86架構。NP架構在萬兆網絡中數據處理能力優于X86架構。那么為什么采用X86架構而不采用NP架構呢?殷浩向記者解釋到,對于應用層設備來說需要更為強大的計算能力來滿足針對L4-L7數據報文的分析和對比,而NP芯片主頻遠遠落后于X86的多核CPU,相差數倍。此外,大家一直認為X86性能不足的原因在于南北橋的總線架構導致了64字節小包處理能力弱;但是,目前采用最新技術的X86硬件平臺通過對總線技術的改近,64字節的小包轉發能力已經達到了20G,性能瓶頸已經打消。綜上兩方面原因,X86架構目前已經成為大多數萬兆應用層設備的首選。
同時,深信服做上網行為管理的數據處理、架構優化上積累了豐富的經驗,而且深信服在X86架構上做了很多的優化以提高性能。
隨著互聯網的急速發展,傳統的上網行為管理似乎開始捉襟見肘。深信服科技適時提出了“第二代上網行為管理 = 安全桌面+內容緩存+萬兆高性能”的概念,率先推出了第二代上網行為管理產品,我們期望第二代的上網行為管理設備能夠為用戶提供更加安全的上網體驗,更加快速的訪問效果,降低用戶的IT運維工作量,提升效率,降低成本。
