VSP是聯想網御自主研發的專用安全軟體平台,該平台參照國際標準,基於完善的體系結構設計,將實時作業系統、網路處理、安全套用等技術完美地結合在一起,具有高效、智慧型、安全、健壯、易擴展等特點,是聯想網御邊界防禦產品的通用平台。
基本介紹
- 中文名: 通用安全平台
- 外文名:(VSP:Versatile Security Platform)
隨著信息化建設的深入,網際網路上的各種套用不斷增多,作為邊界防禦的基礎設施——防火牆,也面臨多重挑戰。一方面安全需求日新月異,另一方面網路頻寬飛速擴展,傳統的小作坊式研發設計已經不能滿足要求,設備平台化已經成為發展的趨勢。
通過平台化,防火牆能夠迅速適應新的硬體平台,性能得以快速提高,滿足甚至領先於網路頻寬的發展。同時,平台化的防火牆具備良好的擴展性和適應性,可以快速移植到各種硬體平台,提高系統的性價比,並很容易發展出新的功能,適套用戶特殊的或不斷變化的安全需求。聯想網御在下一代安全架構中,推出了彈性架構的安全平台,正是為了順應了這種發展潮流,將防火牆產品的研發設計推向了新的高度。
彈性架構的安全平台包含四項核心組成部分:通用安全平台(VSP)是所有防火牆設備的基礎,統一安全引擎(USE)是防火牆設備的安全發動機,多重冗餘協定(MRP)是防火牆設備高可靠性的保證,高速安全硬體(HSH)則是防火牆設備高性能的助推器。
在安全產品實現上,四類核心技術的有效組合,可以為用戶提供多樣化的安全功能:既能為高端用戶提供專用的、高性能的、高可靠性的安全設備,如防火牆、VPN、IPS等,又能為中小型用戶提供多功能、高性價比、易於管理維護的安全設備,如UTM,還能夠根據用戶需求,在專用安全設備上提供增強的安全功能,快速完成產品定製,如在高端防火牆上提供異常流量的分析過濾器。
1. 通用安全平台(VSP:Versatile Security Platform)
VSP是聯想網御自主研發的專用安全軟體平台,該平台參照國際標準,基於完善的體系結構設計,將實時作業系統、網路處理、安全套用等技術完美地結合在一起,具有高效、智慧型、安全、健壯、易擴展等特點,是聯想網御邊界防禦產品的通用平台。
VSP面向網路吞吐和安全處理,不同於Linux,FreeBSD等通用作業系統追求均衡的方向,VSP通過控制平面和數據平面的分離,集中主要資源於數據平面,進行網路吞吐和安全處理,使系統具有極強的實時性和網路吞吐能力。
VSP參考微核心設計,基於訊息機制,僅將最基本的作業系統功能置於微核心,多餘服務和應用程式均構造於微核心之上,確保任何服務和套用的問題都不會造成整個系統的崩潰。同時,微核心中集成攻擊防禦引擎,可有效檢測和抵禦攻擊行為, 從根本上提高了產品的可靠性和健壯性。
通過系統功能與資源管理分別工作在不同的平面,各平面和模組之間共同遵循標準接口函式,VSP與各種嵌入式系統相比,具有高度靈活性和可擴展性。同時,VSP將硬體驅動獨立為硬體抽象平面,對上層軟體提供統一調用接口,對下層硬體統一定義驅動標準,適應不同規格的硬體架構,實現與多種專用晶片的無縫融合,VSP可充分利用從IXP,PowerPC到NP、內容加速晶片等各種先進硬體平台的優勢。
2 統一安全引擎(USE:Uniform Security Engine)以VSP為基礎,最佳化傳統的安全引擎,抽象數據模型、構造統一架構,有效地將狀態過濾、VPN、IPS、內容過濾等多類別安全引擎集成為統一的安全引擎,顯著提升了聯想網御防火牆的安全防禦能力。
統一安全引擎克服了傳統上各個安全引擎獨自為戰,存在大量冗餘處理的缺點(比如,蠕蟲檢測在IDS,病毒檢測中都要處理),通過高效的引擎集成技術,將各個安全功能與網路協定棧的處理有機地整合為一體,狀態檢測、協定分析機、深度過濾、內容檢測等引擎協同工作,對於監測的數據包,一次性拆包即可完成2~7層的檢測,同時採用聯想的專利技術——基於摘要索引的內容處理加速算法,有效地提高了引擎的處理效率。
聯想網御防火牆根據用戶需求側重點不同,通過統一的配置接口,可以方便的組合使用各種安全特性,加上不同的硬體架構,可以適套用戶的不同安全需求。
3 多重冗餘協定(MRP:Multi-layers Redundant Protocol)基於聯想擁有的大型計算機高可靠設計專利技術,利用電信骨幹網可靠性運營維護專業經驗,通過在物理層、鏈路層、網路層、實體層等多個層面實現多元化冗餘設計,可有效地保障聯想網御防火牆在用戶網路套用中的高可用性。
MRP支持基於狀態自動探測的雙機熱備。當主系統發生故障或對應線路的網路故障時,備份機可自動檢測並切換到主狀態,接管主系統的工作,切換時間小於1秒鐘。同時,基於國內首創的“狀態增量同步”技術,解決了主從設備之間狀態一致性問題,在保證不損失狀態檢測的安全性的同時,保證了系統切換期間會話不會中斷。
MRP支持主動負載均衡、會話保護和接管以及主動配置同步等功能,不但可以在集群和雙機中實現配置的同步,簡化用戶的管理負擔,並且基於“狀態增量同步技術”實現了業務在多台設備之間的平滑任意分布和切換,解決了採用VRRP協定和動態路由協定帶來的“業務續斷問題”,在透明、路由、混合等多種工作模式下實現負載均衡,最多可以支持2~8台的設備集群。
4 高速安全硬體(HSH: High Speed Hardware)
聯想網御防火牆在硬體領域始終引領安全技術潮流。2003年,聯想網御在國內率先推出NP架構“超五”千兆線速防火牆,以其優異的性能,受到了業界普遍認可。
多核多執行緒晶片技術是網路設噶煊虻淖鈽路⒄梗??臚??氏仁迪至瞬?坊??ü?獵PU與網路匯流排、安全套用加速引擎的集成,極大拓展了內部頻寬,解決了通用平台的匯流排瓶頸,多核多執行緒的體系結構特別適合網路並行運算,使防火牆的網路處理速度從千兆走向了萬兆。
彈性架構的安全平台是聯想網御防火牆的技術基礎,以此為基礎形成的產品和解決方案可以應對新的安全威脅在速度、範圍和複雜性方面的挑戰,快速滿足用戶需求。除此之外,因為平台具有的彈性特點,部分模組和技術將來還能嵌入到硬體晶片、網路設備、作業系統或者網路套用中,自然地融入信息化建設當中。彈性架構的安全平台必將成為推動信息化建設與信息安全協調發展的重要動力。