此白皮书主要介绍NetScreen专为大型企业和服务供应商而设计的最新产品NetScreen-500安全系统,并深入简出讨论以下数方面:
瞬息万变的市场需求
选择安全方案需考虑的重要因素
NetScreen的优势
NetScreen的安全方案概观
NetScreen-500产品简介
瞬息万变的市场需求
大型企业
随着因特网科技和商业模式日趋普及化,现今企业网络亦正在迅速转变中。根据International Data Corp.于2000年的估计,到2004年时,美国差不多所有存放在代管设施的企业网站将兼备电子商务营运模式。
即使今日,许多领先企业已经拥有精密的网路基础设施(存放在自身的数据中心或外包给网站代理服务供应商)。此外,众多企业亦利用虚拟私有网络(VPN)的经济效益,将互联网变成他们的企业骨干网络。
这些技术的广泛应用导致另一种现象出现----带宽的需求。据Forrester Research于2001年指出,约有三分之一大型企业预计未来两年他们对带宽的需求将会倍增。由于新技术相继涌现,例如SONET/SDH、透过SONET平台启动Gigabit Ethernet、Wave Division Multiplexing、ADSL和SDSL等,加上传统的广域网络(WAN)服务,都使宽带使用更为普及,进一步导致成本不断下降。 在这种情况下,企业在未来决定有关安全问题时将会越趋复杂化,可靠性和安全性再不是评估安全技术时唯一需要考虑的因素。
服务供应商
与此同时,服务供应商的市场环境也发生了很大变化。虽然大部分业务环节预期仍有强劲的增长,但在资金紧张的情况下,大多数服务供应商已经调整其业务策略,将重点专注于如何增加来自每名客户的收入,以及提供增值服务,不再单是关注如何迅速扩展基础设施。可控的安全服务托管现时是一项非常吸引的服务,无论是作为可控网站代管服务的一部分,或是一项单独的服务。由于服务供应商的重要市场对象同样是企业机构,他们的安全要求与大型企业大致相同,只是他们更加注重性能、扩展性、可靠性和成本效益(包括管理)。
在现在的经济气候下,服务供应商在研究服务组合时,成本效益显然是他们最为关注的因素。可惜的是,很多供应商在提供安全服务方面出现‘被客户牵着走’的现象。这情况表示市场需求只会有轻微增长,同时显示供应商对开拓新市场方面兴趣不大,他们更无意透过提供价格具竞争性的服务以提升边际利润。
选择安全方案需考虑的重要因素
在选择安全设备装置时,现时需考虑的因素主要包括安全性、加密、性能、容量、灵活性和稳健性,以及整体拥有成本。
安全性
安全设备装置除了提供状态检验的防火墙及存取监管,更须拥有多项入侵防护和警报功能,确保整个网络更加稳固。有关设备装置不应依赖普遍性的作业系统作为防火墙的软件平台,因为这类平台的弊病是很容易被侵入破坏,且需要进行定期修补和更新。由于很多安全问题同时涉及多个类别,以下将逐一进行探讨。
加密
在今天的环境下,企业一般希望他们的VPN设置完全符合自身的整体安全情况。这衍生了一个问题:‘VPN通道的终点应该设在哪处地方才最为安全?’答案自然是防火墙,不过这样对传统防火墙的性能产生了很严重的问题。由于IPSec加密需要进行密集的电脑运算,当在一般用途的电脑平台运作时(正如大多数传统防火墙)其性能表现非常差劲,防火墙的传输速率亦大受影响。即使加上专用的VPN硬件加速卡,个人电脑的结构只会使VPN性能出现轻微改善。
供应商之间为系统设置VPN互通性能是另一个必须考虑的因素,尤以现今营运的环境倾向企业合并、建造企业外联网络,将工作外包给服务供应商及通勤VPN用户的诞生。
远端分支站点设立的VPN所面对的安全威胁与中央网络大致相同,然而这问题经常为人所忽视。远端工作人员和分公司一般会使用本地互联网络或企业VPN接入,但这无形中让企业受到‘U型’攻击的机会大增,入侵者可以通过分支站点设立的VPN进入网络,然后通过VPN通道进入企业内部网络。VPN专用设备装置可以进行设置,过滤所有并非前往或来自企业VPN网络的流量,但是由于企业网络连接互联网络多了一层阻隔,这会引起
远端节点出现传输延误和可能的网络堵塞情况。与中央网络的配置一样,将VPN通道的重点设在企业管理的防火墙可以改善安全和营运上的问题,只需要一个在性能和容量方面都适合的站点设置。
性能
除了需要支援高性能的VPN流量外,企业防火墙必须能够应付公司为提高收入而进行的销售和市场推广活动所产生的额外流量。 这些促销活动的目标,旨在发挥因特网的力量(E-mail广告、banner广告、通讯刊物的宣传赞助),以此吸引消费者登录公司网站浏览,从而透过电子商务直接满足客户的需要,或者获取客户资料作为将来行销之用。不过,所有行销活动都会带来一个副作用,便是引起骇客的注意。
这些推销活动会直接或间接地加重企业防火墙的负荷,并提高出现系统故障或被侵袭的情况。局部故障最严重的例子是防火墙成为瓶颈,令客户流量传输变得缓慢不已。在现今商业环境下,一个运作迟缓的网站是完全不可接受的,一旦发生这种情况,公司的声誉和收入会受到沉重打击。
企业将部分基础设施外包给服务供应商的主要原因之一,是希望获得更多的频宽、更完善的备援机构,以及在Web和电子商务方面得到更高水准的专业服务。因此,相比选择不外包的企业,对服务供应商在各方面的原需求为高,包括传输速率、会话(session)或VPN通道数目,以及处理尖峰流量负载的能力。同时,服务供应商必须根据服务水平协议(SLA)为客户提供一定的服务水平,以免负上金钱赔偿的责任,故此他们自身的系统
架构,在设计上皆足以应付尖峰流量负载,而且所有组件设备装置的性能容量皆预留一定的空间。
容量
VPN中央站点需要一个在传输速率和支援的通道数目方面具备可扩展性的安全方案,因为家庭办公人员、远端工作人员、分公司和内部网络的伙伴全部将VPN通道的终点设于中央站点。此外,中央站点方案也需要支援数以千计的并发VPN通道,以及可选择支援中转站(Hub and Spoke)的配置,让各分公司之间可以互相联系,而不需建立错综复杂的VPN拓扑网络。
企业防火墙通常利用数据包状态监测追踪每个离开和进入企业网络周边的会话。一旦防火墙达到可以处理的最高会话数目的容量时,所有新的会话将不会获准经过防火墙,直至完成处理现有会话为止。对网站而言,这是一个非常严重的问题,因为用户浏览每一版网页,已经包含众多个并发HTTP会话。换言之,受欢迎网站的防火墙需要同时处理数以万计的并发会话。在达到尖峰流量负载期间,一道防火墙可以处理新用户的流量是极为重要的,这容量一般称为斜率(ramp rate),即计算每秒可以增加新会话的数目。高斜率不单可以确保用户的满意程度,而且对预防网站受到阻断服务的攻击(denial of service attacks)同样重要。这类攻击利用发出数以千计要求建立会话的讯息,导致防火墙的容量出现饱和,因而拒绝客户访问网站或使用其他服务。
灵活性
由于企业环境目前变化相当迅速,企业安全管理设备装置变得非常重要,尤其是在中央网络方案方面,以便企业能因这些变化,适当地作出调整。这些网络安全设备必须具备以下特点:
1.当网络频宽增加,或是拓扑架构改变时,必须能增加不同的或是额外的实体界面(如路由器,交换机等);
2.必须能在不同的企业环境中发挥性能,例如中央网点、主机代管设施,或是分公司;
3.必须让使用者得以自行调整部分功能,而毋需求助于制造商。这些功能例如:VPN授权、支援额外的IP位址部分,以及增加会话数目。
从设备扩展性的角度来看,服务供应商必须能够配合整体市场的增长,以及现有个别客户需求的提升。换言之,成功的服务供应商必须具备长远产品策划的条件。他们需要配合客户数目的递增,从数十个到数百个,甚至数千个时,仍然能提供优质的可控安全服务,无需对已经建好的安全平台及管理工具进行重大的改动。更进一步来看,这些网络安全设备还必须易于扩展以添置新的服务项目来增加收入,而不需要更换客户的硬件平台。例如,当代管网站的现有客户需要增添VPN服务时,供应商无需安装额外的硬件平台便可轻易为客户增加服务项目。
稳健性
对于在企业网络环境中的任何设备而言,稳健性是相当重要的,尤其是管理所有网络进出流量的设备装置。中央站点的设备,必须考虑以下几点:
1.备援界面、电源供应与风扇;
2.传输带宽以外提供近端与远端的监管能力;
3.可组态系统以兼备高可用性及热备援方案。
另外,网络的设计必须仔细考虑负载能力的问题,设备装置所能承载的流量,必须高于平时需求的百分之五十,以应付尖峰时段的需求、远端节点的扩张、流量的增加及骇客的攻击。
整体拥有成本
虽然目前企业在IT采购上的预算较为紧缩,不过,安全系统仍然是采购名单上优先顺序较高的项目。企业仍在寻找更符合成本效益及高效率的方案以配合自身安全所需。安全方案在以下几种状况下会产生低效率的情形:
1.利用不同的设备装置分别操作防火墙、VPN及流量管理;
2.以服务器平台作为安全装置,且同时使用在操作系统的强化或更新,以及防火墙与VPN软件的升级或更新;
3.企业各部门间拥有各自独立的安全管理政策(policy)且不同的安全设备,而非由信息科技部门集中管理;
4.远端存取、内联网络、无线区域网络以及企业外联网络,都通过不同的安全装置进行控管;
5.不管是在本地端或是中央端,安全设备都没有一个一致的管理图形界面以进行快速设置、状态和系统维护;
6.装置多台分离设备以达到单一专属设备的性能及减省采购成本。
对于服务供应商而言,一项减少投资及运营开支的作法,就是以单一的安全设备,为大部分客户提供服务。这种作法在安全设备领域上,开始普及化,然而早已在大部分的网络设备上被普遍运用且成效显著。服务供应商的安全系统的建立必须能够为客户提供与拥有专属设备相同的服务水平。这个架构还要为客户建立独立的政策、位址及管理,并根据客户的数目提供一定的系统性能。
NetScreen的优势
无论是现在还是未来的安全设备装置,都必须符合以上的要求,而这些需求,也逐渐成为设备装置上必须提供的功能。这些设备必须能够将防火墙、VPN及流量管理无缝结合成单一架构,不但能为企业提供最高的安全性,而且能够依照企业的策略制定流量的优先顺序。例如,调整企业用的VPN流量速度而非电子商务网站的存取速度。
这些设备装置也必须能负载防火墙及VPN最大的传输速率,支援最大的并发会话数目及最高的会话斜率,这相等于每秒产生的新会话数目。系统必须能支援庞大的客户量,同样重要的是防卫阻断服务的攻击,避免因处理突发大量会话需求而引致防火墙出现故障。
即使在重负载的情况下,系统必须能维持以上的性能,而不产生任何封包遗失。若只有一个会话能达到1Gbps的传输速率,而两万个会话只能达到300Mbps的传输速率的话,这个情况是不能接受的。同样要维持传输速率但取而代之是大量的封包遗失,又或高层次的协定只单纯将这些封包输送,客户最终都面对差强人意的通讯回应。如欲获取有关‘零封包遗失’的测试报告,请到http://www.tolly.com/KT/NWWW/2001305netsecur.html阅览Kevin Tolly先生的文章。
NetScreen的安全方案概观
NetScreen提供目前业界中最高效能的防火墙与VPN方案,其突破性的ASIC安全方案可消除其他传统安全产品所产生的瓶颈问题,实现接近连线速度的数据封包处理,以充分利用频宽。 NetScreen的产品,为一系列不同应用的方案。从专为因特网数据中心和服务供应商设计的业界首个千兆位安全系统NetScreen-1000,到专门为
远端工作人员设计的NetScreen-5,以及为了NetScreen整体安全系统设计的管理工具NetScreen-Global PRO是一套可扩性高的软件管理平台,不但易于设置、执行,而且便于网络管理。
Appliances与Systems系列
到目前为止,NetScreen产品的硬件平台可大致上分为两类,NetScreen Applicances系列包括了NetScreen-5、NetScreen-10和NetScreen-100;NetScreen Systems直至目前则有NetScreen-1000。这些产品在设计上其实相当简洁,都具有都具有Trust、Untrust及Dmz端口(NetScreen-5则只有一个Trust端口和Untrust端口),可移动的部分也相当小(NetScreen—100有一个散热风扇)。每个产品都有NetScreen特有的ASIC芯片,可以加速策略查找和安全加密的执行。此外,NetScreen-1000采用处理器架构,即使每个封包有512byte,防火墙及VPN的传输速率也能达到千兆位元。NetScreen首个系统级产品NetScreen-1000,提供了电源后背及容易置换的风扇模块,而且支援多达100个不同的安全网域或独立客户。
NetScreen-500的产品简介
NetScreen-500为状态检验的整和式系统安全产品,它整合了防火墙、VPN及流量管理的功能,仅占用2U的机架空间。它是一款高性能的产品,不但具有备援能力,而且管理容易,并支援多重安全网域。NetScreen-500是一独特平台,兼具NetScreen-1000及NetScreen-100的优点。NetScreen-500是依据模块概念设计,具备多项出众的性能。另外,在备援功能上还设有高可用性交换口、管理接口和四个流量模块,还有一个可制定程序的LCD,
以便管理者远端设置。
主要产品特点:
700Mbps防火墙和NAT传输速率
250Mbps 3DES VPN传输速率
能处理250,000个并发会话
每秒处理22,000个新会话
10,000个VPN通道
25个虚拟系统,100个VLAN
NAT,路由及透明模式运作
基于策略的NAT
支援中转站VPN
与Websense内容过滤方案兼容
10/100双交换端口或GBIC(SX或LX接受器)模块卡
背援高可用性介面
10/100传输带宽以外的监管能力
可制定式LCD
销售方案
NetScreen-500ES(Enterprise System)配备一套完整的硬件组合,并可按照企业环境的需求升级至5、10或25个虚拟系统。
NetScreen-500SP(Service Provider System)配备25个虚拟系统,透过单一硬件平台为多个用户提供服务,或为同一用户的不同应用方案提供分区网络安全。