安全趋势：边界安全之网络安全NGFW+（5）

5.5、多核高性能

        高性能多核技 术为工程师们打开了另一扇门—它是把更多的CPU压在一个芯片当中以提高整个芯片处理交易事务的能力。以8核为例，在一块CPU基板上集成8 个处理器核心，通过并行总线将各处理器核心连接起来，一般多核芯片都会集成一些针对比较耗费资源处理的硬件加速引擎。比如XLR内置的网络加速器可以对从 网络接口进入XLR的数据包进行高速预处理。拿以太网包举例，XLR的网络加速器可以对以太网包2层、3层、4层的内容进行辨析，提取特征串，自动完成校 验和验证，把包DMA(Direct Memory Access)到内存，构造以太网包描述符(Descriptor)，然后可以基于多种策略把以太网描述符快速均衡的分流到指定的vCPU。这样，既可以 提升网络层处理性能，也可以加速处理应用层检测速率，小包性能以及并发数显著提升，并且多核芯片内建应用加速安全引擎，在硬件层面上就可以支持 AES，DES/3DES,SHA-1,SHA-256,MD5算法，最大可提供10Gbps的VPN加密解密运算能力。

5.6、NGFW+自身高安全

        如果防火墙系统本身被攻击者突破或迂回，对内部系统来说它就毫无意义。因此，保障防火墙自身的安全是实现系统安全的前提。一个防火墙要抵御黑客的攻击必须具 有严密的体系结构和安全的网络结构。 不同类型的拒绝服务攻击。理想情况下，防火墙应该采取直截了当的方式，比如将数据包打回或干脆关闭防火墙的方式。

六、网御NGFW+安全解决方案

         网御下一代防火墙分为KingGuard万兆系列、Super V高端系列、Power V中高端系列和Smart V低端系列，共计80余款，可为各种规模的企业和政府机构网络系统提供相适应的产品。网御防火墙已在税务、公安、政府、军队、能源、交通、电信、金融、制 造等各行业中部署50000台以上。KingGuard、Super V系列采用高性能的RSIC多核架构，并结合国内首创的WindRunner矩阵式并行处理技术，将多颗CPU排成矩阵，在对网络数据流进行 IPv4/IPv6双协议栈的策略匹配、抗攻击、内容过滤、加解密、QOS、日志等多项业务处理时，采用并行计算和流水线两个维度进行并行处理，确保了高 安全的前提下的高性能处理。Power V系列采用基于应用识别的绿色上网控制模块，并在Power V-4000及3000系列集成了专用ASIC加速硬件芯片，使得小包高达10Gbps;Power V是已部署3万多台套的高可用多威胁统一管理的下一代防火墙系列。Smart V系列是集成防火墙、VPN、交换机、主动防御等功能于一身，可采用机架型和桌面型两种设备部署方案，适合各类大集团的分支机构、区县级政府机关、小型企 业及SOHO用户。

         在应用感控与云安全技术方面，网御下一代防火墙结合VSP、USE、MRP等核心安全技术，通过智能感控技术收集攻击 检测源和挂马网站URL等特征，，与已部署的防病毒网关、IPS、UTM、Guard等设备联合抓取病毒源、攻击检测源和挂马网站URL等特征，汇集至云 防御服务器定时收纳合并，云防御服务器动态更新病毒库、攻击特征库、挂马库等并同步到所有网御安全网关设备中，使其他设备也具有防病毒、IPS、防挂马等 功能，同时使其具备更高的处理性能，共同形成整体可信架构云防御体系。网御公司提前部署可信架构“云防御”体系，主动防御未知威胁，网御下一代防火墙在不 断变化的威胁环境、不断变化的业务 IT流程、不断更新的云威胁下，为用户提供真正有价值的信息安全整体防护方案，使信息安全3.0时代提前到来。