|
|
防病毒网关 | | 防病毒网关操作系统是专用的、实时的强化安全的操作系统,它在全平台上支持病毒扫描,内容过滤,sateful检测防火墙,IP安全(IPSec)VPN,基于网络的IDS和流量管理应用。以下介绍其设计特点、应用级和网络级功能,以及高性能,高可靠性,高灵活性和扩展性。
| ■ 高性能并行处理
防病毒网关高端产品设计为双CPU。 利用对称多处理技术,有效地分解和协调在双处理器之间不同的任务。 在任一特定时间, 两个处理器都负载在最佳的处理水平。 由于利用了专门的算法, 任务切分和协调过程中的消耗减到了最小程度
|
■实时体系结构
与非实时OS(例如许多防火墙和设备采用的不同风格的Linux)相比,防病毒网关操作系统是使数据流程处理达到优化的实时操作系统。在非实时OS中,核心并不总是对输入的数据包触发的中断作出及时反应;这不仅使数据包排队时间增长, 而且造成系统资源(例如内存)不能有效地利用,因而增加了丢包率。防病毒网关操作系统的设计集成了智能排队和管道管理, 与包的到达/处理相关的系统中断得到立刻的重视。同时,基于内容处理加速模块的硬件加速使各种类型流量的处理时间达到最小,加上最短的排队时间,从而给用户提供了最好的实时系统。
|
■ 实时内容级智能
常规的安全网关设计有两类:状态包检测(基于流程的,flow-based)和应用代理( proxy)。在基于流程的网关中,安全策略是大多在包一级定义和执行的(虽然状态检测对一定类型的流量保持会话上下文)。 这种方法因为包在处理后马上送走, 而导致高处理速度和高吞吐量; 但是, 由于处理是在包一级的, 系统不理解高一级语言,(例如协议)或目标(例如文件),因此不能识别有害的脚本、病毒攻击、或不想要的内容。相比之下,基于代理的系统,安全网关终断进入和流出的会话,检测包,将它们重新组合为原始的数据流,理解会话的当前状态,并能够对预先定义的违规、或动态产生的安全或网络策略进行检测内容。这种方法有足够的智能在应用级运作,因而能进行应用级处理。但是,重新组合所有的包和检测数据流需要耗费大量的计算资源,那会使基于代理的网关变得性能减低许多。
防病毒网关设计为综合基于流程的和基于代理的两者优点,而同时又克服它们的弱点。病毒网关设计为具有基于流程的检测引擎和多应用级代理(HTTP, SMTP,POP3, IMAP等)。专利设计在包检测和代理之间给出最佳的协调。由内容加速单元提供了基于代理系统的智能,而在性能上达到通常只有基于流程的系统才能达到的水平。结果使防病毒网关不仅能达到常规的网络级安全, 例如防火墙,VPN和NIDS,而且能在网络界面边缘高速地处理应用级安全功能,例如病毒与蠕虫扫描、URL和关键词内容过滤、跨过防火墙的话音Voice over IP (VoIP)。
|
|
|