许多组织正在考虑将其核心网络升级到10Gbps链接,而某些组织已经实施了10Gbps核心基础架构。当您升级核心时,其他网络功能将成为升级的候选者。重要的是要确定您的安全系统是否必须以10Gbps速度运行。
通常,防火墙和IPS是在网络的边缘或外围执行的功能。然而,随着安全边界的侵蚀,许多组织正在将这些安全功能更靠近其网络的核心。我所知道的一些组织出于安全目的,使用在其环境中创建“enclaves”的模型来分隔不同的组。过滤是在这些“飞地”之间进行的,类似于潜艇舱口关闭隔间的方式。在这些网络的核心维持这种过滤的行政负担很高,但这些组织的安全风险也极高。由于仔细检查信息包和让信息包按照它们的方式转发是两个相反的目标,因此很难在安全性和性能之间取得正确的平衡。
10 gbps防火墙
应当询问问题如何在10Gbps的惊人率上实现对流量的数据包的检查。防火墙难以扩展到多个GBPS吞吐量,因为深度数据包检查是CPU密集活动。必须解析各个数据包,并检查其IP标头和传输层标题。如果必须执行额外的有效载荷检查,则需要更多的处理时间来执行他的模式匹配并跟上流量卷。硬件数据平面(转发结构或总线)本身的输入/输出(I / O)功能可能会限制安全系统的性能。
防火墙速度通常由日志记录量,高级UTM功能的数量和防火墙策略的大小控制。尽管大多数防火墙执行每次数据包的自上而下的订购匹配,但它们使用复杂的匹配算法来加快规则匹配。因此,对于防火墙策略的大小,滤波的速度不是线性的,因为这些优化是用软件进行的。特定于应用程序的集成电路(ASIC)帮助防火墙通过卸载函数来扩展它们的性能,这些功能通常在软件中为匹配和过滤数据包优化的硬件。
另一件需要考虑的事情是防火墙是否有10Gbps的接口。可能供应商声称有10Gbps的防火墙能力,但他们的产品实际上没有10Gbps的接口。如果防火墙只有1Gbps的以太网接口,那么10Gbps的性能将很难实现。许多厂商允许在一个EtherChannel中合并多个接口。但是,可以组合的接口数量是有限的。
供应商通常会为他们的产品列出“最佳情况”的性能规格。如果你想要一个最好的防火墙性能,那么供应商的吞吐量性能通常是通过使用非常大的包大小来评估的。它们的测试使用最大可能的数据包大小(1500字节)或甚至使用巨帧执行。测试可能使用最基本的规则集(允许ip any any),并且根本没有任何日志记录。关闭所有其他无关进程,或关闭额外的深度包检测或UTM功能。
思科有几个安全解决方案,可以扩展到许多Gbps,甚至10Gbps。思科防火墙服务模块(FWSM)的吞吐量为5Gbps。可以将多台FW组合在6500机箱中以提高吞吐量,也可以使用ACE (Application Content Engine)刀片实现FW的负载均衡。在最近的一篇博客中,我谈到了FWSM 4.0.4现在支持Cisco虚拟交换系统(VSS)6500S实际上可以将其性能提高到10Gbps高于10Gbps。思科自适应安全设备(ASA) 5580-40额定为10Gbps。有趣的是,这些规范实际上提到了在使用巨帧时20Gbps的吞吐量是可能的。新思科聚合服务路由器(ASR)1000系列路由器也能够执行数据包的过滤和路由。尽管ASR通常被认为是一个非常高速的WAN路由器,它也可以执行防火墙功能。根据ASR中放置的进程,管理其性能。具有ASR1000-ESP10(单或双)的ASR 1004或1006可扩展至10 Gbps或更高,并且ASR1000-ESP20(单或双)可扩展到超过20 Gbps。
还有许多其他供应商提供10Gbps防火墙选项。检查点VSX-1 9070和9090诺基亚IP2450检查点横梁X45或X80上的检查点瞻博网络NetScreen 5200和5400Stonesoft StoneGate FW-5100帕洛阿尔托网络PA-4000Fortinet 5000.手表XTM-1050
如果有人知道任何以10Gbps评为10Gbps的防火墙,请告诉我。如果我们在这里有全面的10Gbps防火墙供应商的全面清单,那将会很好。
10Gbps入侵预防
因为入侵防御系统(IPS)需要更完全地解码每个数据包及其内容,以确定数据包是否是IPS功能的一部分,而IPS功能甚至更加CPU强度,而不是防火墙。防火墙只能查看有状态连接的前几个数据包,然后允许所有后续数据包都允许,只要它们包含相同的源/目标地址,源/目标端口号和ACK /序列号。IPS没有奢侈品允许所有数据包通过它基于作为连接启动的一部分的第一个数据包。
如果一个IPS不能处理它没有失败打开的流量,它实际上会丢弃报文。有时即使是1Gbps的流量也会导致高速IPS丢弃报文。由于ips部署在与流量路径一致的位置,以防止恶意数据包,它们必须检查每个数据包,使它们不能失败打开。
与防火墙类似,在IPS上进行的日志记录越多,性能就越差。在IPS上生成的报告越多,开销就越大。
由于流量卷和CPU利用率增加,误报开始增加。如果您有许多具有1Gbps流量的误报,则您将在10Gbps流量中具有压倒性数字。为了从您的IPS中获取更多性能,您必须调整正在使用的签名和调整IPS以减少误报的数量。
顶级思科4270.传感器声称吞吐量为4Gbps。即使4270传感器没有10Gbps接口,多个1Gbps以太网接口也可以组合成一个EtherChannel。
其他制造商现已声称10Gbps IPS功能和NSS实验室一直在进行10gbps IPS组测试。
McAfee网络安全平台M-8000设备瞻博网络IDP 8200.Sourcefire 3D IPS 9800传感器提示点核心控制器反射MG10克里诺伦姆
再次,如果您知道任何其他10Gbps IPS,我会感兴趣地知道我是否将它们留下来。
结论
当你考虑将你的核心网络基础设施升级到10Gbps时,你不一定要升级你的安全系统来检测10Gbps的流量。但是,您应该了解在这些极端速度下控制防火墙和IPS性能的因素。您应该以怀疑的态度看待供应商的声明,然后确定您对性能和安全性的真正需求,以便为您的组织实现完美的平衡。
因此,最好进行一次民意调查,看看您的组织何时需要认真考虑10Gbps防火墙和IPS系统。请花点时间回答这个问题,然后我们就可以观察结果了。
斯科特