新一代网关架构:内容与网络安全的融合

开篇：润墨网以专业的文秘视角，为您筛选了一篇新一代网关架构:内容与网络安全的融合范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

近日，卫士通公司结合网络安全技术发展现状及市场需求，提出了开发新一代安全网关(New-qeneration seCur5ty GateWay，NGsG)的指导思想：采用内容加速硬件，在保证网络通信质量的前提下，增加内容安全功能，提升安全的控制粒度和广度，保证内容安全和网络安全，同时提供灵活的管理和网络部署特性。

新一代安全网关在内容安全方面以内容过滤、行为监控功能为主，提供Web页面的内容过滤、邮件内容过滤、URL地址过滤、病毒过滤、垃圾邮件过滤、行为识别与控制(对QQ、MSN、SKYPE、BT、edonkey、迅雷等常用的IM工具和P2P工具的监控等)、行为记录与审计等功能；在网络安全方面提供访问控制、流量控制、NAT、IPSECVPN、SSL VPN、IP MAC绑定、身份认证功能等。在管理方面采用灵活多样的方式，支持集中和分布式相结合的部署方式，可以通过安全管理平台进行统一管理，也可以通过B/S方式进行无客户端的管理。

新一代安全网关(NGsG)的处理机制

NGSG包含了如图1所示的组成部分。整个系统采用层次结构，在通用的安全架构基础上增加了内容过滤加速模块和密码加速模块。

采用通用X86硬件平台架构，当添加大量内容过滤规则、开启网络行为识别与记录后，系统的处理能力就会急剧下降，会严重影响网络的通信质量，但不启用这些功能又会形成严重的安全隐患。解决方法就是采用基于全包多任务并行内容查询与过滤的加速模块，其简单结构如图2。它不仅能够实现常用的基于协议、IP地址、服务端口的访问控制功能，还能够实现基于报文特征和内容字段的全包查询功能，将CPU从繁忙的规则匹配、内容匹配中释放出来，更好地为复杂的分析、处理和调度功能服务。网络报文在该系统中的处理过程如下：CPU将收到的报文通过Memory和SCFC(special ContentFilter Channels)发送给CFC(ContentFilter Core)，CFC将查询的结果信息通过SCFC返回给CPU，根据结果信息，CPU对报文作后续的处理(状态刷新、地址转换、记录日志等)，高速地完成报文转发。

强大的加解密功能也是这款设备的亮点之一。结合IP加密处理技术，实现了内容过滤模块与IP加密模块的有机融合，达到内容过滤与IP加密双加速的目的，在充分保证内容安全和通信安全的前提下提供了高质量的通信带宽保障。为了保证处理的效率，内容过滤加速模块只对加密前和解密后的报文作内容安全处理。

如图3是一个NGSG的典型应用场景。Intranetl和Intranet2是分布于不同地域的有上下级关系的内部网络，分别部署了NGSGl和NGSG2，都安装了统一安全管理平台和行为记录与审计服务器。NGSGl与NGSG2之间通过建立高速的VPN通信通道，保证两个内网间的业务通信过程安全(机密、完整、有效)；配合高速内容过滤模块，保证内网与内网间、内网与外网间的内容安全，同时保证内部的重要内容通过网络可控传送。NGSG2行为记录信息可发送给上级行为记录与审计服务器NGSGl，同时本地保留相同记录信息，保证上级对下级的上网行为进行监视、审计和管理。同时，上级通过安全管理平台，可以对下级NGSG2进行配置管理或状态查询等操作，保证了上级可对下级上网行为进行控制。

NGSG提供了完善而快速的网络安全、内容安全功能，还提供详细的内容、行为记录与审计功能，不但能保障网络安全和内容安全，而其还能遵从相关的法规要求。NGSG将网络安全与内容安全高性能的有机地融合，为客户提供了高附加值的信息安全产品和解决方案，对于日趋复杂的信息安全需求具有重大意义。