数据库安全网关(精选7篇)
数据库安全网关 篇1
信息技术行业是一个飞速发展和变化的行业,目前已经成为国民经济建设的基础,在这个行业中所有的应用都是以信息为中心,信息是现代信息技术应用的中心。伴随着信息技术的发展,全球信息安全事件频发不断,信息的安全越来越受到关注。但是作为整个信息系统最重要的信息资源的数据库系统却没有受到应有的重视,为了提高信息的安全性,必须提高数据库的安全防护。
目前主流数据库系统在应用中存在以下几个安全问题:系统认证的不可靠、加解密技术的固定、系统管理员权限过大、审计数据结果易受攻击等。为此,人们已经提出了一些解决方案,如采用多级安全数据库,数据库整体加密,网络传输加密,用户身份认证等。但是由于目前的主流的数据库系统如SQL Server,Oracle,Sybase等,大都是基于C/S方式的,这些安全技术在这样的数据库系统中难以直接应用。
数据库安全网关正是为了试图解决上述问题而提出的,下面将从几个方面阐述数据库安全网关的设计方案和部分关键技术。
1 背景
随着现代社会信息化进程的发展,军事单位、政府机关、各企事业单位纷纷建立各自的网站与信息系统,数据库系统已经成为信息化建设的基础设施。数据库系统管理和存放着单位、部门、个人的重要信息,如军事情报、政府文件、技术资料等等,这些信息往往具有极其重要的社会和经济价值,一旦遭到攻击,信息被窃取或破坏,都会产生严重的后果。
据近年来一些国内外权威机构的统计报告,有近70%的网络攻击是来自内部的,同时还有57%的公司认为内部人员利用职务之便实施计算机犯罪的威胁最大。以上数据充分说明了信息安全不仅仅要防止外部黑客的入侵,更重要的是要防止内部管理人员的破坏。在信息系统建设中,一个重要安全问题是系统管理员的权限过大,因而常常会出现一些近乎荒谬的现象。数据库安全网关的设计出发点之一正是为了防止内部网络攻击和限制系统管理员的权力,以提高数据库系统中存放的信息的安全性。
数据库安全网关作为数据库系统的配套安全设备,适用于各种使用数据库系统并对其中信息安全有一定要求的部门和机构,特别是在军事单位、政府机关和一些大型的企事业单位中,计算机中心等计算机技术部门往往不是这些单位的主要业务部门,因此计算机工作人员不应该涉及单位的核心业务资料。但是,利用计算机网络技术实施犯罪的又大多是这些人员,如何才能有效地限制计算机技术人员对数据库系统的管理和访问权限,是提高单位信息安全的重要课题。
为此,研究旨在提高数据库系统安全性的数据库安全网关,有着极其重要的实际意义。
2 系统结构设计
总体结构设计
数据库安全网关顾名思义就是要在传统的数据库服务器和用户客户机之间增加一个应用代理部件,如图1所示。从图中可以看出,与传统基于数据库的应用系统的结构相比,在用户即客户机与数据库服务器之间增加了一个由网关客户端和网关服务器端组成的部件,客户一切与数据库服务器的通信都必须经过该部件,这个部件就是数据库安全网关。
由于数据库安全网关是连接数据库服务器与客户机的关键部件,因而它必须分为网关服务器端和网关客户端两部分,分别对应着数据库服务器和客户计算机。其中网关客户端负责转发客户应用系统向数据库服务器发出的各种请求信息,同时将接收的数据库服务器的应答信息传递给客户应用系统,而网关服务器端则需要接收并分析从网关客户端发来的信息,通过检查并记录后,将其转发给数据库服务器,同时要将数据库服务器的应答信息进行记录,并转发给网关客户端。
为了确保数据库安全网关是客户与数据库服务器之间的唯一信道,可以将数据库安全网关设计成一个软、硬件相结合的部件。其中网关客户端以简单地软件包的形式安装在客户机上;而网关服务器端则是为一个硬件设备,该设备作为数据库服务器接入网络的唯一桥梁。为了保证数据库服务器的安全,用户单位应该通过采取一定的有效手段来保证数据库服务器与网关服务器端的物理安全,即将数据库安全网关的服务器端与数据库服务器一起安全放置在中心网络机房,并对该机房进行严格行政管理。
网关客户端
数据库安全网关的内部结构分为两个部分,本节首先讨论网关客户端。网关客户端的功能主要包括:将与数据库服务器通信的数据包从客户机发出的各种数据包中提取出来,对其进行各种必要的安全处理后发送到网关服务器端;接收网关服务器端发来的数据包,处理完成后,提交给客户应用系统。网关客户端与客户应用系统和网关服务器端的一般通信过程如下:
客户机向数据库服务器发送请求数据包;
网关客户端从各种数据包中提取客户机发送给数据库服务器的请求数据包;
网关客户端对客户发向数据库服务器的请求数据包进行安全处理;
网关客户端向网关服务器端发送处理后的客户请求数据包;
网关客户端接收网关服务器端转发来的数据库服务器应答数据包;
网关客户端对数据库服务器应答数据包进行处理;
网关客户端将处理后的应答数据包提交给客户应用系统(信息系统客户端)使用。
网关服务器端
网关服务器端是数据库安全网关最重要的组成部分,其内部结构如图2 所示。网关服务器端包含了数据库安全网关的大部分功能模块,主要有:DBMS代理模块、客户代理模块、认证模块、权限控制模块、审计模块、加解密模块等,其中加解密模块包含在DBMS代理模块中。下面分别讨论上述模块:
DBMS代理模块:
DBMS代理模块主要负责模拟数据库服务器接收来自网关客户端的请求数据包并将数据库服务器的应答数据包转发给网关客户端。由于网关服务器端和客户端之间的通信线路不能被保证是安全的,所以DBMS代理模块接收来自网关客户端的数据是经过加密处理后的密文数据,当密文数据包到达DBMS代理时,DBMS代理将对其进行解密处理。同样,DBMS代理模块也应对尚未转发到网关客户端的数据库服务器明文应答数据进行加密处理后,才将其转发到网关客户端。
客户代理模块:
客户代理模块主要负责模拟客户端接收来自数据库服务器返回的应答信息,以及将DBMS代理模块接收的客户请求信息转发给数据库服务器。
认证模块:
认证模块主要完成对客户的身份认证。当客户应用系统向数据库服务器发送请求信息时,认证模块通过检查客户IP、MAC地址以及用户账户等信息,对比认证模块内部的安全认证数据库中的相应信息,判断该客户是否确实是其所自称的客户,以完成对其的身份认证。
权限控制模块:
权限控制模块主要完成对客户的权限控制。通常基于数据库的信息系统不仅拥有应用系统的权限控制模块,还会利用数据库系统提供的一些功能来加强对客户的权限控制;但是为了防止恶意攻击者采取各种不同手段绕过上述控制,如直接利用DBMS客户端绕过应用系统权限控制模块直接与数据库服务器进行连接等,数据库安全网关特别设置了权限控制模块。权限控制模块将利用网关内部的权限控制数据库,结合认证模块确认的客户身份,控制客户只能进行授权的访问。
审计模块:
审计模块是针对目前多数信息系统的系统管理员权限过大而专门设置的,其目的是提供一个第三方的安全审计策略。在一个信息系统中,通常会有两个审计日志,一个是信息系统的日志,另一个是数据库系统的日志。但是,这两个日志都可能被系统管理员修改或删除。一旦系统管理员进行了非法的访问,而后对上述两个日志的内容进行修改或删除,则上述日志对系统管理员起不到任何约束作用。为了防止系统管理员或其他内部人员非授权地对数据库中各种信息的访问,必须建立一个第三方的安全审计日志。这个安全审计日志原则上除了单位的最高领导外,任何人不能对其进行各种访问操作。为了确保上述要求得以实现,数据库安全网关服务器端被设计成为一个硬件设备,该设备的管理由单位的主管领导直接完成。安全审计日志时刻威慑着那些企图实施网络攻击的内部人员,只要审计日志足够安全,相信可以阻止大部分来自内部的非授权方法和其他破坏性攻击。
3 技术实现
从上述分析可以看出,数据库安全网关是一个集中了各种技术的设备,其中包括安全操作系统技术、数据库技术、数据加密技术、身份认证技术、访问控制技术以及审计技术等。同时,作为一个信息安全产品,处理速度等问题也是需要特别关注的。本文将仅对如何防止用户绕过数据库安全网关访问数据库、效率问题和当前主流DBMS的通信协议等几个关键技术进行讨论。
1)用户绕过数据库安全网关访问数据库问题解决
由于数据库安全网关的客户端直接安装在信息系统的客户机上,所以一般正常的应用系统客户请求都会通过网关。但是一些恶意的攻击者还是有可能抛开应用系统而利用其他手段与数据库服务器连接。为了防止这些恶意攻击者绕过数据库安全网关访问数据库,在设计数据库安全网关时,采用双网卡技术即在网关服务器端设备上安装双网卡,其中一个网卡与需要访问数据库的客户网络相连接,另一个网卡与数据库服务器相连接,同时要求数据库服务器仅通过数据库安全网关的服务器端与网络相连,从而在物理上保证了任何客户要访问数据库就必须通过数据库网关。
因为数据库安全网关在客户和服务器两端都对原来数据库系统的通信数据包进行了处理,使得一些企图直接与数据库服务器连接的攻击者由于不能得知数据库网关内部通信协议,所以即使一些攻击者可以连接到网关服务器端,他们对数据库的访问也会因通信协议问题而被拒绝,从而确保数据库服务器的安全性得到较大提高。
2)效率问题解决
由于所有客户对数据库的访问都必须通过数据库安全网关,所以增加数据库网关后会对基于数据库的信息系统的效率产生一定的影响,甚至可能严重降低信息系统的响应速度,从而会使信息系统原有的客户产生反感,给信息系统的使用带来负面影响。为了解决上述问题,一方面可以通过提高网关各模块软件的执行效率以及网关硬件设备和数据库服务器的处理效率,另一方面可以根据需要设置多个数据库安全网关(服务器端)来均衡整个系统的负载,从而解决效率问题,如图3 所示。
从图3可以看出,客户机通过负载均衡器与网关服务器端连接,若当前某一网关服务器端负载过大,则由负载均衡器根据网关服务器端的整体负载状况,分配新到的客户请求到相对负载较少的网关服务器端进行处理。一个信息系统配置网关服务器端的数量由具体的应用情况决定。这样,就可以将由数据库安全网关带来的效率问题降低到最小程度。
3)当前主流DBMS客户端与服务器端之间的通信协议
由于数据库安全网关是连接客户与数据库服务器的中间环节,所以要求网关必须能够截获并处理客户机与数据库服务器之间的正常信息流。这样就必须针对当前主流数据库系统如Oracle、Sybase、MS SQL Server等进行分析,了解各种数据库系统的通信协议。以MS SQL Server为例,客户机与数据库服务器进行简单连接通常就需要52 个数据包,所以分析主流数据库系统的通信机制和协议是一项相当艰苦的工作。但是,作为连接客户机和数据库服务器的桥梁,数据库安全网关必须能够对主流数据库系统的所有通信数据进行处理。
4 结束语
数据库安全是信息安全的一个重要环节,大多数重要的信息均存放在数据库系统中,如何才能真正保证数据库系统中各种信息的安全,是一个迫在眉睫的问题。数据库安全网关正是在这种背景下提出的一个安全设备。
当然,数据库系统中的信息安全并不能仅仅依靠数据库安全网关保证,研制国产的安全操作系统和安全数据库系统是一个必需而有效地方法,同时辅之以各种安全策略和工具,才能真正保证数据库系统中信息的安全。
数据库安全网关 篇2
随着因特网的应用和计算机技术的飞速发展,数据库逐渐成为信息系统的核心部分并广泛应用于企业、金融机构、政府及国防等各个领域,使得数据库的安全显得越来越重要。保证数据库中大量数据的安全及第三方数据的访问不被篡改,已经成为当前计算机领域面临的一大挑战[1]。从20 世纪80 年代开始,人们对数据库存储加密技术进行了不断深入的研究,但其加密粒度基本上都是基于相应数据模型中的逻辑结构。而基于关系模型的存储加密模式也有其重大的缺陷:一是数据模型中逻辑结构实际存储的数据长度不固定,有时差别很大,从密匙安全角度考虑,分配的密匙数量和加密次数需要根据数据量而变化,造成密匙管理上的困难;二是由于分组加密具有较好的扩散性,因此数据库系统的存储加密一般采用分组加密方式,而数据量的不固定造成加密后的密文与加密前的明文长度上不成比例,因此造成存储管理上的困难;三是对数据库系统的体系结构考虑不够,完全是在逻辑操作和数据存取之间增加了一层存储加解密操作,造成对数据库性能影响较大[2]。
南京市卫生信息中心获得了国家密码管理局《国产商用密码技术在电子病历中的应用示范》的研究课题。在南京市机要局的牵头下,我中心与迈科龙公司经过近1 年的严谨细致的工作,部署M2-S5100 数据库安全网关数据库加密设备,从业务应用、数据安全和医疗信息系统等级保护等角度,对安全加密设备的性能和安全性进行了全面、深入的测试[3]。
1 M2-S5100数据库安全网关的功能
M2-S5100 数据库系统安全网关,是国内首款基于数据库透明加密技术和数据库防火墙技术推出的一款数据库主动安全防御产品。它可实现数据透明加密存储,实时监控整个数据环境里的活动,主动识别并阻止攻击、防止信息泄密、恶意活动和欺诈,并自动对数据库进行审计,对数据及数据库安全提供立体化的数据保护[4]。 该安全网关可以防止绕过企业边界(Fire Wall、IDSIPS等)防护的外部数据攻击,可以防止来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取,以及由于磁盘、磁带失窃等引起的数据泄露。
2 M2-S5100数据库安全网关性能测试
本测试在南京市卫生局进行,测试M2-S5100 数据库系统安全网关的加解密性能。测试计划主要通过对南京市妇幼保健信息系统数据库进行透明加解密性能测试。从测试的立项开始直至测试结束,对数据库中涉及的管理内容进行模拟测试[5]。
2.1 测试对象
本次测试将采用《南京妇幼保健信息系统》和实际数据进行性能测试,以验证对重要数据加密后的性能来评估加密对应用系统性能的影响;同时为测试加密设备的极限性能,排除应用服务器和应用系统本身对测试数据的影响。本次测试将采用业务系统中登记建卡模块中的维护查询模块中SQL语句返回的大量数据来测试设备的解密性能。主要测试内容:1 南京市妇幼保健信息应用系统场景测试;2 精确查询性能测试;3 批量数据查询性能测试;4 婚孕前保健模块批量数据查询性能测试;5 2500万批量数据查询性能测试;6 5000 万批量数据查询性能测试;7 报表统计加密前后性能测试;8 数据更新和插入测试[6]。
2.2 测试环境配置
本次测试环境配置,见表1。
2.3 测试准备
测试人员:用户方2 人,设备厂家2 人;测试第三方:东软公司。
测试针对专业的医疗卫生信息系统(南京妇幼保健信息系统)的真实数据进行,在对数据库存储的个人敏感隐私信息(包括涉及患者隐私信息的姓名、身份证号、联系电话、住址、病史等敏感数据)加密的前提下,测试数据库安全网关加密设备是否满足存储加密的功能性要求,是否满足医疗卫生专业系统对系统响应性能的要求。性能测试采用工业标准的Load Runer测试工具,通过组合不同加密字段、不同循环次数和业务系统不同模块,对加密设备性能进行全方位、多维度的测试[7]。
3 测试结果
(1)采用《南京妇幼保健信息系统》孕产期保健模块—登记建卡—维护模块,测试方式为并发50 个用户,根据保健编号,查询用户一条记录信息,总共产生200 个事务数,加密前事务平均响应时间为0.187 s,加密后5 个字段事务平均响应时间为0.203 s,加密后10 个字段事务平均响应时间为0.205 s,加密后20 个字段事务平均响应时间为0.207 s,加密后50 个字段事务平均响应时间为0.251 s,性能平均下降不超过9.563%,整体延时控制在毫秒级内,对用户体验的影响基本上可以忽略。具体测试汇总表和Load Runner自动化测试工具产生的原始数据,见表2 及图1。
(2)采用《南京妇幼保健信息系统》孕产期保健模块—登记建卡—维护模块,测试方式为并发10 个用户,每个查询返回1000 条记录,总共产生100 个事务数,总共返回100 万条记录,加密前事务平均响应时间为2.502 s。加密后5 个字段事务平均响应时间为2.644 s,加密后10 个字段事务平均响应时间为2.684 s,加密后20 个字段事务平均响应时间为2.808 s,加密后50 个字段事务平均响应时间为2.84s,性能平均下降不超过12.95%,整体延时控制在毫秒级内,对用户体验的影响基本上可以忽略。具体测试汇总表和Load Runner自动化测试工具产生的原始数据,见表3 及图2。
(3)测试方式采用100 个用户,并发执行业务系统中登记建卡模块中的维护查询模块中的SQL语句,该查询语句单用户单次查询将返回5000 条记录,加密前事务平均响应时间为9.904 s,加密后5 个字段事务平均响应时间为10.535 s,加密后10 个字段事务平均响应时间为10.621 s,加密后20 个字段事务平均响应时间为10.955 s,加密后50个字段事务平均响应时间为11.108 s,性能平均下降不超过8.3%,整体延时控制在毫秒级内,对用户体验的影响基本上可以忽略。具体测试汇总表和Load Runner自动化测试工具产生的原始数据,见表4 及图3。
由测试数据分析可知,在设备本身处理性能内,性能并不会随着并发用户的增加和返回的数据量增多导致性能加剧下降,能够将延时控制在一个合理的范围。
4 测试结果分析
在性能测试中,当加密字段较少、数据库访问并发量较小的情况下,加密后的事务性能下降< 10%,对用户体验影响较小;在加密字段较多、数据库访问并发量增加的情况下,加密后事务性能下降较为明显,对系统性能和用户体验有较大影响。
5 测试结论
经测试,M2-S5100 产品在功能上能够满足数据库安全防护需求,加解密性能在测试环境中基本满足所需性能,用户体验与加密前基本一致,但绝对性能值有所下降。
6 医疗行业应用分析
电子病历系统具有访问并发量高、性能稳定性要求高、数据统计分析性能要求高等特点,对数据安全的考虑覆盖用户、医疗流程、药品等多个环节,通过少量加密字段难以实现医疗信息系统对数据安全的要求。大医院高峰期有上千名医生同时使用电子病历系统,数据安全需要包括用户隐私、医疗流程、医嘱处方、药品防统方等多个方面,因此M2-S5100 数据库安全网关在电子病历系统中应用需要对多个字段进行加密,需要面临加密字段的高并发量访问。现有的性能测试结果表明,在加密字段数较多、数据库访问并发量较高的情况下,M2-S5100 数据库安全网关会导致电子病历系统在性能上出现较大下降。而且随着区域医疗的推进,多家医疗机构进行数据联动和大数据分析,对系统性能的要求只会越来越高[8]。
根据测试情况,建议将数据库安全网关数据库加密设备应用在数据并发量较小,只需加密少数字段就可以保障数据安全性的专业医疗信息系统,不建议在医疗电子病历系统应用该产品。
摘要:本文详细介绍了M2-S5100数据安全网关数据库加密设备的部署和测试过程。利用该设备对妇幼保健信息系统的业务应用、数据安全和系统保护等方面的性能和安全性进行了全面测试,测试结果证实,在系统数据库访问并发量较小、加密字段较少的情况下,加密后的事务性能下降<10%,对用户体验影响也较小;在系统数据库访问并发量增加、加密字段较多的情况下,加密后事务性能下降较为明显,对系统性能和用户体验有较大影响。为此,建议将该数据库安全网关应用在数据并发量较小、只需加密少数字段就可以保障数据安全性的专业医疗信息系统,不建议在医疗电子病历系统应用该产品。
关键词:数据库安全网关,电子病历系统,妇幼保健信息系统,系统性能
参考文献
[1]王建.数据库加密系统的设计与实现[D].济南:山东大学,2014.
[2]宋衍,孔志印,马婧,等.通用高效的数据库存储加密研究[A].中国计算机学会计算机安全专业委员会第26次全国计算机安全学术交流会论文集[C].中国计算机学会计算机安全专业委员会,2011.
[3]刘丹丹,刘同波.数据库安全审计系统在医院的部署与应用[J].中国医疗设备,2013,28(5):42-44.
[4]孟艳红,王育欣,倪天予,等.数据加密系统的设计与实现[J].沈阳工业大学学报,2007,29(3):340-343.
[5]朱振立.数据库加密技术方法的比较研究[J].计算机光盘软件与应用,2014,(22):189-189,191.
[6]马锡坤,于京杰,杨霜英,等.电子病历系统的集成和建设[J].中国医疗设备,2012,27(1):59-60,38.
[7]李国赓,王亚红.医疗机构病历管理规定(2013年版)立法技术缺陷初探[J].中国医院管理,2014,34(12):67-68.
数据库安全网关 篇3
Linux最初在1991年10月5日由Linus Torvalds于赫尔辛基大学发布。从那时起,世界各地的程序设计者纷纷支持他建立一个自由操作系统的理想,为Linux扩展功能和纠排错误,从而使它迅速流行开来。Linux以它的高效性和灵活性著称。
互联网经过多年的发展,已进入千家万户,为百姓所熟知。而此时网络安全,特别是网络上的信息安全则成了人们日益关注的焦点。通过网关做一定的数据过滤能有效增强信息安全。基于此,对Linux下网关数据过滤技术做了一些研究。
2 Linux下网关数据过滤的原理
所谓网关的数据过滤技术,是指对经过网关的每个IP包的数据内容进行安全过滤,对无保密信息的IP包继续转发,反之则拒绝转发。
2.1 截获IP包
为了截获所有经过网关的IP包,采用Socket(AF_PACK-ET,SOCK_DGRAM,htons(ETH_P_IP))建立网络套接字。需要注意的是,虽然SOCK_RAW是面向IP层的,但是用Socket(AF_INET,SOCK_RAW,htons(ETH_P_IP))无法截获到发往外网的IP包,它只能接收到发给自己的IP包。
2.2 分析IP包
IP报头在头文件
TCP报的报头在
UDP报的报头在
2.3 数据过滤
这里采用KMP算法对数据段进行模式匹配。
利用i和j分别指示主串s和模式t中当前正待比较的字符的位置。算法思想是:从主串s的第一个字符起和模式的第一个字符比较之,若相等,则继续逐个比较后续字符,否则从主串的第二个字符起再和模式的字符比较之,在每一趟匹配过程中出现字符比较不等时,不需回溯i指针,而是利用已经得到的“部分匹配”的结果将模式向右“滑动”尽可能远的一段距离后,继续进行比较。
2.4 转发
在转发IP报文时,首先要进行IP地址的伪装,用网关的IP地址代替原来的源地址,对数据报在IP层重新封装,实现对内部网络的地址和分配的保护。
3 实现
互联网的基本传送单元是IP数据报,包括数据报报头和数据区的部分。在Linux下首先截获IP数据包,再分析IP包,通过目的地址看该包是否是发给本机的,如果是那么就交给上层处理,否则则调用数据过滤函数filter,如果与模式相匹配的话则不转发,不匹配则转发。流程图如图1所示。
4 结语
Linux网关的数据过滤系统的实现,实际上是很复杂的,要考虑到的问题也很多,如:进程间的通信、过滤算法的复杂度等等。以上仅仅做了一个简单的研究,在进程通信和算法的效率等方面还有很多问题值得深思。
参考文献
[1]陈远森,邓可,杜威,等.UNIX网络实用编程技术.中国水利水电出版社,2000.
数据库安全网关 篇4
近年来, 呼伦湖流域生态面临着严峻的挑战, 水域污染加重、湖底淤积、生物多样性下降、湿地萎缩等问题日益突出[1]。目前, 呼伦湖流域环境监测系统的信息化建设还处于起步阶段, 监测点不足、基础数据不完善、数据采集系统自动化程度较低、监测数据不能通过网络共享等问题使得政府部门很难及时有效地做出应对措施。同时, 由于各大厂商的技术缺乏兼容性, 很难将不同的协议兼容使用。在这种背景下, 本文设计了基于Co AP协议的数据采集网关, 对多个监测点的传感器数据进行Co AP数据格式转换, 上传远程数据库, 积累生态环境大数据, 为政府决策提供支持。
1 系统概述
基于RT-Thread的Co AP协议网关系统是在传感器节点数据采集基础上, 对多个传感器节点的数据进行Co AP数据格式转换, 并与远程数据库进行数据交互, 实现环境监测数据网络共享的效果[2]。整体设计框图如图1所示。
2 硬件设计
硬件设计框架图如图2所示。
传感器节点选择ST公司出产的增强型系列微控制器STM32F103RBT6作为主控制器[3], 选择DALLAS半导体公司出产的1-Wire单总线数字温度计作为环境温度采集设备, 选择I2C标准通信接口的16位数字输出型环境光强度模块BH1750FVI作为光照强度采集设备。
Co AP网关节点选择ST公司出产的高性能微控制芯片STM32F407ZGT6作为主控制器, 该控制器具有符合IEEE 1588 v2标准要求的以太网MAC 10/100[4], 同时提供了先进的外设和标准的通讯接口;选择体积小、功耗低、全能型的以太网收发器LAN8720A作为以太网PHY。
串口转Zig Bee模块DRF1605H作为传感器节点与Co AP网关节点之间数据交互的桥梁。该模块基于CC25-30F256芯片, 运行Zig Bee2007/PRO协议, 具有Zig Bee协议的全部特点以及上电自动组网的特色。在传感器节点中, 该模块被设置成Router节点使用;在Co AP网关节点中, 该模块被设置成Coordinator节点使用。
3 Co AP协议原理及实现
Co AP协议是为物联网中资源受限设备制定的应用层协议[5]。它是一种面向网络的协议, 采用了与HTTP类似的特性, 核心内容为资源抽象、REST式交互及可扩展的头选型等。客户端应用程序通过URI标识来获取服务器上的资源, 对资源可以进行GET、PUT、POST和DELETE操作。Co AP具有报头压缩、UDP传输、支持资源发现、支持缓存、异步通信等特点。Co AP协议的数据报格式如图3所示。
Co AP包含一个紧凑的二进制报头以及扩展报头。基本报头只有短短4 B, 后面紧跟着扩展选型和有效负载。报头各个部分字段的含义如下:Ver表示Co AP协议的版本号, 默认情况下置1;T表示报文的类型:CON类型、NON类型、RST类型、ACK类型;TKL表示选型Token所占的字节数;Code表示消息的类型:请求消息、响应消息或者是空消息;Message ID表示消息编号, 用于重复消息检测、匹配消息类型等。
Co AP协议的传输层默认使用UDP协议, 为了解决UDP传输的不可靠性, Co AP协议采用了双层结构, 定义了带有重传的事务处理机制, 并采用尽可能小的载荷, 限制了分片。Co AP协议栈视图如图4所示。
事物层 (Transaction Layer) 用于处理节点间的信息交换, 同时提供组播和拥塞控制等功能;请求/响应层 (Request/Response Layer) 用于传输对资源进行操作的请求和相应信息。Co AP的双层处理方式使得Co AP没有采用TCP协议也可以提供可靠的传输机制。
Co AP官方推出了一定量的库文件, 方便用户在自己的设备移植使用Co AP。本设计是在RT-Thread操作系统环境下进行的, 其LWIP协议栈组件能够提供Co AP所需的UDP协议[4], 通过编程实现Co AP标准格式数据报就可实现Co AP网关与远程数据库之间的Co AP数据上传。自定义的Co AP数据结构图如图5所示。
在实现Co AP数据结构的过程中使用到了几个接口函数:coap_pdu_init函数, 用来完成Co AP数据报报头初始化;coap_add_token函数, 用来完成添加Token选项;coap_add_option函数, 用来添加Option选项;coap_add_data函数, 用来添加有效负载选型。在实现的过程中, 每一个函数都会改变Co AP数据报结构, 必须按照上述顺序调用。
使用维基百科收录的Microcoap-master库来检测上述Co AP实现方法的可靠性。Microcoap-master是一个小型服务器端程序包, 支持客户端对“light”资源的GET、PUT、POST操作。在LINUX环境下执行make./coap运行Microcoap-master, Co AP网关发送对“light”资源的PUT操作请求, 同时使用wireshake抓包软件进行网络数据抓包, 截取的网络数据包如图6所示。
图6中 (a) 图抓取的是Co AP网关向Microcoap-mster服务器发送对“light”资源CON类型PUT请求的数据报, 其中标识的部分41 03 12 34表示包头Header, 49表示选型Token, b5 6c 69 67 68 74表示选型Option, 31表示负载Payload; (b) 图抓取的的是Microcoap-master服务器对于该CON类型报文做出的ACK类型响应, 其中6144 12 34表示包头Header, 00表示Token, 31表示负载Payload, 并没有搭载Option部分。实验结果表明, 以上所述的Co AP协议实现方法可行。
4 软件设计
软件设计以RT-Thread实时操作系统基本框架为基础[6], 对多任务进行线程化管理。RT-Thread操作系统是采用面向对象风格设计、C语言实现的开放源码的RTOS, 其突出的特点是小型、实用和可剪裁性。在RT-Thread中线程是最小的调度单位, 线程调度是基于优先级全抢占式的多线程调度算法, 支持256个线程优先级;支持创建相同优先级的线程, 相同优先级的线程采用设置时间片的轮转调度算法;调度器用来寻找下一个最高优先级就绪线程的时间是恒定的。RT-Thread Kernel核心目前支持多数主流CPU芯片, 其bsp分支包含有所支持的各平台代码, 移植时选好开发平台后仅需修改rtconfig.h文件即可。
基于RT-Thread操作系统, 对于传感器节点和Co AP网关节点进行线程化管理。传感器节点根据任务要求设计了两个线程:rt_sensor_entry负责读取相关传感器数据;rt_dataex_entry线程负责接收解析Co AP网关节点指令, 并向其发送传感器自定义数据包。
传感器节点与Co AP网关节点之间的数据交互是通过DRF1605H模块数据透传的方式实现的, 为了解决数据在透传过程中的缺失、不按顺序到达等问题, 提出了一种自定义的透传数据格式。通过解析数据包中的帧首、功能码、从机地址、结束校验位等信息, 就可判断数据包的完整性和正确性。自定义数据包格式如图7所示。
其中, 帧首定义为0x BBEE, 占2个字节;长度码表示数据包占用的字节数;从机地址表示节点编号 (Co AP网关节点为1号, 传感器节点依次为2, 3, 4…) ;功能码表示Co AP节点数据查询功能 (0) 以及传感器节点数据提交功能 (1) ;数据位中存放传感器原始数据 (查询功能数据包中的该项为0) ;结束校验位占用2字节, 固定为0x3498。
Co AP网关节点以RT-Thread内核以及LWIP外围组件作为软件平台[7], 结构示意图如图8所示。
根据Co AP网关节点任务的划分, 设计了多个线程:rt_dataex_entry线程负责与传感器节点数据交互, 并解析传感器节点数据包;rt_coap_entry线程负责将传感器原始数据Co AP格式化;rt_ethsend_entry线程负责定时向远程服务器发送Co AP报文。线程的顺序视图如图9所示。
5 结束语
本文介绍了基于Co AP协议的数据采集网关设计, 通过对相关软硬件实现方法加以分析以及实验测试, 证实本设计能够达到预期的效果。本文设计的Co AP协议网关不仅仅适用于呼伦湖流域环境数据采集, 根据不同的应用场合, 只要对硬件和软件稍作修改即可完成不同的监测任务。本设计在数据采集系统领域具有一定的借鉴价值。
参考文献
[1]赵慧颖, 乌力吉, 郝文俊.气候变化对呼伦湖湿地及其周边地区生态环境演变的影响[A].中国气象学会2008年年会干旱与减灾——第六届干旱气候变化与减灾学术研讨会分会场论文集[C].中国气象学会, 2008:13.
[2]吴海平, 王慧锋.基于ARM技术的嵌入式网关设计[A].第七届工业仪表与自动化学术会议论文集[C].中国仪器仪表学会过程检测控制仪表分会、中国仪器仪表学会可靠性工程分会, 2006:3.
[3]李宁.基于MDK的STM32处理器开发应用[M].北京:北京航空航天大学出版社, 2008.
[4]曾浩, 张祺, 郑斯凯.基于STM32F407的图像远程采集终端[J].工业控制计算机, 2014 (11) :81-83.
[5]BORMANN C, CASTELLANI A P, SHELBY Z.Co AP:an application protocol for billions of tiny Internet nodes[J].IEEE Internet Computing, 2012, 16 (2) :62-67.
[6]熊谱祥.RT-Thread实时操作系统编程指南[DB/OL]. (2010) [2015].上海:中国电子开发网.
数据库安全网关 篇5
随着互联网的发展, 互联网节点也随之大弧度的增加, 进而对IP的需求也出现直线上升, 由于IPV4的本身特点, 导致其数量有限, 已经不能满足现代互联网发展需要。并且有些企业基于安全等因素考虑, 也使用NAT[1]网关对内部IP进行管理。一旦采取NAT网关, 那么在网关内部的计算机将无法直接连接到其他NAT网关内部的计算机, 特别对于P2P等业务, 形成了巨大的影响。
目前, 对于如何渗透NAT网关的研究已经迅速展开, 出现了各种穿透方法, 比如STUN[2]和UPNP[3]等等, 但如果究其各自的方法, 都各有其优缺点。比如使用STUN方法, 将会遇到流量控制的问题。使用UPNP的方法, 会遇见不同路由器厂家, 对UPNP的实现标准不同的问题。但如果采取第三方中介模式, 在传输大数据流的时候, 就会在代理服务器产生瓶颈。
基于以上的问题;提出对UPNP, STUN, 内网搜索技术进行整合, 可以做到很好的提升穿透的成功率, 并且保证了数据通道的稳定性与高效性。
2、相关工作
采用STUN[1]技术, 是穿透率最高的NAT穿透方法。通过位于公网服务器 (位于互联网上具有独立IP主机) , 内网 (NAT网关内部) 中的主机预先得到目标主机在目标NAT网关上的对外ip和端口地址, 然后在与其它节点通信时直接使用该外部地址作为自己的通信地址, 这样就可以实现NAT穿越。STUN协议最大的优点是无需对现有NAT设备做任何改动, 同时STUN方式可在多层NAT网关的网络环境中使用。STUN的局限性在于不支持TCP连接的NAT网关的穿越。STUN技术的缺陷主要体现在:首先, 传输必须采用UDP数据包发送的形式, 因为UDP包没有流量控制协议, 必须依靠一些更上层的协议重新对UDP协议进行封装来实现流量控制功能。但无论如何, 其在不丢包要求下的传输效果与TCP传输仍然有一些差距。其次, 每个客户机必须有一个对应的"假名", 以便服务器对其进行映射。这些复杂的设计都会对系统的稳定性产生一定的影响。
采用UPNP技术穿越, 是最简便, 高效的NAT网关穿越方式。其原理是通过客户端, 向NAT网关发送端口映射请求来完成NAT网关穿透。这种方式, 无需对原有的客户端连接进行修改, 之需要在连接之前加入一个端口映射请求的动作, 保证的客户端软件的可移植性。而且相对于STUN方式, 其可以使用现有的TCP协议进行连接, 可以更好的为数据传输提供稳定性保证。但UPNP同样也存在许多缺陷, 就是需要NAT网关必须对UPNP协议支持, 这相对于STUN方法, UPNP的通用性就大大降低。而且如果企业内部有多层NAT网关, UPNP就无效, 而且多个客户机可能会对同一个端口发起端口映射请求, 这就还需要增加一些端口请求退避算法在NAT网关上进行端口分配。
如果需要互连的2个客户机在同一个NAT网关内部, 其本身就是可以直接使用TCP, UDP协议直接互联。那么如果采取以上任何一个技术, 都会对有限的网络资源产生一种浪费。应该先对同在一个NAT网关内的目标主机进行搜索与探测性连接, 然后直接采用TCP或者UDP协议进行连接。在许多企业应用中, 2台需要互联的主机同时位于一个NAT网关内部的情况是十分普遍。
3、内网搜索与UPNP STUN整合实现NAT网关数据通道
3.1 连接过程概述
由于内网搜索, UPNP和STUN这3项技术各有优势, 我们针对其各自的优点进行整合。先判断2主机是否位于同一个NAT网关内, 如过是则直接连接, 如果不是则进行下一步。UPUN (UPnP-STUN, 通用即插即用与UDP简单穿越NAT) 的基本思想是先在内网中搜索UPnP设备, 如果在内网中找到UPnP设备就按照UPnP标准向设备发送添加端口映射命令实现穿越;若没有找到设备, 则采用STUN方法对NAT进行二次穿越。方法说明与流程具体如图1所示。
3.2 客户端启动注册过程详细说明
假设主机A主动发起于主机B的链接
1) 启动注册。任何主机启动的时候, 都需要向服务器登记, 服务器会记录下每个客户端的外网IP地址 (NAT网关在互联网上的IP地址) , 以及其在NAT网关上占用的端口号 (以备做STUN渗透以及服务器向客户端传递控制信息使用) 。并且其会主动发起简单服务发现协议 (SSDP) 在内网中广播搜索UPnP服务的消息:void Find (string name, string type) ;根据UPnP标准要求, name为"WANIPConnection", type为"service", 表示搜索UP-nP服务。必须把该NAT网关是否支持UPNP服务器的信息告诉服务器。
方法说明与流程具体如图2所示。
2) A首先向服务器询问B所在的IP地址, 服务器收到询问申请后, 判断A与B是否处于同一个NAT网关内部, 如果是在同一个NAT网关内部, 则返回B的NAT网关内部的IP地址。否则返回B的NAT网关IP以及其UPNP端口号, 否则发现B的NAT网关不支持UPNP则返回B的STUN端口号, 采用STUN技术进行NAT穿越, 但只针对CONE NAT类型NAT网关穿越, 无法对SYMMTRIC NAT[2]类型NAT网关穿越。因此无法做到100%穿越。
3) A根据服务器返回IP和端口号, 判断此次连接时采用何种协议, 如果是在同一个NAT网关内部, 则直接根据IP发起TCP连接。如果是使用UPNP连接, 那么也可以直接根据获得的IP与端口发起TCP连接, 如果是STUN端口, 那么可以发起UDP连接。
4、高穿透性系统设计
由于我们不能很好的实现对"对称性NAT网关"进行穿越, 所以以上的方法只能达到一个比较高的穿透率, 不能做到100%的穿越。针对这种情况, 提出一种外网节点辅助中继算法PAR。来达到100%穿越的目标。
4.1 中继辅助穿透算法
外网节点辅助中继算法PAR。该算法的基本思想是让部分带宽充裕的外网普通通信节点充当中继服务器的角色来缓解中继服务器的压力, 有效解决系统瓶颈。流程示意图如图3所示, 具体算法描述如下:
(1) 新加入P2P流媒体系统的外网节点首先向中继服务器注册, 使中继服务器保留一份外网节点的列表。
(2) 中继服务器采用心跳机制维护注册的外网节点列表的更新并对注册的外网节点进行探测, 选择RTT最小的M个节点作为辅助中继候选节点。
(3) 当某内网节点向中继服务器注册时, 中继服务器注册该节点信息的同时向其传送一份辅助中继候选节点列表。
(4) 内网节点从列表中随机选择N (N<M) 个外网节点发起连接并选择RTT最小的节点作为自己今后的辅助中继节点并向其发送注册信息。
(5) 辅助中继节点会周期性的向注册的内网节点发送探寻消息, 当多次没有收到应答消息后认为该节点失效或离开系统, 从自身的注册列表中删除该节点。
(6) 确定自己新中继节点的内网节点得到在该辅助中继节点上注册的其它内网节点信息。今后若要与其它NAT后节点通信, 首先查询辅助中继节点的注册列表, 若待连接节点在列表中就用该辅助中继节点中继, 否则再用中继服务器中继, 这样就可以有效减轻中继服务器的负担, 提高系统可扩展性。
(7) 当某辅助中继节点离开系统时向中继服务器发送再注册信息, 由中继服务器为在该节点上注册的内网节点提供新的辅助中继候选节点列表。收到新列表信息的内网节点执行算法。
步骤 (4) 确定自己新的辅助中继节点。如图3
4.2 中继算法可行性分析
根据国际权威部门对各个厂家所生产的路由器统计结果:Probabilities of Presence of the Different NAT Types[6]
可以得知, Symmetric NAT的占有率很低, 虽然采用STUN穿越方法无法对Symmetric NAT类型NAT进行穿越, 但是其基本上能解决绝大多数的NAT网关穿透问题, 从表中可以准确预测, 采用内网搜索与UPNP STUN整合实现NAT网关数据通道可以达到90%以上的穿透率。
中继算法很早就存在, 但使用不是很广泛。因为其存在固有的瓶颈。如果一旦客户端节点快速增多。那么其在中继器将产生一个很严重的数据传输瓶颈。但如果与以上系统结合, 其只要解决小于10%的负载量。
也就是说, 在"内网搜索与UPNP STUN整"这三种技术不能解决的情况下, 由中继器负责穿透NAT网关任务, 其负载量低于整体的10%。从而不容易在中继器形成瓶颈。
5、算法性能分析
基于以上设计, 可以达到对于任何NAT网关都可以顺利穿越, 但由于对于不同NAT网关采用了不同的穿越方法, 必然会导致传输的性能的不一致性。
为了验证算法性能, 采用TP-LINK TL-WR340G+54M (对应途中NAT ROUTER B) 路由器搭建了一个内网环境。TL-WR340G+内置NAT功能, 允许多台PC共享一个网络连接。同时支持UPnP功能, 可以手工配置是否开启该功能。并且可以进行流量控制, 限制上下行带宽。ROUTER A与ROUTER B之间为校园互联网, 经过严格测试, 平均带宽可达10M左右, 并且丢包率很低, 可以默认为一个良好的网络环境。
本文对上述算法进行了测试。我们设计3种测试环境, 如下:
1) 开启NAT ROUTER A和B路由器的UPNP功能, 限制ROUTER B的上下行带宽为4mbps, 制造传输瓶颈。让Client A尝试与Client B连接。测试目的:在该系统下, 数据传输的实际带宽与稳定性。如图4
测试出的连接速率图, 图5
可以从以上测试看出, 当路由器的UPNP功能开启是, 系统会自动选择直接使用TCP用UPNP协议进行连接, 所以传输的效率与稳定性都很好。
2) 关闭NAT ROUTER A和B路由器的UPNP功能, 限制ROUTER B的上下行带宽为4mbps, 制造传输瓶颈。让Client A尝试与Client B连接。测试目的:检测系统是否在没有UPNP的情况下, 自行使用STUN进行连接, 并且测试udp数据传输的实际带宽与稳定性。如图6
测试出的连接速率图
可以看出, 连接可以成功, 但数据的传输率, 与数据稳定性都不乐观。
原因分析, 首先, 用STUN连接情况比复杂, NAT路由器的端口映射在任何时候都有可能改变, 如果其改变, 则连接将存在障碍。其次, STUN是使用UDP数据包传输, 没有流量控制, 如果需要自行加入流量控制, 那么系统复杂度将大大增加, 而且自行在更高层软件进行流量设计, 在控制效率上, 肯定不好。所以只能使用简单的流量控制, 就导致其数据传输实际带宽并不能接近网络瓶颈, 也就会造成现有网络资源浪费。
对以上2种传输进行对比, 可以明显看出区别。
3) 外网节点辅助中继测试
当现有网络系统部支持UPNP, STUN技术, 并且2个客户端分别位于不同的NAT网关内, 系统会采用外网节点辅助中继算法, 进行连接。这种方法可以实现对NAT网关的100%穿透, 但其存在明显的瓶颈。即当连接的客户端大幅度增加时, 外网节点Server的负载将会很大。但在该系统中, 不会遇见这个问题, 因为使用"内网搜索, upnp和STUN"的连接方法已经可以解决90%以上的NAT网关穿透问题。所以该系统即时采用"外网节点辅助中继"也不会再外网节点产生瓶颈。
6、结论
本文提出采用内网搜索, UPnP和STUN相结合的方法, 以克服单一方法的局限性, 提高NAT穿越成功率。同时在系统中加入外网节点辅助中继算法。可以实现对任何NAT网关的穿透。另外在分析基于中继服务器穿越方法不足的基础上提出PAR算法, 以避免由于服务器负载过重造成NAT穿越失败。实验表明本算法可有效提高穿越成功率, 降低NAT穿越中继服务器压力。
在今后的工作中将就对称NAT穿越算法继续进行优化以进一步提高穿越成功率。
摘要:由于IPV4在数量与安全上的局限性等因素, 大量企业采取了NAT网关来扩展IP数量, 满足IPV4不足的现象。但又由于NAT的固有特点, 如何可以高效, 稳定突破NAT网关, 实现对内部计算机的连接, 显得尤其重要。本文对3种NAT网关突破技术进行重新整合, 即内网搜索技术, UPNP, STUN保障了NAT数据通道的稳定性与高效性。
关键词:NAT,UPNP,内网搜索,STUN
参考文献
[1]Srisuresh P, Holdrege M.RFC 2663 IP Network Address Translator (NAT) terminology and considerations[S].Lucent Technologies, IETF, 1999-08.
[2]Wg M, Takeda Y.Symmetric NAT traversal using STUN[S].IETF, 2003-06.
[3]UPNP forum UPNP Standards[EB/OL]http://www.upnp.org/, 200312
[4]王止戈, 彭宇峰, 张苏灵, 等.一种基于预测的Symmetric NAT穿越解决方案[J].计算机工程, 2005, 31 (11) :122-123
[5]Ford B, Srisuresh P, Kegel D.Peer-to-peer communication across net-work address translators[C]//Proceedings of the 2005 USENIX AnnualTechnical Conference, Anaheim, October 2003
一体化协同安全网关 篇6
“平安网络”源自“平安城市”的管理理念。参照“平安城市”的管理功能,“平安网络”的意义在于提出了一个改善信息网络安全状态的新思路,从事后处理到事先预防,从以堵防漏到追踪溯源,从孤点守卫到协同防御,通过多方面协同实现网络安全防护。
“平安网络”主要面临四大挑战:政府相关部门和业内同行的积极推动;行业协同防控协议标准的制定、实施、推广;高速数据流处理技术,高可靠性数据传输和存储技术;网络记录数据的检索需求界定、检索手段和检索效率。
“平安网络”的事先需要再建设部署中采用分布式阶段的方式来推进,初期可以根据信息系统安全等级保护的划分从重要信息系统网络开始部署,在逐步推广到大型企业网络节点处,以网络流量全信息记录和系统防御功能,辅以统一威胁管理等通过安全防御功能。第一步:网络可感知可记录,先实现全信息记录存储,并提供通用的记录查询功能。第二步:网络可指挥可控制,通过全程全网协同防御和统一指挥调度,实现对网络异常流量的预警和限制。第三步:网络可追溯可取证,通过对于记录存储数据的分析和取证,能够还原安全事件从而追根溯源,找到威胁源头。
实现“平安网络”需要如调整数据流处理技术、数据存储技术、高可靠性硬件平台制造技术、协议制订与推广等技术储备。“平安网络”的建设参比“平安城市”,前期可能会在特定范围内推广与试点,之后随着经验的成熟会扩大试点面,最终实现全网推广。中兴网安初期将在北京、上海等城市的重要信息系统中进行分级部署,之后几部扩大推广范围。
CTM (Collaborative Threat Management)即一体化系统防御完全网关,是由中兴网安和豪讯美通共同研发的一体化协同防御安全网关产品,CTM实现网络信息可感知、全纪录、可追溯的综合治理和防范,打造“平安网络”的秩序环境。
CTM部署在网络出入口,能够纪录全部的网络流量信息,并根据数据包的危害特征进行阻断、拦截或控制,实现网络信息可感知、可查询、可管理的防范和治理。CTM产品借鉴“平安城市”中安全防范系统功能,将城市监控系统、交通控制系统、联动治安和应急调度指挥系统等先进技防手段融合应用到网络安全产品设计当中,形成既治标又治本的综合防范体系架构。采用集成创新的技术路线,实现网络可感知、可记录、可控制、可追溯。工作的主要方向是侧重常规管理、问题应急处理、事后分析预防等方面,产品和现有的大多网络安全厂家的产品刚好形成兼容、互补关系,在网络空间里属于“平安网络”基础架构的组成部分。
目前处于试用阶段的CTM采用的协同防御模式和一些UTM的规则集中下发、更新的方式类似。以后应该能发展到多个CTM可以采用分布式部署形成协同联动防御体系,每个CTM设备之间通过自有的加密协议进行通信保障链路安全性,如果某个CTM遇到异常流量攻击,其它CTM可以立即感知并形成统一的安全策略进行全面防御。
CTM在实现全信息记录时,对数据包可以有选择,也可以无选择全信息记录。在后续的产品中,针对不同的应用场合需求,中兴网安可以回开发出不同可选规则的专用产品,比如保护流媒体的、保护重要网站的、保护数据库的、保护电子政务平台的系列产品。
梭子鱼Web安全网关 篇7
安全与存储解决方案厂商梭子鱼为Barracuda Web Filter 1010和1011型号推出新的高性能10 Gb E接口。新型号拥有更高的性能和容量, 在高端网络上以GB级速度提供全面的网络内容过滤和恶意软件防御功能。
最近发布的IEEE报告预测:到2015年, 全球IP流量将每年增加32%, 其中很大一部分源于互联网用户、接入设备以及点播视频和社交媒体等服务的增长。为了应对这些趋势, 美国联邦通信委员会 (FCC) 建议社区机构, 如医院和图书馆的最低连接速度为1 Gbps, 而美国教育科技主管协会 (SETDA) 则建议连接速度至少达到每1000名学生/教职员工1Gbps, 以便应对不断增长的流量。
梭子鱼网络安全业务总经理Steve Pao表示:“自2009年推出以来, 梭子鱼Web安全网关1010已在许多大型网络中部署。这些硬件改进以及1011型号上引入的光纤接口将让高端网络客户能够将梭子鱼Web安全网关作为其IT安全战略的关键元素。”
梭子鱼Web安全网关1010/1011是一个可提供内容过滤、应用程序阻止、恶意软件防御和内置报告功能的软硬件集成设备。一个设备能够支持2Gbps的吞吐量和100, 000个并发TCP连接, 并提供四个网络接口, 可同时用于WCCP部署中, 或在一个在线直连部署中作为两对LAN/WAN来使用。
多台梭子鱼Web安全网关1010/1011设备可进行集群, 以实现扩展和冗余。不同型号的梭子鱼Web安全网关产品可通过梭子鱼控制中心进行集中管理, 从而能够在整个分布式企业架构上执行互联网统一政策。