 |
| |
ActiveArmor 与基于硬件的NVIDIA防火墙安全网络解决方案 |
|
|
| |
|
| |
| 计算机已经成为日常生活中不可或缺的一环,日益普及的高速网络连接意谓着如今大多数PC都连接至公共网络或专有网络。PC中也保存着许多极具价值的信息(银行或商业资料、MP3或数字电影)。现在,从在线银行网站或音乐下载服务网站可以获得许多此类信息。数以百万计的PC连线上网虽然使得PC用户能够轻松获得世界各地网站的信息,却也让电脑黑客有机会进入这些联网的PC。不论黑客的动机是恶意的或纯粹为了好玩,他们都在不断地搜猎未设保护的PC。NVIDIA公司的调查发现,黑客能够在一台新的PC接入公共网络短短数分钟内就将其找到。如今,黑客程序正秘密地入侵防御力量薄弱的PC,将这台PC中的信息传送至非法的地址。由于这类攻击事件层出不穷,所以计算机安全成为了当今用户面临的最重要的问题之一。 |
| |
| PC之所以容易遭受各种入侵与攻击,主要原因就是它们连接至了共享网络——连接多台PC的家庭、企业网络、或者连接了数以百万台PC的互联网。大部份计算机攻击事件都发生在这些环境中,每当有害的数据包传送至未受保护的PC时就会产生严重的破坏。 |
|
| 目前,有许多解决方案可以保护PC免受各类攻击。大多数基于PC的安全解决方案的一个共同属性就是它们都是基于软件的。然而,软件解决方案需要耗用大量的CPU资源,从而影响整体系统性能,降低用户体验。大多数人都误以为通过增加CPU周期就可以解决这个问题,然而许多攻击程序都设计得相当巧妙,能绕过或者中断软件型安全解决方案。 |
| |
| 本文将详细介绍NVIDIA® 安全网络解决方案的各种优势。这个解决方案是NVIDIA nForce™ 4媒体通信处理器(MCP)不可分割的组成部分。NVIDIA安全网络解决方案包括基于硬件的NVIDIA防火墙2.0和业界首套专用安全网络引擎——NVIDIA ActiveArmor™技术。 |
|
NVIDIA ActiveArmor 安全网络引擎
|
| |
NVIDIA ActiveArmor安全网络引擎是最新推出的NVIDIA nForce4 MCP产品家族的一个组成部分。ActiveArmor是芯片中的一个专用区域,负责提高网络安全性并降低CPU运算负荷,能够以全双工千兆比特以太网速度进行更深层的网络和业务检查。 |
|
|
| ActiveArmor 通过卸载需要耗用大量CPU资源的数据包过滤任务,可以实现最佳的系统性能,为用户提供一个快速、安全的PC网络环境。 |
| |
ActiveArmor安全网络引擎驱动的NVIDIA防火墙 |
| |
| 计算机安全系统包含三个独立的组成部分:防火墙、入侵探测和病毒防护。(有关计算机安全组件的详细信息,请参考技术简介:《NVIDIA安全——PC防火墙与防黑客技术》 TB-00982-001)。 |
| |
| 防火墙是计算机安全解决方案的核心,它能确保通过防火墙的数据包均符合安全策略。为提供这种防御能力,防火墙将检查每个尝试通过检查关卡的数据包,检验该包是否具备允许其通过的属性。如果不具备,该数据包将被拦截。 这个过程将耗用大量的CPU资源,从而大幅降低系统性能。 |
| |
| 通过在这个过程中采用硬件引擎能够解决CPU资源耗用问题。防火墙功能结合专用硬件引擎,就不会导致系统性能下降。 |
| |
| 业界首套真正基于硬件的PC防火墙就是NVIDIA防火墙2.0,现由NVIDIA ActiveArmor安全网络引擎提供驱动。NVIDIA防火墙与ActiveArmor安全网络引擎(图1)相结合,能够提高网络的数据传输量(在全双工千兆比特以太网速度下)、降低CPU使用率、执行深层数据包检查,进而提升整体网络安全。 |
| |
|
| |
NVIDIA ActiveArmor 「开启」* NVIDIA ActiveArmor「关闭」 **
图1. 软件防火墙耗用大量CPU资源 |
| |
降低CPU使用率 |
| |
| 在常规网络环境中,检查数据包是一项繁琐的工作,会影响CPU的资源、内存带宽及整体系统时延(图2)。例如,首先,将数据包从MAC转移至驱动程序;然后,从驱动程序转移至核心空间中的堆栈;最后再从堆栈转移至应用程序。其中涉及跨越核心空间与用户空间的边界。所有这些内存复制操作都会耗用大量的CPU资源,并且需要较长时间,每两次复制之间所进行的驱动处理与堆栈处理都会耗用相当数量的CPU资源。 |
| |
|
| |
图2. 当前的数据包处理流程 |
| |
| 相比之下,ActiveArmor安全网络引擎则在恶意攻击数据包进入CPU之前就将它们滤除。此外,正常的数据包会通过“快车道”绕过常规的“网络堆栈”过程,提升整体数据传输量并降低CPU使用率(图3)。借助ActiveArmor,所有正常数据包的处理都直接在应用内存中进行,最多可以避免进行三个需要耗用大量CPU资源的复制操作(从MAC转移至驱动程序;从驱动程序转移至核心空间中的堆栈;以及从堆栈转移至应用程序。其中涉及跨越核心空间和用户空间的边界)。 |
| |
| ActiveArmor安全网络引擎能处理所有相关的通信协议报头,并将之与获准连接列表及最近连接状态进行验证,以使网络仅接受有效的数据包(或允许其进入网络)。 |
| |
|
| |
图3. NVIDIA ActiveArmor 数据包处理流程 |
| |
| ActiveArmor通过在硬件中检查数据包,并将该数据包直接置入应用程序的缓冲区,成为所有PC平台性能最佳、效率最高的网络安全解决方案。 |
| |
| 除了高效数据包检查外,ActiveArmor还具备另外三个重要特性:开机后立即作用的保护功能、防窜改功能、以及支持微软 TCP Chimney架构。 |
| |
开机后立即作用的保护功能 |
| |
| NVIDIA安全网络解决方案通过提供从PC开机之时便受到安全保护的PC网络连接,实现了“立即作用”的保护功能;从PC开机到PC防火墙保护功能开始作用期间,不会存在任何安全漏洞。这个立即作用的防护功能是通过将一个嵌入式驱动程序和防火墙处理流程集成到NVIDIA nForce MCP中来实现的。 |
| |
| 相较之下,其他软件解决方案在PC开机到安全软件被加载至内存之间存在一段时间差,这使得持续搜索网络薄弱环节的PC的黑客,得以趁虚而入。 |
| |
更强大的安全性和防窜改能力 |
| |
| 有别于其他安全解决方案,NVIDIA ActiveArmor安全设置能对您的数据进行细致的检查,过滤掉任何非法或可疑业务,从而实现更深层次的网络业务检查。 |
| |
| 只有利用专用硬件引擎才能实现这种更高层次的检查和过滤功能。利用专用硬件引擎的优势包含三个层面: |
| |
通过硬件进行深层数据包检查,实现更高安全水平
这个过程无需耗用CPU资源,且不会降低系统性能
它具备防窜改能力。所有企图攻击或操纵防火墙策略控制和过滤规则的动作都会使网络连
接失效,从而防止非法访问PC。 |
| |
支持微软TCP Chimney架构 |
| |
| NVIDIA ActiveArmor完全支持最新推出的微软TCP Chimney架构,支持TCP/IP通信协议加速。通过将防火墙策略整合至TCP/IP Chimney架构中,NVIDIA形成了两个强大的优势——处理TCP/IP通信所耗用的CPU资源更少,和一个安全策略执行引擎,确保仅合法业务能够传入(或传出)PC。 |
| |
| NVIDIA ActiveArmor以及NVIDIA nForce4 MCP家族是业界首批支持微软最新推出的API的产品之一,巩固了NVIDIA公司在这个领域的领袖地位。 |
| |
结束语 |
| |
| 当前的PC安全解决方案均是基于软件的方案,需要耗用大量的CPU资源。这样,用户只能在安全与性能之间寻求一个妥协的平衡点。 |
| |
| 然而,在安全问题上,我们不应当有任何妥协。PC用户理应获得最佳系统性能和完善的安全保护! |
| |
| 这两种需求会相互争夺资源,形成令人难以取舍的窘境,但现在NVIDIA安全网络引擎的问世让这个问题迎刃而解。NVIDIA的专用硬件引擎能增强网络安全,因为它提供了基于硬件的深层数据包过滤功能,同时卸载了耗用大量CPU资源的防火墙和网络数据包处理流程。其最终结果就是更高的安全性及更出色的系统整体性能。 |
| |
注意
所有 NVIDIA® 设计规范、参考板卡、文件、图纸、诊断信息、列表和其他文档(一并或分别称为“资料”)均“按现状”提供。NVIDIA® 公司不以明示、暗示、法定或其他方式对材料的非侵权性、适销性和适用于任何特定用途做出保证,并明确否认任何此类暗示保证。
我们认为所提供的信息是准确、可靠的。然而,对于由于使用该信息所造成的后果,或者由于其使用可能导致的对第三方专利权或其他权利的任何侵犯,NVIDIA® 公司不承担任何责任。不以暗示或其他方式授予NVIDIA® 公司的任何专利或专利权的任何使用许可。本出版物中述及的规范如有更改,恕不另行通知。本出版物取代并替换以前提供的所有信息。NVIDIA® 公司未将其产品授权用于生命支持装置或系统的重要组件,除非获得NVIDIA® 公司的明确书面认可。
商标
NVIDIA、NVIDIA徽标、ActiveArmor和NVIDIA nForce均为NVIDIA® 公司在美国和其他国家的商标或注册商标。其他公司和产品名称均为其各自所属公司的商标。
版权
©NVIDIA公司,版权所有,2005年。 |
|
| |
| |
