电子期刊第七十一期

为何“写信”页面右侧不显示联系人名单了?
 
  答:为方便用户在发送邮件时填写收件人地址,院邮件系统在“写信”页面的右侧提供了联系人名单,其中会显示保存在邮箱“通讯录”中的所有联系人,点击姓名后,此联系人的邮箱会自动填入“发给”后面的对话框中。

  为保证在“写信”页面右侧能够正常显示联系人名单,请注意在邮箱“通讯录”中输入联系人资料时,要符合标准格式。在个人通讯录中,要求联系人的姓名必须为中文汉字、英文字母和数字等信息,不能有特殊字符。而联系人的邮件地址必须为**@**.**的规范格式只有保证所有联系人的信息都符合标准格式,才能在“写信”页面正确显示联系人名单。

更多问题

2010移动互联网发展趋势
 
  2009年,对移动互联网可以说是跌宕起伏,惊心动魄。3G牌照的发放,大家进行过欢呼;年底开始的WAP 整顿到互联网整顿,大家如履薄冰。2009,以别样的精彩,在移动互联网的发展史上留下了重重的一笔。沿着过去的轨迹,我们来看看新的一年里,移动互联网可能会呈现的趋势。

科研信息化技术与应用

中科院信息化工作动态


技术追踪
  · 更快、更智能——下一代防火墙新技术初探
  · 分簇技术能否真正拯救RAID存储
  · VMsafe:用于虚拟化环境的第三方安全技术
 

更快、更智能——下一代防火墙新技术初探
   
 

  最近几年,传统防火墙解决方案在应对当前大量的威胁以及不断变化的应用环境时已经显得力不从心。

  首先,随着网络的发展,网络应用不断丰富。大量应用建立在HTTP等基础的协议之上,或者随机产生端口号,或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户,协议端口号不等于应用,数据包不等于行为。如何“看清”应用中的内容并进行防御,这是对防火墙提出了新要求。其次,网络正在从千兆走向万兆甚至10万兆,网络带宽增长迅速,防火墙应有足够的性能和扩展性来应对这种变化。再次,随着远程办公的快速增长,要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,尤其重要的是能够识别加密过的数据。

  显然,和其他网络设备一样,防火墙必须随需而变,升级到下一代防火墙,才能在变革的大潮中焕发新的生命力。

  越“跑”越快

  “IPV6协议在设计之初有些太理想主义。”中国教育与科研计算机网网络中心副主任、清华大学李星教授表示。他表示,当时设计者认为用10年的时间IPV6就可以得到完善,完成自IPv4而来的过渡,但实际上,IPV6 和IPv4协议不兼容的失误导致过渡技术的突破存在很大难度。

  这种人们普遍怀有的理想主义一次又一次在现实面前遭遇挫折,李星教授自己对此也有深刻体会。他回忆说,2000年在用双栈技术做中国自然科学基金网的时候,发现上面没有真正的流量,有的只是一些网络工程师的测试流量。2004年和日本合作建成的中日IPV6试验网虽然做了一点应用,但也不太多。即使是目前比较成功的远CERNET先进高效的CERNET2(纯IPV6网),即使通过免费等手段激励,流量也仅达到CERNET的10%多一点,而这已经算是相当不错的成绩,因为目前全世界IPV6网的流量平均不到IPv4的1%。

  随着互联网的蓬勃发展,网络流量大幅提升,要求下一代防火墙必须具备更高性能、更低时延。

  Hillstone山石网科(以下简称山石网科)产品经理张龙勇向记者介绍,该公司的防火墙采用多核Plus G2架构和新一代的全并行流检测引擎技术,在同档的硬件配置下有多达5倍的性能提升。防火墙最高可达20万每秒新建连接、20Gbps吞吐量和1000万并发会话。

  SonicWALL的下一代防火墙技术Project SuperMassive也采用大规模多核架构,运行于SonicWALL的多刀片机架之上。96核和384核的产品实施原型已经在Interop大会上展出。

  SonicWALL首席技术官兼工程副总裁John Gmuender说:“面对不断增加的带宽速度,以及互联网威胁的数量、频率及复杂性的不断上升,我们知道Project SuperMassive技术平台需要具备大规模的可扩展性。通过采用Cavium的卓越芯片技术,该平台可扩展到1024个核。同时,经安全与漏洞检测领先公司IXIA验证,其性能超过了40 Gbps。”

  华为赛门铁克的高端安全网关设备则采用“NP+多核+分布式”架构,具备优异的防火墙性能,最多可支持8个业务处理模块,整机吞吐量可达到80Gbps,每秒新建连接数为160万,最大并发连接数为3200万。此外该系列产品还具备完善的VPN性能,目前业务处理模块并发隧道数量为4万,整机最高支持32万。

  “性能与业务复杂度天生就是一对矛盾体,在一些要求较高的应用场合,就算是多核系统平台也很难做到功能、性能两全。”网御神州防火墙负责人王刚说。为了解决这个问题,网御神州的新一代防火墙基于“为多核加速”的设计理念,在多核架构上引入了可编程ASIC加速引擎技术和多核负载均衡技术。一方面,可编程ASIC加速引擎的引入,彻底解决了传统多核架构在网络层处理性能上的不足,尤其是“小包”处理性能的不足可以达到64字节小包8G线速的处理性能; 另一方面,多核处理器计算性能优越、在应用层处理能力上的优势得到了很好的继承;而多核负载均衡技术,解决了传统多核架构下由于没有高效的调度技术导致多核的并行处理效能无法得到充分释放的难题。多核负载均衡技术能够将需要应用层处理的流量按照比例分配到不同的CPU核上,最大程度地做到了多核间的并行处理, 大幅提升了设备的应用层处理性能,IPS吞吐可以轻松超过双向1Gbps线速。

  看透应用

  传统防火墙能够很好地防范网络层攻击。但是,随着富媒体应用的爆炸性增长,以及Web 2.0应用快速向业务环境渗透,隐藏在应用层中的恶意威胁越来越多,用户要求下一代防火墙必须能够检测出隐藏在应用层数据流中的攻击。

  Check Point的工程师向记者介绍,Check Point防火墙软件刀片采用智能检查技术—INSPECT,将网络层和应用层保护集成在一起。INSPECT支持多种应用程序和应用协议,可以方便地扩展支持新的应用程序和应用协议。

  在深度应用安全方面,山石网科的防火墙可对P2P、IM、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用进行控制。识别的应用多达几百种,而且随着应用的发展每天都在增加。应用特征库可独立升级,不影响系统的稳定性。而且,其采用交叉检测技术,不仅对协议进行深度的分析,还通过综合分析用户状态、应用状态和行为状态,来确认协议的真正含义,实现更精准和更快速的定位。

  当前Web 2.0 应用使企业面临着新的威胁以及与应用检测和控制相关的策略与法规遵从问题。在迈克菲的新一代防火墙解决方案—McAfee Firewall Enterprise第八版中,迈克菲扩展了防火墙现有的应用保护功能,能够帮助安全管理员发现和识别数千种应用并执行相应的安全策略,传统的防火墙技术无法做到这一点。通过集成迈克菲基于云的实时全球威胁智能感知系统,迈克菲防火墙还可提供更详细的内、外部威胁和漏洞信息,降低法规遵从和运营成本。

  SonicWALL的“应用智能和控制”技术提供了对应用层流量的全面保护、管理和控制。通过持续地运用和更新2700多个独特的应用签名,应用智能可以根据应用标识、用户/群组标识及内容标识来识别和控制流量,并通过建立针对进入和外出带宽管理的政策(不是简单的‘阻止/允许’方案)来管理流量。另外,与其他只提供应用控制的方案不同,Project SuperMassive将应用智能与入侵防御及恶意软件拦截组件集成到了下一代防火墙中,形成了一个功能强大的网络安全平台。

  现在,企业的数据中心普遍采用了虚拟化技术,但是,伴随虚拟化技术而来的,还有其本身的安全隐患。安全厂商已经着手解决虚拟化的安全问题,例如迈克菲的防火墙现在既可用于传统设备,也可用于新的虚拟化硬件设备,甚至可以作为一款基于软件的防火墙虚拟设备来使用。这些新的交付方式使客户能够在整合数据中心和应用环境以及引入新的虚拟环境时,充分利用虚拟化技术来降低成本,提高灵活性,而不必担心安全性。

  从“云”中获取能量

  绿盟产品市场部崔云鹏曾向记者表示,云安全是利用云计算的技术,在分布式计算的基础上,部署中心服务器或者安全系统,并利用互联网,将各个安全节点纳入到云安全中心系统中。在这个体系中,各个节点将会有效地利用云安全供应商提供的强有力服务和安全能力,实现原先单一节点不可能实现的安全防护机制。

  目前,应用威胁的数量众多,快速多变。传统安全设备的处理机制已经无能为力。因此,新一代防火墙需要引入云安全,利用云计算加强和加速防御,这是解决当前安全需要快速反应的重要手段。

  思科的防火墙已经率先进入“云”时代,思科将其称为云火墙。思科安全产品事业部技术专家郭庆向记者介绍,云火墙具备4大特征,包括:

  防僵尸网络/木马,防止网络内部主机感染;

  云检测—全球IPS联动;

  云接入—SSL VPN;

  云监控—唯一支持Netflow的防火墙,实现了NOC和SOC二合一。

  云火墙的“大脑”是SensorBase。SensorBase提供全球安全威胁实时视图,以及电子邮件的“信用报告服务”,还能敏感监控僵尸网络的动态。SensorBase所更新的信息同步到所有云火墙。各种安全信息不但可以从SensorBase传到云火墙,还可以从云火墙传到SensorBase,云火墙中的IPS可以及时把攻击同步给SensorBase SensorBase再同步给其他云火墙。

  迈克菲的防火墙解决方案中同样使用了云安全—全球信誉技术,包括基于信誉的拦截和地理位置功能,可以在不需要的流量到达网络之前将其过滤,也就是在攻击发生之前将其阻止。

  下一代防火墙的几个特征

  防火墙一方面可以阻止来自互联网的对受保护网络的未授权访问,另一方面允许内部网络用户对互联网进行访问。

  回顾发展历程,防火墙经历了包过滤防火墙和状态检测防火墙两个发展阶段。状态检测防火墙实现了对数据包连接状态的监控,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。状态检测防火墙通过检查报文的协议类型和端口号等信息,来监控基于连接的应用层协议。然而,它只能粗粒度地识别来自应用层的攻击行为,也无法针对数据内容做检查。

  用户对防火墙提出了更高的要求。下一代防火墙不但要能够检测并拦截复杂攻击,还要在应用层(包括端口和协议)执行细化安全策略,具备出色的可视化性能和控制能力,可以及时查看网络中应用程序和用户的相关信息以及整个企业网络的流量内容,并进行相应的控制。

  要做到应用的可视化,下一代防火墙就必须采用能够提供更高性能的架构。现在多核架构已经成为主流,在多核的基础上,各家厂商还设计了“NP +多核+分布式”、“多核+ASIC”等架构。

  当云计算成为无法阻挡的趋势时,防火墙也将借助云的力量变得更强大、更智能,部分国外厂商已经推出了采用此类技术的防火墙。

  虚拟化技术是对防火墙的更大挑战,在如何保护虚拟环境的安全性方面,少数防火墙厂商已经提出了解决方案,我们希望能有更多的解决方案出现。

 
  分簇技术能否真正拯救RAID存储
   
 

  RAID存储技术所面临的挑战之一就是重建故障磁盘所需的时间越来越长,这增加了数据丢失的风险,并威胁着那些历史悠久的数据存储技术的生存。

  磁盘密度的增长速度远远超过了性能和可靠性方面的改善,一些存储网络行业人士甚至质疑RAID能够足够快地恢复故障磁盘以维持企业数据存储领域的相互关联性。

  但是一些数据存储厂商选择了一种古老的方法来维持RAID的:分簇RAID(Declustered RAID),或者Parity Declustering,这是RAID先驱者Garth Gibson和Mark Holland在1992年的一份文件中提出的理念。

  StorageIO Group创始人、高级分析师Greg Schulz表示:“我发现有趣的一点,如今RAID所面临的一些难题与十几年前是类似的。”

  Schulz表示,这些问题包括:大容量磁盘驱动器的重建、分布式数据保护、可用性、性能和易用性。

  分簇RAID的定义

  分簇最早是针对镜像磁盘推出的,之后在卡内基梅隆大学的Gibson实验室中针对RAID 5阵列开发的。

  高性能存储公司Panasas共同创始人、首席技术官卡Gibson表示:“分簇技术将小簇磁盘集群的一个RAID 控制器替代成多个RAID控制器的集合,每一个都可以通过光纤通道或者iSCSI SAN访问所有磁盘。”

  分簇技术因RAID的替换而有所不同,这样每个校验计算只涉及少数几个磁盘,这些磁盘的设置会根据每个磁盘的字位而有所变化。结果是,分簇RAID 5中的每对磁盘都涉及相同数量的RAID替换。

  不同的RAID有不同的分簇技术,因此每个校验计算只涉及少数几个磁盘,

  Gibson表示:“当一个磁盘发生故障的时候,每个磁盘都承担一部分恢复工作,分散到所有RAID控制器,而不是由一个RAID控制器和几个磁盘做所有恢复工作,而其他磁盘和RAID控制器不参与恢复工作。”

  因为分簇技术还会将在线冗余空间分配给所有磁盘——而不是有几个在线冗余空间处于空闲状态,因此即使是在恢复故障磁盘过程中的写入操作也是分配到整个阵列的。

  Gibson表示:“最终结果是,从一台计算机上的一个应用,到所有磁盘和所有控制器的并行计算和分布式计算,RAID都会有所变化。计算会完成的更快,或者它在恢复期间对用户性能的影响越来越小,或者两者兼而有之。”

  解决RAID重建难题

  存储、策略和系统资讯服务公司Silverton Consulting总裁Ray Lucchesi表示,驱动器重建时间的难题在于,重建一个1TB或者更大的磁盘驱动器所需的时间是按小时计算(如果不是按天的话),并且取决于存储系统和RAID组是否繁忙。

  不过,通过创建更大的单校验RAID组(RAID条带中有更多磁盘盘片)、交错耦合RAID组或者使用拥有更多盘片的RAID 6等方法可以缩短重建时间。

  但是对于一个大型RAID组来说,问题是数据覆写可能会引发校验磁盘上的性能瓶颈,因此RAID用户所面临的难题就是如何将大型RAID组更短的驱动器重建时间与小型RAID组更小的写惩罚两个特点结合起来。

  Lucchesi认为,可以把校验分簇作为一种解决方案,因为它会在多个磁盘驱动器之间分布校验和数据,因此不会有一个磁盘来承担所有驱动器的校验。

  这么做可以消除热驱动器现象,而这一般审核通过使用更小的RAID组来实现的。

  Gibson表示:“问题的核心是,读取整个磁盘所花费的时间越来越长,每年增加大约20%。磁盘数据速率的增长速度逐渐落后于容量的增长,因此读取容量更大的磁盘就要花费更长的时间。”

  由于磁盘容量越来越大,所以RAID系统恢复一个故障磁盘就需要更长时间。传统RAID系统通过从头到尾读取所有剩余磁盘、将缺失数据写入到在线冗余磁盘中来实现磁盘恢复。

  Gibson表示,需要更长时间恢复故障磁盘和被取代磁盘是一件糟糕的事,这有两方面的原因。

  首先,这意味着会危险期——更换故障磁盘和恢复其中内容的一段时间——变得越来越长。在这期间,可能会有更多故障导致数据丢失。而危险期的加长意味着数据可靠性降低。

  其次,恢复是一项繁重的工作。这期间,有用的磁盘访问减少,用户工作负载的磁盘性能降低。恢复期越长,用户“事倍功半”的时间就越长。

  结果就是,RAID系统需要更长时间恢复到全面保护状态,发生其他故障的几率和数据丢失的可能性也有所增加。

  Gibson表示,Panasas的校验分簇技术将RAID从一个控制器和几个磁盘的本地操作转变成使用存储池中所有控制器和磁盘的并行算法。

  通过由上万个单个磁盘阵列所组成的存储池,校验分簇技术能够将恢复速度提高十几倍甚至几百倍。它将工作细微地分配到每个磁盘中,减少恢复流程对并发用户工作的干扰。

  将所有数据分布到多个磁盘中的方法并非Panasas独有的。其他掌握这项技术的厂商还包括EMC、Google、日立、惠普、IBM和Isilon。

  IBM XIV和RAID-X

  IBM XIV是一款基于网格、不使用传统RAID的存储系统。

  IBM系统存储高级存储咨询师Tony Pearson表示:“数据被分布到松散连接的数据模块中,这些模块被当作是独立的构建块。”

  他说:“XIV将每个LUN分割成1MB的块,将每个块的两个副本保存在彼此分开的模块中的单独驱动器上。我们称其为RAID-X。”

 

VMsafe:用于虚拟化环境的第三方安全技术
   
 

  VMsafe是一项突破性的创新技术,它利用VMware vSphere的独特功能,构建起一个丰富的针对虚拟化环境的第三方安全解决方案体系。利用此虚拟安全技术,可精确了解虚拟机资源的情况,监控系统执行的各个方面,及时停止以前无法检测到的病毒、Rootkit和恶意软件,使它们无法感染系统。借助VMsafe,合作伙伴可以采用虚拟机形式构建能够访问、关联和修改数据,进而为内存和CPU提供保护的安全解决方案。VMsafe可以对虚拟机内存页和CPU的状态进行自检。

  网络连接:VMsafe可在管理程序以及安全虚拟机自身中过滤网络封包。

  进程执行:VMsafe提供的客户机内和进程内API可对进程执行过程进行全面监控。

  存储:可对客户虚拟机磁盘文件进行装载、操作和修改,就像它们一直保存在存储设备上一样。

  VMware vSphere的未来版本中将采用VMsafe技术,并使用专为VMware环境构建(利用一系列安全 API)的第三方安全产品加以补充。

  VMware VMsafe的主要优点

  VMware VMsafe技术计划包括与合作伙伴分享一系列开放、可互操作的跨平台技术,以便他们提供创新的虚拟机安全解决方案。利用VMware VMsafe构建的安全解决方案,可为客户提供更为精细、可见性、相关性和可扩展性更高的虚拟机部署。

  增强安全性。VMsafe可使第三方安全供应商创建强大的虚拟化解决方案,以更有效地帮助组织抵御现有以及新出现的各种安全威胁。

  加强策略控制。与VMsafe集成的解决方案有助于实现更高的可见性和可管理性,同时还能更有效地执行标准安全策略。

  改善隔离效果。VMsafe的设计可将第三方安全解决方案与虚拟基础架构的其余部分隔离开来,使恶意软件无法对它们进行访问,从而实现对这些解决方案的保护。

  提高相关性。与VMsafe集成的解决方案可更深入地洞悉虚拟机中的情况,并将这些数据关联起来,从而在执行网络扫描及其他任务时获得更高的准确性。

  提高可扩展性。VMsafe与VMware Infrastructure直接集成,再加上其集中化的管理功能,使它可以对大型虚拟基础架构提供保护。

 

 
7*24专线:010-58812000   技术支持邮箱:support@cstnet.cn   垃圾邮件投诉邮箱:abuse@cstnet.cn
    © 1994-2010 版权所有:中国科技网网络中心     意见反馈: support@cstnet.cn