安全網(wǎng)關(guān)的“硬”道理

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

    對(duì)于用戶來說，網(wǎng)關(guān)就是守護(hù)企業(yè)信息安全的門衛(wèi)。由于現(xiàn)在的安全網(wǎng)關(guān)基本以硬件的形式出現(xiàn)，因此，芯片設(shè)計(jì)和硬件平臺(tái)的選擇，成為不可忽視的一環(huán)。

    多樣的選擇

    安全網(wǎng)關(guān)的硬件化和芯片化已經(jīng)成為公認(rèn)的趨勢(shì)。從主機(jī)的形態(tài)上看，軟件形態(tài)的網(wǎng)關(guān)也逐步被硬件形態(tài)的產(chǎn)品代替，新興防垃圾郵件和防病毒的網(wǎng)關(guān)也大都以硬件的方式出現(xiàn)。從數(shù)據(jù)轉(zhuǎn)發(fā)處理上，傳統(tǒng)基于CPU的軟件處理方式，也在向由專用芯片或網(wǎng)絡(luò)處理器處理的方向發(fā)展，從而獲得更高的性能。而安全處理中對(duì)于系統(tǒng)資源消耗比較大的計(jì)算，也都出現(xiàn)了一些相應(yīng)加速芯片，如加解密處理，從低端到高端都可以采用加速芯片，也有一些CPU、NPU或ASIC芯片中就直接集成了加解密處理模塊；對(duì)于應(yīng)用層處理常需要的內(nèi)容搜索，也出現(xiàn)了一些高速的內(nèi)容搜索芯片；針對(duì)新的應(yīng)用協(xié)議需要，如解壓縮、語音、視頻的處理，一些廠家也逐步在產(chǎn)品集成相應(yīng)的專用加速引擎來獲得高的性能。安全產(chǎn)業(yè)的高速發(fā)展，也吸引了一些大的芯片廠商的關(guān)注，一些芯片廠家紛紛推出各種檔次的安全加速芯片，甚至在新推出數(shù)據(jù)處理芯片中直接集成多種加速功能，加速芯片的發(fā)展也為設(shè)計(jì)更高性能、功能更強(qiáng)的網(wǎng)關(guān)提供了產(chǎn)業(yè)鏈的支撐。

    為適應(yīng)各種安全需要，以及產(chǎn)品定位的不同，各廠家的網(wǎng)關(guān)產(chǎn)品的硬件平臺(tái)出現(xiàn)了多樣發(fā)展的趨勢(shì)，有基于通用CPU的X86架構(gòu)、ASIC架構(gòu)，以及目前比較熱門的基于網(wǎng)絡(luò)處理器（NPU）的架構(gòu)，還有一些直接使用嵌入式芯片作為主處理器的架構(gòu)，如基于Power PC、MIPS、ARM等嵌入式CPU架構(gòu)的系統(tǒng)，以及采用各種技術(shù)進(jìn)行組合的架構(gòu)。不同的體系結(jié)構(gòu)顯露出了各自的優(yōu)勢(shì)與特色。

    誰才是合格的“門衛(wèi)”？

    既然從硬件平臺(tái)上有這么多的選擇與組合，那么，怎樣才算是一個(gè)“好”的安全網(wǎng)關(guān)，或者說是為用戶網(wǎng)絡(luò)找到一個(gè)合格的“門衛(wèi)”呢。

    其實(shí)，歸根結(jié)底還是要落到應(yīng)用上面來，因?yàn)樗械陌踩胧┠酥廉a(chǎn)品必然是為了促進(jìn)應(yīng)用而衍生出來的，如果不是網(wǎng)絡(luò)應(yīng)用的需求，網(wǎng)絡(luò)安全也無從談起。換句話說，“只有促進(jìn)應(yīng)用發(fā)展的安全才是真正‘好’的安全”。

    針對(duì)不同的網(wǎng)絡(luò)應(yīng)用，安全網(wǎng)關(guān)產(chǎn)品在功能上出現(xiàn)了專業(yè)化和多功能集成化的兩種發(fā)展方向，專業(yè)化的網(wǎng)關(guān)功能比較單一、專注；而多功能網(wǎng)關(guān)集成多種安全功能，成為多合一的產(chǎn)品。

    其中，專業(yè)化的安全產(chǎn)品，如單獨(dú)的防火墻、VPN、IPS、防垃圾郵件、防病毒網(wǎng)關(guān)等等，功能專注于某一方向，可以充分發(fā)揮系統(tǒng)的性能，因此維護(hù)管理也比較簡單。

    而多功能的集成化網(wǎng)關(guān)，可以根據(jù)需要將防火墻、VPN、IPS、防病毒、防垃圾郵件等安全功能組合在一起，在一個(gè)平臺(tái)上完成多個(gè)安全控制功能，甚至還集成了路由、交換等傳統(tǒng)的數(shù)據(jù)通訊產(chǎn)品要求的功能；同時(shí)，傳統(tǒng)的數(shù)據(jù)通訊產(chǎn)品如路由器、交換機(jī)也越來越多的傾向于集成一些安全特性，比較大的通信廠家在自己的中低端的路由器和交換機(jī)中加入了豐富的安全功能。在中低端環(huán)境中，多功能集成化網(wǎng)關(guān)能提供更多的客戶價(jià)值。

    其實(shí)，集成多層各種網(wǎng)關(guān)處理功能并不是一個(gè)新概念，安全網(wǎng)關(guān)需要的是專業(yè)化還是集成，并沒有固定的模式，需要根據(jù)安全的需要來選擇，要綜合平衡性能、穩(wěn)定性以及性價(jià)比等多種因素。在高端，面對(duì)高速千兆甚至10G、40G網(wǎng)絡(luò)環(huán)境，對(duì)性能和穩(wěn)定性的要求比教高，就需要獨(dú)立的高性能專業(yè)安全網(wǎng)關(guān)系統(tǒng)，或者需要有獨(dú)立處理單元的硬件模塊來提供相應(yīng)的功能；而對(duì)于中端和低端環(huán)境，在性能可以滿足的情況下，對(duì)多功能集成化網(wǎng)關(guān)的需求就比較強(qiáng)烈。

    民族產(chǎn)業(yè)莫失良機(jī) 

    從安全網(wǎng)關(guān)硬件的發(fā)展我們可以看出，進(jìn)一步地提高性能并集成更多的應(yīng)用，還有待于硬件和算法的進(jìn)一步發(fā)展，也就是說，還需要在系統(tǒng)和芯片技術(shù)上有進(jìn)一步的突破，而這一點(diǎn)，恰恰是我們很多國內(nèi)企業(yè)欠缺和需要努力的方向。

    由于信息安全產(chǎn)業(yè)的特殊意義，國家一直對(duì)國內(nèi)廠商在這一領(lǐng)域的突破寄予厚望。因此，不僅對(duì)于廠商來說，網(wǎng)關(guān)是安全市場(chǎng)上份量最重的一塊蛋糕；而且對(duì)于我國的安全產(chǎn)業(yè)來說，網(wǎng)關(guān)也是發(fā)展的關(guān)鍵與機(jī)遇。我們看到，一些國內(nèi)企業(yè)已經(jīng)做出了相當(dāng)矚目的成績，比如在安全領(lǐng)域耕耘多年的天融信公司，在安全網(wǎng)關(guān)產(chǎn)品線上日益豐富和完善，掌握了中國第一個(gè)完全自主設(shè)計(jì)的安全處理芯片等核心技術(shù)，針對(duì)不同的用戶，有了清晰的網(wǎng)關(guān)產(chǎn)品技術(shù)系列，已經(jīng)具備了全線競爭的能力。

    不過，對(duì)于我國安全產(chǎn)業(yè)整體而言，單一廠商的個(gè)體突破還起不到?jīng)Q定的作用，我們期待著能有更多的廠家加入進(jìn)來，發(fā)揮所長，只有這樣，才能實(shí)現(xiàn)我國安全產(chǎn)業(yè)真正意義上的群體突破。

    相關(guān)鏈接：安全網(wǎng)關(guān)硬件平臺(tái)分類與特性

    基于通用CPU的X86架構(gòu)的安全網(wǎng)關(guān)，一般采用Intel或AMD公司的芯片，X86在架構(gòu)系統(tǒng)時(shí)還需要北橋和南橋芯片，采用該種硬件架構(gòu)，軟硬件配套資源比較多，便于快速推出產(chǎn)品，企業(yè)投資少，同時(shí)功能基本都有軟件實(shí)現(xiàn)，產(chǎn)品比較靈活，但基于X86技術(shù)平臺(tái)受PCI總線帶寬和CPU處理能力的限制，很難滿足高速環(huán)境的要求，同時(shí)CPU和外圍芯片組發(fā)熱比較大，產(chǎn)品壽命和穩(wěn)定性難以保證。

    國際上少數(shù)公司采用基于ASIC架構(gòu)的設(shè)計(jì)，該種架構(gòu)產(chǎn)品性能高，穩(wěn)定性好，規(guī)模生產(chǎn)后價(jià)格比較低，但開發(fā)基于ASIC產(chǎn)品要求的投資非常大，技術(shù)門檻高，沒有一定實(shí)力的廠家很難開發(fā)這樣的產(chǎn)品。

    近年來基于NPU架構(gòu)來設(shè)計(jì)產(chǎn)品逐步走紅，Intel、AMCC、Broadaom、IBM、Agere等芯片廠商都推出了網(wǎng)絡(luò)處理器芯片，采用NPU來架構(gòu)安全網(wǎng)關(guān)，投資要比開發(fā)ASIC低很多，同時(shí)可以設(shè)計(jì)出比較高性能產(chǎn)品，但相對(duì)于ASIC架構(gòu)，網(wǎng)絡(luò)處理一般采用多個(gè)微引擎并行處理，而微引擎執(zhí)行的是微碼，微碼具有可編程性，所以NPU架構(gòu)要比ASIC架構(gòu)靈活，但在穩(wěn)定性上則不如ASIC架構(gòu)穩(wěn)定；同時(shí)NPU的產(chǎn)業(yè)標(biāo)準(zhǔn)尚需完善，產(chǎn)業(yè)供應(yīng)鏈還需進(jìn)一步成熟。

    還有一些基于嵌入式CPU來直接構(gòu)建網(wǎng)關(guān)的硬件平臺(tái)，該類嵌入式CPU一般采用SOC的思想，體系結(jié)構(gòu)簡單，不再需要類似北橋、南橋這樣的復(fù)雜的外圍芯片組，一般可以直接連接內(nèi)存、PCI總線，并直接提供各種低速I/O接口，采用該種架構(gòu)，系統(tǒng)復(fù)雜度低，溫度特性也比基于X86架構(gòu)的好，產(chǎn)品容易穩(wěn)定，同時(shí)軟件還保持比較好的靈活性，但該種芯片仍然受限于總線帶寬和處理能力限制，也很難滿足高速的要求；在ASIC和NP架構(gòu)的產(chǎn)品常采用嵌入式CPU作為管理和控制CPU使用。

    除上述各種單一硬件平臺(tái)，還有一種新形式的架構(gòu)就是采用組合式架構(gòu)，除常見的CPU與NPU結(jié)合、CPU與ASIC結(jié)合外，還可以根據(jù)需要將ASIC與NPU組合，甚至將CPU、NPU和ASIC結(jié)合在一起形成組合型架構(gòu)，采用該種架構(gòu)，可以根據(jù)產(chǎn)品需要選擇不同技術(shù)進(jìn)行組合，可以充分發(fā)揮各種技術(shù)的優(yōu)點(diǎn)，揚(yáng)長避短，從而獲得高性能和高靈活，并且在各個(gè)方面處理能力都有比較好的效果；但該種架構(gòu)設(shè)計(jì)難度很高，投資也比較大，軟件開發(fā)難度高，可能需要操作系統(tǒng)和軟件支持不同的指令集。

    來源：CCW