安全網關的“硬”道理

申請免費試用、咨詢電話：400-8352-114

    對于用戶來說，網關就是守護企業(yè)信息安全的門衛(wèi)。由于現(xiàn)在的安全網關基本以硬件的形式出現(xiàn)，因此，芯片設計和硬件平臺的選擇，成為不可忽視的一環(huán)。

    多樣的選擇

    安全網關的硬件化和芯片化已經成為公認的趨勢。從主機的形態(tài)上看，軟件形態(tài)的網關也逐步被硬件形態(tài)的產品代替，新興防垃圾郵件和防病毒的網關也大都以硬件的方式出現(xiàn)。從數據轉發(fā)處理上，傳統(tǒng)基于CPU的軟件處理方式，也在向由專用芯片或網絡處理器處理的方向發(fā)展，從而獲得更高的性能。而安全處理中對于系統(tǒng)資源消耗比較大的計算，也都出現(xiàn)了一些相應加速芯片，如加解密處理，從低端到高端都可以采用加速芯片，也有一些CPU、NPU或ASIC芯片中就直接集成了加解密處理模塊；對于應用層處理常需要的內容搜索，也出現(xiàn)了一些高速的內容搜索芯片；針對新的應用協(xié)議需要，如解壓縮、語音、視頻的處理，一些廠家也逐步在產品集成相應的專用加速引擎來獲得高的性能。安全產業(yè)的高速發(fā)展，也吸引了一些大的芯片廠商的關注，一些芯片廠家紛紛推出各種檔次的安全加速芯片，甚至在新推出數據處理芯片中直接集成多種加速功能，加速芯片的發(fā)展也為設計更高性能、功能更強的網關提供了產業(yè)鏈的支撐。

    為適應各種安全需要，以及產品定位的不同，各廠家的網關產品的硬件平臺出現(xiàn)了多樣發(fā)展的趨勢，有基于通用CPU的X86架構、ASIC架構，以及目前比較熱門的基于網絡處理器（NPU）的架構，還有一些直接使用嵌入式芯片作為主處理器的架構，如基于Power PC、MIPS、ARM等嵌入式CPU架構的系統(tǒng)，以及采用各種技術進行組合的架構。不同的體系結構顯露出了各自的優(yōu)勢與特色。

    誰才是合格的“門衛(wèi)”？

    既然從硬件平臺上有這么多的選擇與組合，那么，怎樣才算是一個“好”的安全網關，或者說是為用戶網絡找到一個合格的“門衛(wèi)”呢。

    其實，歸根結底還是要落到應用上面來，因為所有的安全措施乃至產品必然是為了促進應用而衍生出來的，如果不是網絡應用的需求，網絡安全也無從談起。換句話說，“只有促進應用發(fā)展的安全才是真正‘好’的安全”。

    針對不同的網絡應用，安全網關產品在功能上出現(xiàn)了專業(yè)化和多功能集成化的兩種發(fā)展方向，專業(yè)化的網關功能比較單一、專注；而多功能網關集成多種安全功能，成為多合一的產品。

    其中，專業(yè)化的安全產品，如單獨的防火墻、VPN、IPS、防垃圾郵件、防病毒網關等等，功能專注于某一方向，可以充分發(fā)揮系統(tǒng)的性能，因此維護管理也比較簡單。

    而多功能的集成化網關，可以根據需要將防火墻、VPN、IPS、防病毒、防垃圾郵件等安全功能組合在一起，在一個平臺上完成多個安全控制功能，甚至還集成了路由、交換等傳統(tǒng)的數據通訊產品要求的功能；同時，傳統(tǒng)的數據通訊產品如路由器、交換機也越來越多的傾向于集成一些安全特性，比較大的通信廠家在自己的中低端的路由器和交換機中加入了豐富的安全功能。在中低端環(huán)境中，多功能集成化網關能提供更多的客戶價值。

    其實，集成多層各種網關處理功能并不是一個新概念，安全網關需要的是專業(yè)化還是集成，并沒有固定的模式，需要根據安全的需要來選擇，要綜合平衡性能、穩(wěn)定性以及性價比等多種因素。在高端，面對高速千兆甚至10G、40G網絡環(huán)境，對性能和穩(wěn)定性的要求比教高，就需要獨立的高性能專業(yè)安全網關系統(tǒng)，或者需要有獨立處理單元的硬件模塊來提供相應的功能；而對于中端和低端環(huán)境，在性能可以滿足的情況下，對多功能集成化網關的需求就比較強烈。

    民族產業(yè)莫失良機 

    從安全網關硬件的發(fā)展我們可以看出，進一步地提高性能并集成更多的應用，還有待于硬件和算法的進一步發(fā)展，也就是說，還需要在系統(tǒng)和芯片技術上有進一步的突破，而這一點，恰恰是我們很多國內企業(yè)欠缺和需要努力的方向。

    由于信息安全產業(yè)的特殊意義，國家一直對國內廠商在這一領域的突破寄予厚望。因此，不僅對于廠商來說，網關是安全市場上份量最重的一塊蛋糕；而且對于我國的安全產業(yè)來說，網關也是發(fā)展的關鍵與機遇。我們看到，一些國內企業(yè)已經做出了相當矚目的成績，比如在安全領域耕耘多年的天融信公司，在安全網關產品線上日益豐富和完善，掌握了中國第一個完全自主設計的安全處理芯片等核心技術，針對不同的用戶，有了清晰的網關產品技術系列，已經具備了全線競爭的能力。

    不過，對于我國安全產業(yè)整體而言，單一廠商的個體突破還起不到決定的作用，我們期待著能有更多的廠家加入進來，發(fā)揮所長，只有這樣，才能實現(xiàn)我國安全產業(yè)真正意義上的群體突破。

    相關鏈接：安全網關硬件平臺分類與特性

    基于通用CPU的X86架構的安全網關，一般采用Intel或AMD公司的芯片，X86在架構系統(tǒng)時還需要北橋和南橋芯片，采用該種硬件架構，軟硬件配套資源比較多，便于快速推出產品，企業(yè)投資少，同時功能基本都有軟件實現(xiàn)，產品比較靈活，但基于X86技術平臺受PCI總線帶寬和CPU處理能力的限制，很難滿足高速環(huán)境的要求，同時CPU和外圍芯片組發(fā)熱比較大，產品壽命和穩(wěn)定性難以保證。

    國際上少數公司采用基于ASIC架構的設計，該種架構產品性能高，穩(wěn)定性好，規(guī)模生產后價格比較低，但開發(fā)基于ASIC產品要求的投資非常大，技術門檻高，沒有一定實力的廠家很難開發(fā)這樣的產品。

    近年來基于NPU架構來設計產品逐步走紅，Intel、AMCC、Broadaom、IBM、Agere等芯片廠商都推出了網絡處理器芯片，采用NPU來架構安全網關，投資要比開發(fā)ASIC低很多，同時可以設計出比較高性能產品，但相對于ASIC架構，網絡處理一般采用多個微引擎并行處理，而微引擎執(zhí)行的是微碼，微碼具有可編程性，所以NPU架構要比ASIC架構靈活，但在穩(wěn)定性上則不如ASIC架構穩(wěn)定；同時NPU的產業(yè)標準尚需完善，產業(yè)供應鏈還需進一步成熟。

    還有一些基于嵌入式CPU來直接構建網關的硬件平臺，該類嵌入式CPU一般采用SOC的思想，體系結構簡單，不再需要類似北橋、南橋這樣的復雜的外圍芯片組，一般可以直接連接內存、PCI總線，并直接提供各種低速I/O接口，采用該種架構，系統(tǒng)復雜度低，溫度特性也比基于X86架構的好，產品容易穩(wěn)定，同時軟件還保持比較好的靈活性，但該種芯片仍然受限于總線帶寬和處理能力限制，也很難滿足高速的要求；在ASIC和NP架構的產品常采用嵌入式CPU作為管理和控制CPU使用。

    除上述各種單一硬件平臺，還有一種新形式的架構就是采用組合式架構，除常見的CPU與NPU結合、CPU與ASIC結合外，還可以根據需要將ASIC與NPU組合，甚至將CPU、NPU和ASIC結合在一起形成組合型架構，采用該種架構，可以根據產品需要選擇不同技術進行組合，可以充分發(fā)揮各種技術的優(yōu)點，揚長避短，從而獲得高性能和高靈活，并且在各個方面處理能力都有比較好的效果；但該種架構設計難度很高，投資也比較大，軟件開發(fā)難度高，可能需要操作系統(tǒng)和軟件支持不同的指令集。

    來源：CCW