安全網關技術知識

在信息安全市場上，業界正在硬件架構和軟件流程上都不斷有所新的突破來滿足對性能和功能需求的雙重提高，是追求全面的安全防護還是追求高性能的安全防護，在現有的硬件體系和軟件架構的約束下，目標的差異衍生出對市場定位和技術發展方向的，而這種分歧帶有某種哲學意味，我們知道這是一個彼此矛盾的選擇，很難兩者兼顧。

近日在一次座談會上筆者就此問題請教了網絡安全設備廠商WatchGuard的首席策略官Mark W. Stevens和亞洲區銷售總監 梁偉業先生，和他們一起討論了安全網關技術的未來發展架構，發展方向，以及防火墻產品的市場定位一些業界感興趣的話題。仁者見仁，智者見智，本文將這次討論整理出來寫成這篇文章，希望對您能有所啟發，也希望和您能繼續深入探討，如果您感興趣請給我來信 braveheart_317414@yahoo.com.cn。

ALL－IN－ONE能否進入高端市場？

集成多層各種網關處理功能并不是一個新概念，集成的趨勢在中低端市場上已經很明顯了，許多面對中小企業的信息安全設備都將防火墻、IDS、防病毒、VPN、路由功能集成在一起稱之為安全網關，集成的功能越多對硬件架構和軟件流程的算法要求就越高，需要良好的架構設計和模塊間的協調能力。Stevens強調說WG憑借他們自身的智能分層安全構架將這些功能集成在firebox中，這樣就可以來為客戶提供高品質低價格的服務。但是我們認識到WG的目標客戶主要集中在中小客戶這樣的中低端市場，那么在高端市場上，在現階段ALL－IN－ONE能滿足高端客戶的需要嗎？

我們知道高端客戶的網絡環境有兩個非常重要和基本的特點：網絡流量非常大，網絡應用復雜。對于一個安全網關來說，他的功能除了對數據包的轉發外，還需要對數據包根據安全規則進行處理和判斷，而來自應用層數據包進行安全方面的處理通常需要更多的處理流程，占用更多的CPU資源，那么ALL－IN-ONE能否進入高端市場的一個根本限制就在于硬件架構，簡而言之就是芯片的處理速度能否跟的上。

從芯片集成的角度來說，根據Intel專家的意見目前在90 納米芯片生產技術下將真正高性能CPU NPU4集成為一個芯片還幾乎是不可能的。就連Intel 的專家也認為，即使在60 納米芯片生產技術下這一水平的集成也不太可能。這就意味在芯片級的層次上安全處理和網絡數據包的高度集成就受到了限制，實現CPU 與NPU 高速“無縫”互聯的硬件平臺總線技術是當前阻礙ALL-IN-ONE真正障礙，他是性能和功能之間捉襟見肘的根本問題所在，這個障礙不排除，高端市場上很難會有ALL-IN-ONE產品的生存空間，畢竟軟件平臺必須建立在硬件架構之上。

未來防火墻的硬件架構發展

既然硬件架構是安全網關產品性能的基礎，那么未來防火墻的硬件架構會以ASIC為主流嗎？

在這個問題上Stevens態度非常明確：他說WG現在沒有采用ASIC架構，將來也不計劃采用，雖然以ASIC為架構的防火墻性能很好，但是我們認為ASIC架構并不適合信息安全市場，除了ASIC架構產品的價格因素外，一個更重要的原因是信息安全市場的是一個變化非?？斓氖袌?，這要求安全防范技術跟的上黑客技術的變化，這才能加強企業的信息安全。所以一個符合信息安全市場需要的硬件平臺應該是升級周期短，方便擴展的平臺，拿這兩個要求來衡量X86和ASIC這兩種架構，X86顯然更加有優勢。

內容過濾是否會成為未來防火墻功能發展的一個主流？

梁偉業先生認為Web應用已經是一個潮流，而基于Web應用的安全威脅也成為傳統防火墻的盲點，所以基于內容過濾的Web安全防護成為將來防火墻市場上的一個必不可少的功能模塊，至于是做單獨的產品還是作為一個模塊進行集成，梁偉業先生說最初WG曾經考慮過作為單獨的產品推出，但考慮到面對的目標用戶的實際需求，最終決定還是選擇后者，將他作為一個模塊集成到現有的平臺架構下。

當然他們也考慮過性能問題，有人曾提到一旦諸如反垃圾郵件功能打開的話，網關的處理性能將大幅降低，梁偉業先生坦率的說，這里面有一個權衡，你是要安全多一點還是要性能好一點，兩者很難同時兼顧。

后記：不止是網絡安全技術遇到的這種兩難處境，在整個網絡產業都處在這樣一個重要的十字路口。一方面，我們可以開發各種獨立的網絡產品，每個都獨具特色、享有專門的特性和功能。而另一方面，我們希望把更多的功能集成到一個統一的網絡平臺上，這個平臺集易用性、集成性和功能統一性于一體，但是這種集成卻受制于現有的體系架構。從產品制造商、服務提供商、到最終用戶都在這個十字路口上進行仔細的權衡，對于一個用戶來說，他權衡的根本是安全和性能他究竟注重哪一個，對于產品制造商和服務提供商權衡的依據是他們的什么是他們的核心用戶，他們的核心客戶究竟需要什么？