安全网关的“硬”道理

作者：计算机世界

欢迎访问e展厅 展厅 5 网络/安全/存储产品展厅 无线上网卡, 光纤设备, 网络布线产品, 计算机干扰器, 网关, ... 对于用户来说，网关就是守护企业信息安全的门卫。由于现在的安全网关基本以硬件的形式出现，因此，芯片设计和硬件平台的选择，成为不可忽视的一环。 多样的选择 安全网关的硬件化和芯片化已经成为公认的趋势。从主机的形态上看，软件形态的网关也逐步被硬件形态的产品代替，新兴防垃圾邮件和防病毒的网关也大都以硬件的方式出现。从数据转发处理上，传统基于CPU的软件处理方式，也在向由专用芯片或网络处理器处理的方向发展，从而获得更高的性能。而安全处理中对于系统资源消耗比较大的计算，也都出现了一些相应加速芯片，如加解密处理，从低端到高端都可以采用加速芯片，也有一些CPU、NPU或ASIC芯片中就直接集成了加解密处理模块；对于应用层处理常需要的内容搜索，也出现了一些高速的内容搜索芯片；针对新的应用协议需要，如解压缩、语音、视频的处理，一些厂家也逐步在产品集成相应的专用加速引擎来获得高的性能。安全产业的高速发展，也吸引了一些大的芯片厂商的关注，一些芯片厂家纷纷推出各种档次的安全加速芯片，甚至在新推出数据处理芯片中直接集成多种加速功能，加速芯片的发展也为设计更高性能、功能更强的网关提供了产业链的支撑。 为适应各种安全需要，以及产品定位的不同，各厂家的网关产品的硬件平台出现了多样发展的趋势，有基于通用CPU的X86架构、ASIC架构，以及目前比较热门的基于网络处理器（NPU）的架构，还有一些直接使用嵌入式芯片作为主处理器的架构，如基于Power PC、MIPS、ARM等嵌入式CPU架构的系统，以及采用各种技术进行组合的架构。不同的体系结构显露出了各自的优势与特色。 谁才是合格的“门卫”？ 既然从硬件平台上有这么多的选择与组合，那么，怎样才算是一个“好”的安全网关，或者说是为用户网络找到一个合格的“门卫”呢。 其实，归根结底还是要落到应用上面来，因为所有的安全措施乃至产品必然是为了促进应用而衍生出来的，如果不是网络应用的需求，网络安全也无从谈起。换句话说，“只有促进应用发展的安全才是真正‘好’的安全”。 针对不同的网络应用，安全网关产品在功能上出现了专业化和多功能集成化的两种发展方向，专业化的网关功能比较单一、专注；而多功能网关集成多种安全功能，成为多合一的产品。 其中，专业化的安全产品，如单独的防火墙、VPN、IPS、防垃圾邮件、防病毒网关等等，功能专注于某一方向，可以充分发挥系统的性能，因此维护管理也比较简单。 而多功能的集成化网关，可以根据需要将防火墙、VPN、IPS、防病毒、防垃圾邮件等安全功能组合在一起，在一个平台上完成多个安全控制功能，甚至还集成了路由、交换等传统的数据通讯产品要求的功能；同时，传统的数据通讯产品如路由器、交换机也越来越多的倾向于集成一些安全特性，比较大的通信厂家在自己的中低端的路由器和交换机中加入了丰富的安全功能。在中低端环境中，多功能集成化网关能提供更多的客户价值。 其实，集成多层各种网关处理功能并不是一个新概念，安全网关需要的是专业化还是集成，并没有固定的模式，需要根据安全的需要来选择，要综合平衡性能、稳定性以及性价比等多种因素。在高端，面对高速千兆甚至10G、40G网络环境，对性能和稳定性的要求比教高，就需要独立的高性能专业安全网关系统，或者需要有独立处理单元的硬件模块来提供相应的功能；而对于中端和低端环境，在性能可以满足的情况下，对多功能集成化网关的需求就比较强烈。 民族产业莫失良机 从安全网关硬件的发展我们可以看出，进一步地提高性能并集成更多的应用，还有待于硬件和算法的进一步发展，也就是说，还需要在系统和芯片技术上有进一步的突破，而这一点，恰恰是我们很多国内企业欠缺和需要努力的方向。 由于信息安全产业的特殊意义，国家一直对国内厂商在这一领域的突破寄予厚望。因此，不仅对于厂商来说，网关是安全市场上份量最重的一块蛋糕；而且对于我国的安全产业来说，网关也是发展的关键与机遇。我们看到，一些国内企业已经做出了相当瞩目的成绩，比如在安全领域耕耘多年的天融信公司，在安全网关产品线上日益丰富和完善，掌握了中国第一个完全自主设计的安全处理芯片等核心技术，针对不同的用户，有了清晰的网关产品技术系列，已经具备了全线竞争的能力。 不过，对于我国安全产业整体而言，单一厂商的个体突破还起不到决定的作用，我们期待着能有更多的厂家加入进来，发挥所长，只有这样，才能实现我国安全产业真正意义上的群体突破。 相关链接：安全网关硬件平台分类与特性 基于通用CPU的X86架构的安全网关，一般采用Intel或AMD公司的芯片，X86在架构系统时还需要北桥和南桥芯片，采用该种硬件架构，软硬件配套资源比较多，便于快速推出产品，企业投资少，同时功能基本都有软件实现，产品比较灵活，但基于X86技术平台受PCI总线带宽和CPU处理能力的限制，很难满足高速环境的要求，同时CPU和外围芯片组发热比较大，产品寿命和稳定性难以保证。 国际上少数公司采用基于ASIC架构的设计，该种架构产品性能高，稳定性好，规模生产后价格比较低，但开发基于ASIC产品要求的投资非常大，技术门槛高，没有一定实力的厂家很难开发这样的产品。 近年来基于NPU架构来设计产品逐步走红，Intel、AMCC、Broadaom、IBM、Agere等芯片厂商都推出了网络处理器芯片，采用NPU来架构安全网关，投资要比开发ASIC低很多，同时可以设计出比较高性能产品，但相对于ASIC架构，网络处理一般采用多个微引擎并行处理，而微引擎执行的是微码，微码具有可编程性，所以NPU架构要比ASIC架构灵活，但在稳定性上则不如ASIC架构稳定；同时NPU的产业标准尚需完善，产业供应链还需进一步成熟。 还有一些基于嵌入式CPU来直接构建网关的硬件平台，该类嵌入式CPU一般采用SOC的思想，体系结构简单，不再需要类似北桥、南桥这样的复杂的外围芯片组，一般可以直接连接内存、PCI总线，并直接提供各种低速I/O接口，采用该种架构，系统复杂度低，温度特性也比基于X86架构的好，产品容易稳定，同时软件还保持比较好的灵活性，但该种芯片仍然受限于总线带宽和处理能力限制，也很难满足高速的要求；在ASIC和NP架构的产品常采用嵌入式CPU作为管理和控制CPU使用。 除上述各种单一硬件平台，还有一种新形式的架构就是采用组合式架构，除常见的CPU与NPU结合、CPU与ASIC结合外，还可以根据需要将ASIC与NPU组合，甚至将CPU、NPU和ASIC结合在一起形成组合型架构，采用该种架构，可以根据产品需要选择不同技术进行组合，可以充分发挥各种技术的优点，扬长避短，从而获得高性能和高灵活，并且在各个方面处理能力都有比较好的效果；但该种架构设计难度很高，投资也比较大，软件开发难度高，可能需要操作系统和软件支持不同的指令集。(end)

文章内容仅供参考 (投稿) (如果您是本文作者，请点击此处) (7/13/2005)