对于用户来说,网关就是守护企业信息安全的门卫。由于现在的安全网关基本以硬件的形式出现,因此,芯片设计和硬件平台的选择,成为不可忽视的一环。
多样的选择
安全网关的硬件化和芯片化已经成为公认的趋势。从主机的形态上看,软件形态的网关也逐步被硬件形态的产品代替,新兴防垃圾邮件和防病毒的网关也大都以硬件的方式出现。从数据转发处理上,传统基于CPU的软件处理方式,也在向由专用芯片或网络处理器处理的方向发展,从而获得更高的性能。而安全处理中对于系统资源消耗比较大的计算,也都出现了一些相应加速芯片,如加解密处理,从低端到高端都可以采用加速芯片,也有一些CPU、NPU或ASIC芯片中就直接集成了加解密处理模块;对于应用层处理常需要的内容搜索,也出现了一些高速的内容搜索芯片;针对新的应用协议需要,如解压缩、语音、视频的处理,一些厂家也逐步在产品集成相应的专用加速引擎来获得高的性能。安全产业的高速发展,也吸引了一些大的芯片厂商的关注,一些芯片厂家纷纷推出各种档次的安全加速芯片,甚至在新推出数据处理芯片中直接集成多种加速功能,加速芯片的发展也为设计更高性能、功能更强的网关提供了产业链的支撑。
为适应各种安全需要,以及产品定位的不同,各厂家的网关产品的硬件平台出现了多样发展的趋势,有基于通用CPU的X86架构、ASIC架构,以及目前比较热门的基于网络处理器(NPU)的架构,还有一些直接使用嵌入式芯片作为主处理器的架构,如基于Power PC、MIPS、ARM等嵌入式CPU架构的系统,以及采用各种技术进行组合的架构。不同的体系结构显露出了各自的优势与特色。
谁才是合格的“门卫”?
既然从硬件平台上有这么多的选择与组合,那么,怎样才算是一个“好”的安全网关,或者说是为用户网络找到一个合格的“门卫”呢。
其实,归根结底还是要落到应用上面来,因为所有的安全措施乃至产品必然是为了促进应用而衍生出来的,如果不是网络应用的需求,网络安全也无从谈起。换句话说,“只有促进应用发展的安全才是真正‘好’的安全”。
针对不同的网络应用,安全网关产品在功能上出现了专业化和多功能集成化的两种发展方向,专业化的网关功能比较单一、专注;而多功能网关集成多种安全功能,成为多合一的产品。
其中,专业化的安全产品,如单独的防火墙、VPN、IPS、防垃圾邮件、防病毒网关等等,功能专注于某一方向,可以充分发挥系统的性能,因此维护管理也比较简单。
而多功能的集成化网关,可以根据需要将防火墙、VPN、IPS、防病毒、防垃圾邮件等安全功能组合在一起,在一个平台上完成多个安全控制功能,甚至还集成了路由、交换等传统的数据通讯产品要求的功能;同时,传统的数据通讯产品如路由器、交换机也越来越多的倾向于集成一些安全特性,比较大的通信厂家在自己的中低端的路由器和交换机中加入了丰富的安全功能。在中低端环境中,多功能集成化网关能提供更多的客户价值。
其实,集成多层各种网关处理功能并不是一个新概念,安全网关需要的是专业化还是集成,并没有固定的模式,需要根据安全的需要来选择,要综合平衡性能、稳定性以及性价比等多种因素。在高端,面对高速千兆甚至10G、40G网络环境,对性能和稳定性的要求比教高,就需要独立的高性能专业安全网关系统,或者需要有独立处理单元的硬件模块来提供相应的功能;而对于中端和低端环境,在性能可以满足的情况下,对多功能集成化网关的需求就比较强烈。
