安全网关技术知识
由 天下 分享
时间:
在信息安全市场上,业界正在硬件架构和软件流程上都不断有所新的突破来满足对性能和功能需求的双重提高,是追求全面的安全防护还是追求高性能的安全防护,在现有的硬件体系和软件架构的约束下,目标的差异衍生出对市场定位和技术发展方向的,而这种分歧带有某种哲学意味,我们知道这是一个彼此矛盾的选择,很难两者兼顾。
近日在一次座谈会上笔者就此问题请教了网络安全设备厂商WatchGuard的首席策略官Mark W. Stevens和亚洲区销售总监 梁伟业先生,和他们一起讨论了安全网关技术的未来发展架构,发展方向,以及防火墙产品的市场定位一些业界感兴趣的话题。仁者见仁,智者见智,本文将这次讨论整理出来写成这篇文章,希望对您能有所启发,也希望和您能继续深入探讨,如果您感兴趣请给我来信 braveheart_317414@yahoo.com.cn。
ALL-IN-ONE能否进入高端市场?
集成多层各种网关处理功能并不是一个新概念,集成的趋势在中低端市场上已经很明显了,许多面对中小企业的信息安全设备都将防火墙、IDS、防病毒、VPN、路由功能集成在一起称之为安全网关,集成的功能越多对硬件架构和软件流程的算法要求就越高,需要良好的架构设计和模块间的协调能力。Stevens强调说WG凭借他们自身的智能分层安全构架将这些功能集成在firebox中,这样就可以来为客户提供高品质低价格的服务。但是我们认识到WG的目标客户主要集中在中小客户这样的中低端市场,那么在高端市场上,在现阶段ALL-IN-ONE能满足高端客户的需要吗?
我们知道高端客户的网络环境有两个非常重要和基本的特点:网络流量非常大,网络应用复杂。对于一个安全网关来说,他的功能除了对数据包的转发外,还需要对数据包根据安全规则进行处理和判断,而来自应用层数据包进行安全方面的处理通常需要更多的处理流程,占用更多的CPU资源,那么ALL-IN-ONE能否进入高端市场的一个根本限制就在于硬件架构,简而言之就是芯片的处理速度能否跟的上。
从芯片集成的角度来说,根据Intel专家的意见目前在90 纳米芯片生产技术下将真正高性能CPU NPU4集成为一个芯片还几乎是不可能的。就连Intel 的专家也认为,即使在60 纳米芯片生产技术下这一水平的集成也不太可能。这就意味在芯片级的层次上安全处理和网络数据包的高度集成就受到了限制,实现CPU 与NPU 高速“无缝”互联的硬件平台总线技术是当前阻碍ALL-IN-ONE真正障碍,他是性能和功能之间捉襟见肘的根本问题所在,这个障碍不排除,高端市场上很难会有ALL-IN-ONE产品的生存空间,毕竟软件平台必须建立在硬件架构之上。
未来防火墙的硬件架构发展
既然硬件架构是安全网关产品性能的基础,那么未来防火墙的硬件架构会以ASIC为主流吗?
在这个问题上Stevens态度非常明确:他说WG现在没有采用ASIC架构,将来也不计划采用,虽然以ASIC为架构的防火墙性能很好,但是我们认为ASIC架构并不适合信息安全市场,除了ASIC架构产品的价格因素外,一个更重要的原因是信息安全市场的是一个变化非常快的市场,这要求安全防范技术跟的上黑客技术的变化,这才能加强企业的信息安全。所以一个符合信息安全市场需要的硬件平台应该是升级周期短,方便扩展的平台,拿这两个要求来衡量X86和ASIC这两种架构,X86显然更加有优势。
内容过滤是否会成为未来防火墙功能发展的一个主流?
梁伟业先生认为Web应用已经是一个潮流,而基于Web应用的安全威胁也成为传统防火墙的盲点,所以基于内容过滤的Web安全防护成为将来防火墙市场上的一个必不可少的功能模块,至于是做单独的产品还是作为一个模块进行集成,梁伟业先生说最初WG曾经考虑过作为单独的产品推出,但考虑到面对的目标用户的实际需求,最终决定还是选择后者,将他作为一个模块集成到现有的平台架构下。
当然他们也考虑过性能问题,有人曾提到一旦诸如反垃圾邮件功能打开的话,网关的处理性能将大幅降低,梁伟业先生坦率的说,这里面有一个权衡,你是要安全多一点还是要性能好一点,两者很难同时兼顾。
后记:不止是网络安全技术遇到的这种两难处境,在整个网络产业都处在这样一个重要的十字路口。一方面,我们可以开发各种独立的网络产品,每个都独具特色、享有专门的特性和功能。而另一方面,我们希望把更多的功能集成到一个统一的网络平台上,这个平台集易用性、集成性和功能统一性于一体,但是这种集成却受制于现有的体系架构。从产品制造商、服务提供商、到最终用户都在这个十字路口上进行仔细的权衡,对于一个用户来说,他权衡的根本是安全和性能他究竟注重哪一个,对于产品制造商和服务提供商权衡的依据是他们的什么是他们的核心用户,他们的核心客户究竟需要什么?
近日在一次座谈会上笔者就此问题请教了网络安全设备厂商WatchGuard的首席策略官Mark W. Stevens和亚洲区销售总监 梁伟业先生,和他们一起讨论了安全网关技术的未来发展架构,发展方向,以及防火墙产品的市场定位一些业界感兴趣的话题。仁者见仁,智者见智,本文将这次讨论整理出来写成这篇文章,希望对您能有所启发,也希望和您能继续深入探讨,如果您感兴趣请给我来信 braveheart_317414@yahoo.com.cn。
ALL-IN-ONE能否进入高端市场?
集成多层各种网关处理功能并不是一个新概念,集成的趋势在中低端市场上已经很明显了,许多面对中小企业的信息安全设备都将防火墙、IDS、防病毒、VPN、路由功能集成在一起称之为安全网关,集成的功能越多对硬件架构和软件流程的算法要求就越高,需要良好的架构设计和模块间的协调能力。Stevens强调说WG凭借他们自身的智能分层安全构架将这些功能集成在firebox中,这样就可以来为客户提供高品质低价格的服务。但是我们认识到WG的目标客户主要集中在中小客户这样的中低端市场,那么在高端市场上,在现阶段ALL-IN-ONE能满足高端客户的需要吗?
我们知道高端客户的网络环境有两个非常重要和基本的特点:网络流量非常大,网络应用复杂。对于一个安全网关来说,他的功能除了对数据包的转发外,还需要对数据包根据安全规则进行处理和判断,而来自应用层数据包进行安全方面的处理通常需要更多的处理流程,占用更多的CPU资源,那么ALL-IN-ONE能否进入高端市场的一个根本限制就在于硬件架构,简而言之就是芯片的处理速度能否跟的上。
从芯片集成的角度来说,根据Intel专家的意见目前在90 纳米芯片生产技术下将真正高性能CPU NPU4集成为一个芯片还几乎是不可能的。就连Intel 的专家也认为,即使在60 纳米芯片生产技术下这一水平的集成也不太可能。这就意味在芯片级的层次上安全处理和网络数据包的高度集成就受到了限制,实现CPU 与NPU 高速“无缝”互联的硬件平台总线技术是当前阻碍ALL-IN-ONE真正障碍,他是性能和功能之间捉襟见肘的根本问题所在,这个障碍不排除,高端市场上很难会有ALL-IN-ONE产品的生存空间,毕竟软件平台必须建立在硬件架构之上。
未来防火墙的硬件架构发展
既然硬件架构是安全网关产品性能的基础,那么未来防火墙的硬件架构会以ASIC为主流吗?
在这个问题上Stevens态度非常明确:他说WG现在没有采用ASIC架构,将来也不计划采用,虽然以ASIC为架构的防火墙性能很好,但是我们认为ASIC架构并不适合信息安全市场,除了ASIC架构产品的价格因素外,一个更重要的原因是信息安全市场的是一个变化非常快的市场,这要求安全防范技术跟的上黑客技术的变化,这才能加强企业的信息安全。所以一个符合信息安全市场需要的硬件平台应该是升级周期短,方便扩展的平台,拿这两个要求来衡量X86和ASIC这两种架构,X86显然更加有优势。
内容过滤是否会成为未来防火墙功能发展的一个主流?
梁伟业先生认为Web应用已经是一个潮流,而基于Web应用的安全威胁也成为传统防火墙的盲点,所以基于内容过滤的Web安全防护成为将来防火墙市场上的一个必不可少的功能模块,至于是做单独的产品还是作为一个模块进行集成,梁伟业先生说最初WG曾经考虑过作为单独的产品推出,但考虑到面对的目标用户的实际需求,最终决定还是选择后者,将他作为一个模块集成到现有的平台架构下。
当然他们也考虑过性能问题,有人曾提到一旦诸如反垃圾邮件功能打开的话,网关的处理性能将大幅降低,梁伟业先生坦率的说,这里面有一个权衡,你是要安全多一点还是要性能好一点,两者很难同时兼顾。
后记:不止是网络安全技术遇到的这种两难处境,在整个网络产业都处在这样一个重要的十字路口。一方面,我们可以开发各种独立的网络产品,每个都独具特色、享有专门的特性和功能。而另一方面,我们希望把更多的功能集成到一个统一的网络平台上,这个平台集易用性、集成性和功能统一性于一体,但是这种集成却受制于现有的体系架构。从产品制造商、服务提供商、到最终用户都在这个十字路口上进行仔细的权衡,对于一个用户来说,他权衡的根本是安全和性能他究竟注重哪一个,对于产品制造商和服务提供商权衡的依据是他们的什么是他们的核心用户,他们的核心客户究竟需要什么?
上一篇:初级网络安全常识
下一篇:Internet是怎样诞生的