安全网关的发展趋势
目前安全建设更加注重实效性和可持续性,不仅要求安全产品能满足客户目前的需要,而且还能够在安全问题迅速变化的未来,及时适应新的需求;面对新的安全发展形势,从国际安全技术发展趋势看,安全网关的未来发展有如下几个特点:
1) 国际厂家一般都有专用的操作系统。
为了持续的发展产品,并充分发挥公司长期的知识积累,国际上大的安全厂商一般都有专业的操作系统,如CISCO拥有IOS;Juniper (Netscreen)防火墙系列产品使用操作系统ScreenOS,Nokia公司的IP系列产品使用自己的IPSO。设计使用专用的操作系统,目的是能为客户提供更专业更安全的系统,并能逐步发展一些核心的技术,从而拥有知识产权上的优势,自己专用的系统可以方便未来为适应新的需求进行定制化的需要。
2) 硬件化和芯片化成为趋势。
从主机的形态上,软件形态的网关也逐步被硬件形态的产品代替,传统一些提供软件网关产品的公司,自己也在向硬件化的方向发展,如传统的Checkpoint公司通过和Nokia的合作来提供软硬一体的产品防火墙产品,
新兴防垃圾邮件和防病毒的网关也大都以硬件的方式出现。从数据转发处理上,传统基于CPU的软件方式的处理方式也在向由芯片处理或网络处理器进行处理的方向发展,从而获得更高的性能。而安全处理中对于系统资源消耗比较大的计算也都出现了一些相应加速芯片,如加解密处理,从低端到高端都可以采用加速芯片,也有些一些CPU、NPU或ASIC芯片中就直接集成了加解密处理模块;对于应用层处理常需要的内容搜索,也出现了一些高速的内容搜索芯片;针对新的应用协议需要,如解压缩、语音、视频的处理,一些厂家也逐步在产品集成相应的专用加速引擎来获得高的性能。
同时安全产业的高速发展,也吸引了一些大的芯片厂商的关注,一些芯片厂家纷纷推出各种档次的安全加速芯片,甚至在新推出数据处理芯片中直接集成多种加速功能,加速芯片的发展也为设计更高性能,功能更强的网关提供了产业链的支撑。
3) 硬件平台多样化。
为适应各种安全需要,以及产品定位的不同,各厂家的网关产品的硬件平台出现了多样发展的趋势,有基于通用CPU的X86架构的、ASIC架构的,以及目前比较热门的基于网络处理器(NPU)架构,还有一些直接使用嵌入式芯片作为主处理器的架构,如基于Power PC、MIPS、ARM等嵌入式CPU架构的。以及采用各种技术进行组合的架构。不同的体系结构各有各的特色。
基于通用CPU的X86架构一般采用INTEL或AMD公司的芯片,X86在架构系统时还需要北桥和南桥芯片组,采用该种硬件架构,软硬件配套资源比较多,便于快速推出产品,企业投资少,同时功能基本都由软件实现,产品比较灵活,但基于X86技术平台受PCI总线带宽和CPU处理能力的限制,很难满足高速环境的要求,同时CPU和外围芯片组发热比较大,产品寿命和稳定性难以保证。
国际上少数公司采用基于ASIC架构的设计,成为安全网关中的亮点,该种架构产品性能高,稳定性好,规模生产后价格比较低,但开发基于ASIC的产品要求的投资非常大,技术门槛高,没有一定实力的厂家很难开发这样的产品。
这几年来基于NPU架构来设计安全产品也成为热门话题,Intel、AMCC、Broadaom、IBM、Agere等芯片厂商都推出了网络处理器芯片,采用NPU来架构安全网关,投资要比开发ASIC低很多,同时可以设计出比较高性能产品,但相对与ASIC架构,网络处理一般采用多个微引擎或多核并行处理,微引擎执行的是微码,微码具有可编程性,所以NPU架构要比ASIC架构灵活,但在稳定性上则不如主要功能由芯片来实现的ASIC稳定;同时NPU的产业标准尚需完善,产业供应链还需进一步成熟。
还有一些基于嵌入式CPU来直接构建网关的硬件平台,该类嵌入式CPU一般采用SOC的思想,体系结构精简,不再需要类似北桥、南桥这样的复杂的外围芯片组,一般可以直接连接内存、PCI总线、并直接提供各种低速I/O接口,采用该种架构,系统复杂度低,温度特性也比基于X86架构的好,产品容易稳定,同时软件还保持比较好的灵活性,但该种芯片仍然受限于总线带宽和处理能力限制,也很难满足高速的要求。在ASIC和NP架构的产品中常采用嵌入式CPU作为管理和控制CPU使用。
还有一种新形式的架构就是采用组合式架构,除常见的CPU与NPU结合、CPU与ASIC结合外,还可以根据需要将ASIC与NPU组合,甚至将CPU、NPU和ASIC结合在一起形成组合型架构,采用此种架构,可以根据产品需要选择不同技术进行组合,可以充分发挥各种技术的优点,扬长避短,从而获得高性能和高灵活,并且在安全的各个方面处理方面可以做的都比较强;但该种架构设计难度很高,投资也比较大,软件开发难度高,可能需要操作系统和软件支持不同的指令集。
