近期学院精彩文章导读：

    [专题]cisco路由器配置路由协议篇      IGRP路由协议简介及配置命令
    CCNA认证考试重点及经典例题讲解        如何建立DHCP服务器
    经典好文 浅析路由协议的实现算法      如何配置静态路由及配置实例
    ADSL全接触 软硬件维护及常见故障      现场操作，一步步教你熔接光纤

   【IT168 资讯】网络安全方案应用最广泛的产品首当部署在网络边界上的安全网关。常见的安全网关有：防火墙、VPN、IDS/IPS、防垃圾邮件网关、防病毒网关等等。一些安全路由器、基于高层网络协议的交换机和信息隔离交换设备等也都在一定程度上扮演着安全网关的角色。

    安全网关的发展概述

    最初的安全网关是由附加在边界路由器上的简单访问控制列表（ACL) 构成。当时的ACL主要是在工作第三层也就是网络层上，可以根据源和目的地址来对通过的数据报进行控制；后来发展的扩展访问控制列表增加了对第四层协议进行控制，这样不仅仅是基于地址也可以根据端口来控制，但也无法对应用的连接状态进行控制；基于访问控制列表的路由器成为简单的包过滤控制网关，在一定程度上可以保护不同网段之间连接的安全性。

    随后出现了专业的的软件防火墙产品。这一代产品在网络包过滤防火墙的基础上，引入了在4层网络协议(传输层) 上通过状态检查增强安全性、提高吞吐率的状态检测防火墙技术，但在形态上还大多是软件形式出现。后来又出现CISCO、Netscreen等为代表的硬件形态的防火墙。

    安全网关产品作为网络边界或网络域间的安全控制设备，仍然是网络安全建设的首选。从功能上讲安全网关可以做到集中的访问控制，集中认证，集中的审计，泄密审查、应用检测、流量控制等等功能。在整个市场份额中，网关类产品也占据了最大的市场份额，其中防火墙/VPN产品就占据了近50％的市场份额，加上IPS、病毒墙以及其他各种专业的应用网关产品的份额，网关类约占整个安全市场60％以上的份额。

    在相当长一段时间里安全网关仍然是安全解决方案最主要的力量；并且许多安全产品正在向网关方向发展，如IDS产品，由于IDS漏报、误报及事后响应的缺点，所以直接放在网关位置的IPS产品目前逐渐成为市场的热点；防病毒产品也从最早的桌面版发展出集中管理模式的网络版、最新发展出直接串在网关处的防病毒网关。近几年来一些新的安全需求也造就了一些新的网关产品，如防垃圾邮件网关、Web应用安全网关、信息隔离交换网关等等。

    随着安全产业的发展，安全网关产品也出现了多种类型的产品。在功能上出现了专业化和多功能集成化的两种发展方向，专业化的网关功能比较单一、专注；而多功能网关集成多种安全功能，成为多合一的产品。

    专业化的安全产品，如单独的防火墙、VPN、IPS、防垃圾邮件、防病毒网关等等，这类产品功能专注于某一方向，功能精炼，并且单个功能可以做到充分发挥系统的性能，单个产品的维护管理也比较方便。

    另一种网关是多功能的集成化网关，从最早的防火墙和VPN的集成，发展出三合一、四合一等等多合一产品，多功能网关可以根据需要将防火墙、VPN、IPS、防病毒、防垃圾邮件等等安全功能根据需要组合在一起，能够在一个平台上完成多个安全控制功能，甚至还集成了路由、交换等传统的数据通讯产品要求的功能；同时传统的数据通讯产品如路由器合、交换机也越来越多的倾向于集成一些安全特性，比较大的通讯厂家在自己的中低端的路由器和交换机中加入了丰富的安全功能。在中低端环境中，多功能集成化网关能提供更多的客户价值。

     具体安全网关需要的是专业化还是集成，并没有固定的模式，需要根据安全的需要来选择，要综合平衡性能、性能、稳定性以及性价比等多种因素。在高端，面对高速千兆甚至10G、40G网络环境，对性能和稳定性的要求比教高，就需要独立的高性能专业安全网关系统，或者需要有独立处理单元的硬件模块来提供相应的功能；而对于中端和低端环境，在性能可以满足的实际的情况下，对多功能集成化网关的需求就比较强烈。

    从产品形态上安全网关也有软件网关和硬件网关之分，最初的网关多以软件为主，而当前硬件形态的网关是最常见的。

    安全网关的发展趋势

    目前安全建设更加注重实效性和可持续性，不仅要求安全产品能满足客户目前的需要，而且还能够在安全问题迅速变化的未来，及时适应新的需求；面对新的安全发展形势，从国际安全技术发展趋势看，安全网关的未来发展有如下几个特点：

    1） 国际厂家一般都有专用的操作系统。

    为了持续的发展产品，并充分发挥公司长期的知识积累，国际上大的安全厂商一般都有专业的操作系统，如CISCO拥有IOS；Juniper （Netscreen）防火墙系列产品使用操作系统ScreenOS，Nokia公司的IP系列产品使用自己的IPSO。设计使用专用的操作系统，目的是能为客户提供更专业更安全的系统，并能逐步发展一些核心的技术，从而拥有知识产权上的优势，自己专用的系统可以方便未来为适应新的需求进行定制化的需要。

    2） 硬件化和芯片化成为趋势。

    从主机的形态上，软件形态的网关也逐步被硬件形态的产品代替，传统一些提供软件网关产品的公司，自己也在向硬件化的方向发展，如传统的Checkpoint公司通过和Nokia的合作来提供软硬一体的产品防火墙产品，

    新兴防垃圾邮件和防病毒的网关也大都以硬件的方式出现。从数据转发处理上，传统基于CPU的软件方式的处理方式也在向由芯片处理或网络处理器进行处理的方向发展，从而获得更高的性能。而安全处理中对于系统资源消耗比较大的计算也都出现了一些相应加速芯片，如加解密处理，从低端到高端都可以采用加速芯片，也有些一些CPU、NPU或ASIC芯片中就直接集成了加解密处理模块；对于应用层处理常需要的内容搜索，也出现了一些高速的内容搜索芯片；针对新的应用协议需要，如解压缩、语音、视频的处理，一些厂家也逐步在产品集成相应的专用加速引擎来获得高的性能。

    同时安全产业的高速发展，也吸引了一些大的芯片厂商的关注，一些芯片厂家纷纷推出各种档次的安全加速芯片，甚至在新推出数据处理芯片中直接集成多种加速功能，加速芯片的发展也为设计更高性能，功能更强的网关提供了产业链的支撑。

    3） 硬件平台多样化。

    为适应各种安全需要，以及产品定位的不同，各厂家的网关产品的硬件平台出现了多样发展的趋势，有基于通用CPU的X86架构的、ASIC架构的，以及目前比较热门的基于网络处理器（NPU）架构，还有一些直接使用嵌入式芯片作为主处理器的架构，如基于Power PC、MIPS、ARM等嵌入式CPU架构的。以及采用各种技术进行组合的架构。不同的体系结构各有各的特色。

    基于通用CPU的X86架构一般采用INTEL或AMD公司的芯片，X86在架构系统时还需要北桥和南桥芯片组，采用该种硬件架构，软硬件配套资源比较多，便于快速推出产品，企业投资少，同时功能基本都由软件实现，产品比较灵活，但基于X86技术平台受PCI总线带宽和CPU处理能力的限制，很难满足高速环境的要求，同时CPU和外围芯片组发热比较大，产品寿命和稳定性难以保证。

    国际上少数公司采用基于ASIC架构的设计，成为安全网关中的亮点，该种架构产品性能高，稳定性好，规模生产后价格比较低，但开发基于ASIC的产品要求的投资非常大，技术门槛高，没有一定实力的厂家很难开发这样的产品。

    这几年来基于NPU架构来设计安全产品也成为热门话题，Intel、AMCC、Broadaom、IBM、Agere等芯片厂商都推出了网络处理器芯片，采用NPU来架构安全网关，投资要比开发ASIC低很多，同时可以设计出比较高性能产品，但相对与ASIC架构,网络处理一般采用多个微引擎或多核并行处理，微引擎执行的是微码，微码具有可编程性，所以NPU架构要比ASIC架构灵活，但在稳定性上则不如主要功能由芯片来实现的ASIC稳定；同时NPU的产业标准尚需完善，产业供应链还需进一步成熟。

    还有一些基于嵌入式CPU来直接构建网关的硬件平台，该类嵌入式CPU一般采用SOC的思想，体系结构精简，不再需要类似北桥、南桥这样的复杂的外围芯片组，一般可以直接连接内存、PCI总线、并直接提供各种低速I/O接口，采用该种架构，系统复杂度低，温度特性也比基于X86架构的好，产品容易稳定，同时软件还保持比较好的灵活性，但该种芯片仍然受限于总线带宽和处理能力限制，也很难满足高速的要求。在ASIC和NP架构的产品中常采用嵌入式CPU作为管理和控制CPU使用。

    还有一种新形式的架构就是采用组合式架构，除常见的CPU与NPU结合、CPU与ASIC结合外，还可以根据需要将ASIC与NPU组合，甚至将CPU、NPU和ASIC结合在一起形成组合型架构，采用此种架构，可以根据产品需要选择不同技术进行组合，可以充分发挥各种技术的优点，扬长避短，从而获得高性能和高灵活，并且在安全的各个方面处理方面可以做的都比较强；但该种架构设计难度很高，投资也比较大，软件开发难度高，可能需要操作系统和软件支持不同的指令集。

    天融信安全网关的核心技术

    天融信公司经过多年的持续投入，为客户提供的丰富安全产品，各种安全网关产品无论在性能、功能、安全性、稳定性方面处于行业领先水平，并且着眼未来的产品设计理念充分考虑了未来安全的需要。天融信能提供丰富而又有持续发展能力的产品线，依赖于公司多年的积累和沉淀而形成的科学、清晰的网关产品核心技术体系：

    1）高端采用ASIC+NPU架构平台。该平台为中国知名款该最优组合架构的安全平台。

    2）中端采用ASIC 架构平台。基于中国知名个完全自主设计的安全处理芯片来构建。

    3）低端采用高性价比的嵌入式平台。集成丰富应用处理如路由、交换、无线和语音处理。

    4）各平台全面采用TopsecOS系统。各网关平台将全面采用自主研发的专用安全操作系统TopsecOS。

    高端采用的ASIC+NPU的组合架构可以充分利用ASIC和NPU的优点，发挥各自的特长，产品设计时充分考虑高稳定，高性能、高可用、高扩展的要求，把硬件和TopsecOS透明模块封装技术进行密切结合，针对产品的每个功能具体由软方式还是硬方式实现进行合理的分配，综合考虑ASIC和NPU的实际能力和产品需求进行最优设计。

    需要高速处理并且处理模式比较固定部分可以交给ASIC完成；需要灵活性计算的部分可以交给NPU处理，从而系统可以获得非常高的性能优势的同时，也保持高度的灵活性。整个系统在性能上明显高出其他架构的产品，不管是64字节的小包还是1518字节的大包，都可以实现千兆的全线速处理。

    系统采用具有天融信自主知识产权的ASIC安全引擎对网络流量进行深层次分类和标识，数据处理采用IP流分类技术、多个数据包并行处理技术、实现了多引擎并发线速过滤，网络处理器内嵌多个微引擎、每个微引擎含8个硬件线程，实现线程级的并行，设计64个专用的数据包处理线程，保证同时能并行处理64个frame，充分发挥高性能优势，保证了电信级流量的处理要求。

    系统使用了微引擎高可用负载平衡技术，每个微引擎的任务表现为执行相应的微代码，系统的健壮中心时时跟踪每个微引擎的状态，当有微引擎拥塞或异常发生时，可以在微引擎之间调度任务，从而保证系统非常高的可用性。

    中端网关采用完全国产设计的ASIC架构平台，该芯片是中国知名款自主设计的安全处理芯片，构建ASIC架构产品要求投资大，技术门槛高，没有一定的实力公司很难开展，国内的厂家都在回避采用ASIC技术开发产品，天融信经过几年的高速发展，获得丰富的技术积累和强大的整体实力，在投入上千万元，历时两年多攻关的情况下，终于成功开发了该平台，成为继96发布中国知名台防火墙之后，国内安全产品的又一重要里程碑，为我国信息安全产业链的长期发展奠定了坚实的基础；

    核心处理芯片采用了国际最新一代的ASIC设计技术，使ASIC更智能，功能更丰富；国产自主的设计保证了核心技术自主可控；核心的安全芯片不再使用国外厂商，第一次能够在芯片一级控制的潜在风险，为我国的信息安全建设提供了更强的安全保障。同时该系统拥有高性能、高稳定的特点，硬件实现各种高速的安全处理，整个平台实现2G以上的处理能力，完全能满足各种中端安全网关对于性能的要求。并且系统在性能上设计了足够预留，可以达到所有端口以及任何包长下都能同时全线速的转发数据，而且在百兆系统上支持千兆接口的扩展能力，充分考虑未来网络升级和功能增加的需要。

    低端网关采用嵌入式硬件平台，该平台具有良好的性价比，集成丰富的路由、交换、无线接入、语音等功能；成为低维护，即插即用的多功能安全网关。

    2005年起天融信全线安全网关产品将逐步采用专用的安全操作系统TopsecOS (简称TOS），TOS是天融信集10年安全产品专业开发经验自主研发而成，该操作系统参照国际水准，由天融信独立研发完成，采用了多项突破性技术，具有高效，高安全性，高健壮性、扩展性、 可移植性、模块化、标准化等特征；

    设计时引入了全模块化设计，贯彻中间层理念，使操作系统具有平台无关性，在硬件和OS内核层之间的硬件抽象层使TOS能适应各种硬件体系平台，充分利用各种硬件平台的优势。TOS系统内部又分为OS内核层、基础层、服务层，TOS之上为安全引擎层。稳定、可靠、安全的OS内核层支撑了多项基础层和服务层模块，提供了丰富的支撑功能，能方便的构建功能强大的设备系统，在服务层之上可以通过插入各种安全引擎（SE）来提供各种安全应用功能，TOS为防火墙及多种安全产品提供了统一的、安全的基础平台。TOS详细的结构见下图

    TOS采用了多项突破性技术。独创的模块透明封装技术使系统具有很强的扩展性，TOS对系统中功能模块进行透明封装，一个模块的具体实现方式对邻居透明，模块的具体实现方式不影响其他相关模块，所以可以根据不同平台的特性来决定一些模块具体的软硬件实现方式；比如NAT表的查找，可以完全由软件来实现，也可以由芯片来处理；

     透明的模块封装方式和硬件抽象层的引入保证了TOS在多个平台都能充分发挥硬件的处理能力，并且在未来能方便的支持新的平台。TOS设计了独具特色的健壮中心模块，能时时跟踪各模块的状况，意外发生时，健壮中心能及时做出反应；并能起到黑匣子功能，记录系统的健康运行记录，便于分析系统的运行状况。TOS采用统一化和标准化的方式来开发，为各种产品提供了统一的认证接口，统一的管理接口，统一的日志接口，并且开放的接口适合快速增加新的SE，方便快速增加新的安全应用。

    相对于国内安全产品普遍采用的通用操作系统，专用的安全操作系统具有更高的安全性，TOS系统的安全模型由于采用了形式化（Formal）的设计方法，使得系统的安全性具有高可靠、高可控，可推导、可验证等特点；

    并且相对于通用操作系统，TOS在设计时对每一层次进行充分的优化，充分发挥系统的处理能力，在同样的硬件平台上，要比通用操作系统的性能高出30％以上，由于引入了硬件抽象层设计，使得TOS能在未来可以及时利用新的硬件技术发展的成果，能更快更灵活的推出新的产品。

    在快速变化和发展的信息安全领域，如何保持一个产品的有更长的生命周期，能为客户带来长期的价值，帮助客户减少投资具有非常积极的意义，由于TOS整个系统完全有天融信自主研发，使得公司掌握了从操作系统内核到各个支撑层的核心技术，所以在未来面对新需求和新的挑战时能快速从容的应对，及时满足客户新的需求；

    TOS分层化，模块化的设计使开发者能对某个层或者某个模块单独的持续的优化，减少了如此庞大系统的后续开发的复杂性，使采用该系统的安全产品具有了良好的可持续发展性，能够更快的推出新的、更优异功能和性能特性的下一代产品。 由于完全自主设计，天融信拥有自己的知识产权，避免了通用系统可能面临的知识产权的法律问题，这对于要最终国际化、进军国际市场的企业来说尤为重要。

    天融信安全网关的产品体系

    天融信信公司作为国内最大的专业信息安全公司，经历十年的技术和市场的考验，获得用户的认可，企业得以快速的发展。从天融信研发出中国知名台防火墙起到现在，在安全网关产品线上日益丰富和完善，2005年天融信向客户提供专用的系列网关产品和集成化网关。在专用安全网关产品上，提供如下系列：
    1）防火墙系列：高、中、低端全系列的防火墙产品，能满足各种网络环境的需要。

    2）加密产品系列：各种档次的VPN系列网关，VPN客户端、VPN管理中心；以及SSL VPN系列网关产品。

    3）入侵检测系列：采用最新技术的IDS多款产品。

    4）审计系列：针对安全事件的综合审计系统，以及针对内容的信息审计系统

    5）应用安全过滤系列：系列过滤网关用于网关病毒和防垃圾邮件。

除上述专用安全网关外，还提供集成化的多功能网关，可根据用户需要集成防火墙、IPSEC VPN、SSL VPN、IPS、防病毒等各种安全功能。

    天融信安全网关支持可信网络架构TNA

    简单的安全产品堆砌并不能完全解决安全问题，如何将各产品组合成有机的方案？给客户建造安全、可靠的系统，天融信提出了可信网络架构（TNA），TNA是一套完整的方案体系，是解决安全问题有效的方法论。

    TNA包括可信管理平台（TSM）、桌面安全代理（PTA）,以及网关可行代理（GTA）等组成，天融信系列安全网关产品中将部署GTA模块，与强大的安全管理平台，和安全与管理并重的桌面安全系统一起，构成有机的整体，建造行为可控、可预知的可信网络。