网络威胁催生安全网关

安全网关走“硬”道路
目前，安全网关的硬件化和芯片化已经成为公认的趋势，软件形式的网关将逐步被硬件形式的产品代替，新兴防垃圾邮件和防病毒的网关也大都以硬件的形式出现。在数据转发处理上，传统基于CPU的软件处理方式，也在向由专用芯片或网络处理器处理的方向发展，从而获得更高的性能。而安全处理中对于系统资源消耗比较大的计算，也都出现了一些相应加速芯片，如加解密处理，从低端到高端都可以采用加速芯片；也有一些CPU、NPU或ASIC芯片中就直接集成了加解密处理模块；而对于应用层处理常需要的内容搜索，也出现了一些高速的内容搜索芯片；针对新的应用协议需要，如解压缩、语音、视频的处理，一些厂家也逐步在产品中集成相应的专用加速引擎来获得较高性能。安全产业的高速发展，吸引了一些大的芯片厂商的关注，一些芯片厂家纷纷推出各种档次的安全加速芯片，甚至在新推出数据处理芯片中直接集成多种加速功能，加速芯片的发展也为设计性能更高、功能更强的网关提供了产业链的支撑。

为适应各种安全需要，以及产品定位的不同，各厂家的网关产品的硬件平台出现了多样发展的趋势，有基于通用CPU的X86架构、ASIC架构，以及目前比较热门的基于网络处理器（NPU）的架构，还有一些直接使用嵌入式芯片作为主处理器的架构，如基于Power PC、MIPS、ARM等嵌入式CPU架构的系统，以及采用各种技术进行组合的架构，不同的体系结构显露出了各自的优势与特色。

基于通用CPU的X86架构的安全网关一般采用Intel或AMD芯片，X86在架构系统时还需要北桥和南桥芯片，采用该种硬件架构，软硬件配套资源比较多，便于快速推出产品，企业投资少，同时功能基本都由软件实现，产品比较灵活。但基于X86技术平台受PCI总线带宽和CPU处理能力的限制，很难满足高速环境的需求，同时CPU和外围芯片组发热比较大，产品寿命和稳定性难以保障。而一些公司采用基于ASIC架构的设计，该种架构产品性能高，稳定性好，规模生产后价格比较低，但开发基于ASIC产品要求的投资非常大，技术门槛高，没有一定实力的厂家很难开发这样的产品。

近年来基于NPU架构来设计产品逐步走红，英特尔、AMCC、Broadaom、IBM、Agere等芯片厂商都推出了网络处理器芯片，采用NPU来架构安全网关，投资要比开发ASIC低很多，同时可以设计出高性能产品。但相对于ASIC架构，网络处理一般采用多个微引擎并行处理，而微引擎执行的是微码，微码具有可编程性，所以NPU架构要比ASIC架构灵活，但在稳定性上则不如ASIC架构稳定；同时，NPU的产业标准尚需完善，产业供应链还需进一步成熟。

还有一些基于嵌入式CPU来直接构建网关的硬件平台，该类嵌入式CPU一般采用SOC的设计理念，体系结构简单，不再需要类似北桥、南桥这样的复杂的外围芯片组，可直接连接内存、PCI总线，并直接提供各种低速I/O接口。采用该种架构，系统复杂度低，工作稳定，同时软件还保持比较好的灵活性。但该种芯片仍然受限于总线带宽和处理能力限制，也很难满足高速的要求。

除上述各种单一硬件平台，还有一种新形式的架构就是采用组合式架构，除常见的CPU与NPU结合、CPU与ASIC结合外，还可以根据需要将ASIC与NPU组合，甚至将CPU、NPU和ASIC结合在一起形成组合型架构。采用该种架构，可以根据产品需要选择不同技术进行组合，可以充分发挥各种技术的优点，扬长避短，从而获得高性能和高灵活性，在各个方面都有比较好的效果；但该种架构设计难度很高，投资也比较大，软件开发难度高，可能需要操作系统和软件支持不同的指令集。

网关选择多样化
针对不同的网络应用，安全网关产品在功能上出现了专业化和多功能集成化这两种发展方向，专业化的网关功能比较单一；而多功能网关集成多种安全功能，成为多合一的产品。其中，专业化的安全产品，如单独的防火墙、VPN、IPS、防垃圾邮件、防病毒网关等等，功能专注于某一方向，可以充分发挥系统的性能，因此维护管理也比较简单。

而多功能的集成化网关可以根据需要将防火墙、VPN、IPS、防病毒、防垃圾邮件等安全功能组合在一起，在一个平台上完成多个安全控制功能，甚至还集成了路由、交换等传统的数据通讯产品要求的功能；同时，传统的数据通讯产品如路由器、交换机也越来越多地倾向于集成一些安全特性，有实力的通信厂家在自己的中低端路由器和交换机中加入了丰富的安全功能。在中低端环境中，多功能集成化网关能提供更多的客户价值。

其实，集成多层各种网关处理功能并不是一个新概念，安全网关需要的是专业化还是集成，并没有固定的模式，需要根据安全的需要来选择，要综合平衡性能、稳定性以及性价比等多种因素。在高端，面对高速千兆甚至10G、40G网络环境，对性能和稳定性的要求比较高，就需要独立的高性能专业安全网关系统，或者需要有独立处理单元的硬件模块来提供相应的功能；而对于中端和低端环境，在性能可以满足的情况下，对多功能集成化网关的需求就比较强烈。

把握安全网关市场良机
从安全网关硬件的发展趋势中我们可以看出，进一步地提高性能并集成更多的应用，还有待于硬件和算法的进一步发展。也就是说，还需要在系统和芯片技术上有进一步的突破，而这一点，恰恰是我们很多国内企业所欠缺和需要努力的方向。

由于信息安全产业的特殊意义，国家一直对国内厂商在这一领域的突破寄予厚望。因此，对于我国的安全产业来说，网关是发展的关键与机遇。不过，对于我国安全产业整体而言，单一厂商的个体突破还起不到决定的作用，我们期待着能有更多的厂家加入进来，发挥所长，只有这样，才能实现我国安全产业真正意义上的群体突破。

防火墙迈向安全应用网关
在过去四年里，防火墙技术进展不大，在抵挡数目繁多、手法诡秘的新型攻击时显得力不从心。许多用户将“包过滤”或“状态监测”防火墙作为防线，许多攻击利用了这类防火墙的缺陷。98%的网络通信是由HTTP、FTP、SMTP和DNS构成，这些协议都有可能被黑客用来发动攻击，使防火墙麻痹大意。如果防火墙的性能不够，由防火墙保护的网络还容易遭受DoS和DDoS攻击。有专家认为在防线上添加入侵防御措施能够解决这一问题，用户可以采取两个方式来实现：一是在现有防火墙的基础上添加一个入侵防御系统，二是将现有防火墙替换成安全网关，安全网关集成入侵防御技术。

很多人赞成将入侵防御系统集成到防火墙中，主要是因为能够进行更好的DOS/DDoS保护，简化管理，降低配置错误，并且快速响应。如果使防火墙与入侵防御系统相互独立，防火墙位于入侵防御之外，那么DoS攻击就可能在抵达IPS系统之前使防火墙超载。

此外，独立的管理控制台加大了管理和配置的复杂性，并有可能导致安全漏洞。

代理技术是防火墙在网络中保护脆弱点的一种有效方式，“包过滤”和“状态包过滤”对数据进行检查的深度都无法与代理技术相媲美。在防火墙技术发展初期，出于性能考虑，人们较多采用了包过滤和状态监测，而很少采用代理技术，目前已趋于成熟的ASIC和NP技术已经使得代理技术不会对防火墙性能造成影响，速度问题已经不再是影响人们选择防火墙技术的因素了。相反，随着安全威胁的日益复杂和深层化，深层次的应用层代理检测技术对防火墙正变得越来越重要。

防火墙未来的发展方向是安全应用网关，尽管防火墙并不是企业网络安全防线的终点，但是如果将防火墙与其他措施配合使用，并建立一个层次化的安全机制，那么防火墙仍然是一个基础的防御工具。