扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
2006年9月28日
关键字:
在本页阅读全文(共5页)
功能集成还是性能突破
针对日益增长的性能和功能需求,产业界在硬件和软件上不断有所突破,但对市场和技术发展的方向也有很多争论。前一段国内业界就有“胖”、“瘦”防火墙之争,为下一代防火墙到底是应该更突出功能集成还是更强调性能突破而争论不休。其实,性能和功能从来就是矛盾的两个方面,例如,应用代理防火墙尽管安全性很好,但10多年前因为当时CPU处理能力不够而几乎被舍弃,存活下来的产品屈指可数。到了今天,CPU处理能力早已今非夕比,应用代理防火墙技术浴火重生,越来越多地被具有防病毒等功能的安全网关所采用。又如,仅用CPU作为支撑的硬件平台,无论是以服务器上安装软件还是专用硬件系统的产品形态出现,都不能满足多功能集成的性能要求。到了今天,CPU处理能力和多处理器结构已经完全可以承担百兆级多功能线速的负荷。这既是第一代安全网关以分立式面目出现的根本原因,也是目前低端防火墙摆脱ASIC,回归CPU架构的内在驱动力。
不能试图用一种软硬件体系结构解决所有的问题,安全网关的产品形态也一定是随着软硬件计算技术的发展而变化的。近期最有可能出现的局面是“矮胖子”和“高瘦子”共存。所谓矮胖子,多数是基于CPU加Linux的计算平台,服务于百兆为主的低端市场。因为目前CPU的处理能力已经大大超过网包处理的需求,完全可以利用其空闲时间进行更多应用代理、内容过滤等网络和数据处理。这种在线速条件下实现多层、各种网关处理功能的产品正是第三代安全网关。而高瘦子则指万兆或近万兆带宽的高端产品,它们主要还会是综合应用CPU、NPU、ASIC以及各种加密和协议分析芯片,构成高速可靠的安全计算平台。换句话说,基本上还是第二代安全网关向更高带宽的延伸。
千兆带宽逐渐普及
千兆或近千兆带宽产品正在从过去的高端逐步过渡为现在的中端,千兆层次上的第三代安全网关产品所面对的性能和功能要求,用现有的安全网关产品体系结构已经难以满足,但也是最有可能推陈出新的。NPU的日臻成熟解决了千兆以至多千兆线速的网包处理能力,完全可以满足防火墙、VPN和NIDS的网络处理要求。
总之,集成多层各种网关处理功能并不是一个新概念,但是只有当硬件或算法发展到相应阶段才能够真正实现。集成的趋势在低端上已经很明显了,但在中端乃至高端上还有待于系统和芯片技术的突破。CPU的不断提速和多CPU体系的普及提供了内容过滤、防病毒和防垃圾等应用所需的数据处理能力。然而,尽管Intel计划针对中端和多口低端市场推出结合多种处理功能于一体的芯片,但目前在90纳米芯片生产技术下将真正高性能CPU与NPU集成为一个芯片几乎是不可能的。就连Intel的专家也认为,即使在60纳米芯片生产技术下,实现如此密度的集成也不太可能。因此,真正的挑战在于实现CPU与NPU高速“无缝”互联的硬件平台,而其核心则是CPU与NPU相通的总线。
发展边界网关有效防毒
TrendMicro最近的调查显示,60%的商业用户相信边界网关是病毒防范的最有效位置。国内安全网关厂商应尽快加强与国内外防病毒、防垃圾、XML过滤等应用层安全厂家的合作,在应用集成方面有所作为。其次,国内市场对千兆产品的需求增长相对较快。同样,因为国内复杂ASIC的研发能力较弱,而基于NPU而不是ASIC的千兆安全网关产品较早,使得国内很多厂家都选择了基于NPU开发千兆产品的技术路线,形成了一定的群体优势,造成了著名国际NPU厂商对中国NPU市场的高度重视和大量投入。这使得国内网络设备厂家有可能在整体上形成基于NPU的系统研发优势,率先形成基于通用NPU的软硬件平台,在特定意义上领导国际上开放网络设备平台的潮流。NPU作为适用于网络处理的可编程通用芯片,相对于ASIC具有研发周期短、成本低,且软件共享性和系统扩展性好等突出优点。
回顾安全网关的发展历程,分析安全网关所面临的挑战,我们可以看到中国安全网关产品研发所面临的重大机遇。首先,国内市场目前需求量最大的是百兆和百兆以下的低端产品。因为国内安全网关产品研发起步相对较晚,ASIC研发能力又相对较弱,所以多数产品都是基于PC硬件平台和Linux软件平台开发的,而这恰好与低端安全网关产品回归通用CPU加Linux体系的潮流相符合。这使得国内安全网关厂商在以Linux为基础的低端安全网关产品研发上,特别是防火墙和NIDS以及安全网关集中管理平台等方面,积累了相当的经验和人才,从而占有一定优势。将这一优势与国内PC厂家的产量和成本优势结合起来,在产品定位上更好地与国际市场的需求接轨,将很有可能在中国网络设备市场逐渐形成一定出口能力。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。