目前的网络安全威胁已经从针对TCP/IP协议本身弱点的攻击转向针对特定操作系统和应用程序漏洞的破坏和攻击,这些安全威胁代码封装在TCP/IP协议的净荷部分。传统的防火墙,包括第三代全状态检测防火墙,对这些应用层的安全威胁无能为力。病毒,黑客入侵及间谍软件不断给互联网用户造成巨大的损失。
不仅如此,层出不穷的即时消息和对等应用如MSN,QQ,BT,eMule等工具给使用者带来方便的同时也带来风险,并且在一定程度上降低了企业员工上班时间的工作效率。
因此我们需要一个多层的积极防御,全面阻止病毒,抵御入侵和扫描间谍软件,减少来自应用层的安全威胁。
UTM综合安全网关应运而生
随着安全风险的不断变化,安全防御产品的软硬件也在不断地升级。大致经历了通用处理器时代,CPU+ ASIC,NP(CPU+NP),直到最近的多核专用安全处理器等多个阶段。
通用处理器依赖一个单一CPU来处理全部功能,所有功能通过用软件实现,功能灵活,可以实现几乎任何安全功能,包括网络层和应用层的安全扫描,所有的任务都在一个CPU的调度下完成,但是性能瓶颈不可避免。尤其是对实实性要求较高的应用,如VoIP有比较大的影响。 这类产品通常适合网络流量不大的中小型的企业环境。流量大的环境,开启全部安全功能的情况下,安全设备本身容易成为网络传输的瓶颈。
为了提高安全产品的性能,很多产品基于ASIC芯片技术来加速网络流量的处理。通用CPU+ ASIC芯片称为众多安全设备的主要硬件架构。ASIC是为安全功能设计的专用芯片,可以达到很高的网络吞吐量,但是ASIC存在两个主要的问题。
首先ASIC芯片的设计周期比较长,而安全威胁的发展变化又比较快,ASIC芯片能做的功能相对比较简单,通常只能处理网络层的安全功能。对隐藏在数据包内容中的针对应用层的安全威胁往往不能处理。 涉及到病毒、入侵、间谍软件扫描等应用层的安全威胁,还是需要通用的CPU来处理,这样如果安全设备作为一个网络层面的状态检测防火墙来使用,那么处理性能比纯粹的CPU架构的安全设备有很大的提高,但是如果需要应用层的安全防御,性能瓶颈仍然在通用CPU上。
而目前的安全威胁大部分是隐藏在数据包内容中的针对系统和应用的安全威胁,因此CPU+ ASIC硬件架构在处理应用层安全威胁上受到很大的限制。其次,即使ASIC芯片融合部分应用层安全威胁的控制,但是因为ASIC本身不能随时升级以应对新的安全威胁,因此ASIC芯片来做UTM没有得到大家的认可,因此也没有普及开来。
与ASIC技术对应的还有NP技术,即Network Processor。 NP结合和通用CPU和ASIC的优点,它可以有很高的处理性能,同时又可编程,随时更新软件来实现新的功能,是安全产品的一个很好的方向,NP技术也是采用多核技术,多个安全内核并行处理。但是和ASIC类似,NP处理器的微码(Micro Code)主要是实现高效率的网络层面的处理, 对应用层处理没有专门的加速技术。因此NP主要也用在网络层的安全设备当中。对UTM产品,NP还不是很理想的硬件架构。
本文作者SonicWALL中国区总经理谭敦敏
