当前,Web安全无疑是安全领域最热的话题,各种新技术也频频应用于此。然而,不少用户在实际使用中却遭遇了一系列新的挑战,多核、防病毒等技术给用户带来了意想不到的困扰。Web安全怎么了?
安全“宕机门”
也许,没有一种技术能像Web安全一样令用户如此痴迷,同样,也没有一种产品像Web安全网关一样宕机频繁,给用户带来烦恼。可悲的是,越是高端的设备,越是将多核处理器、防病毒功能进行集成的设备,越会面临类似困境。
国庆期间,记者和一位不愿意透露姓名的四川某大型企业IT经理聊起过Web安全,这位经理对此面露难色。原来他们公司正在对一款国产知名品牌的万兆Web安全网关进行测试,据介绍,该产品一直处于相当不稳定的状态,有专家分析产品内部的W矩阵式并行计算系统极不稳定,基本无法驾驭多核处理器。直接的后果是,此设备在一个多月时间内,宕机超过六次。
该IT经理苦笑道:“该设备是今年7月份生产的,号称32个核,4个核做控制,28个核做数据转发。然而这个设备在带200-300M下行流量的时候,挂掉过;在带700-800M下行流量的时候,挂掉过;在带1.5G的下行流量的时候,挂掉过;甚至在删除某个接口的IP地址的时候,都曾经挂掉。”
为此,这位可怜的IT经理不得不在该设备的Console口一直连接专用的PC,以便观察其Console输出。据悉,该安全网关的Console输出,经常会出现报警,报告“某个Core不够处理”。极端情况下,一次接连有7-8个核报错。事实上,超过3个核报错的时候,设备已经无法正常处理网络流量了。
毫无疑问,该设备处于一种不稳定的状态。用户的测试显示,设备双向小包是2G左右。在这种状态下,设备目前只能实现NAT功能,还没有启用像其宣称的IPSec VPN、IPS、反病毒、流量管理、SSL VPN等功能。
祸起多核
为了避免用户对Web安全失去信心,记者在国庆期间带着问题特意拜访了Hillstone副总裁赵彦利先生。他向记者介绍,目前基于多核的网络安全产品(Web安全网关、防火墙、UTM等),采用的多核CPU不外乎都是基于以下两个厂商:第一,Cavium的多核MIPS64专用处理器,最大16核,纯粹的多核;第二,RMI的多线程处理器,拥有8个核,每个核4个线程,共32个线程,是多核多线程。
资料显示,多核处理器中每个核心拥有独立的执行单元和寄存器等资源,可以真正并发执行多项任务,其效率比多线程技术高得多。对高端Web安全网关而言,选择纯粹的多核处理器是确保稳定高效的条件之一。
另外,他也分析,之所以会出现用户所担心问题,还有一个关键原因,就是Web安全网关除了在硬件上采用多核CPU,同时也对设备的软件体系架构提出了更高的要求,安全网关内置的操作系统必须能够充分处理核内核间任务的分工、调度等棘手问题。
换句话说,X86、NP和多核CPU平台差异化大,无法采用统一的软件平台。多核平台需要更改原单核的转发机制,因此不但需要优化底层代码也需要优化上层的协议代码,如QoS、路由协议等。
不难看出,当前的挑战已经不是Web安全网关对多核的应用问题,而是过渡到一个更加艰难的“后多核”时代----需要Web安全网关从硬件到软件去全方位支持多核CPU----这也是当前最具应用价值的“并行多核处理器控制技术”。
别忽视AV
事实上,开启“后多核”时代的另一个标志,就是Web安全网关与反病毒技术的整合。
赵彦利表示,将Web安全网关与反病毒结合并不容易,特别是在多核环境中。因为这样的整合需要安全厂商开发基于多核的“并行流病毒扫描引擎”,只有这样才能在实现千兆级别病毒扫描性能的同时,全面查杀病毒、蠕虫、木马、恶意软件、间谍软件和插件。这对于一些还未将多核技术发挥好的厂商来说,无异于望梅止渴。
当然,用户的期待并非孔穴来风。我们看到支持HTTP、FTP、SMTP、POP3和IMAP协议的具备高速反病毒能力的Web安全网关将是“后多核”时代产业取得突破的关键。因为只有网关杀毒才能方便地支持透明、路由、混合模式部署,而且可以轻松实现中断传输会话、杀毒、日志记录等多种处理机制。毕竟在某些行业中,高性能AV与Web安全需求极大,而这也将筑起“后多核”时代Web安全的精髓。
