界定安全网关
随着边界防御需求的不断攀升,安全网关正在慢慢的蚕食传统防火墙产品的阵地,成为主流的安全防护产品。从宏观意义上来说,位于安全边界的防护设备就可以被视为是安全网关,这些设备可能只具有防火墙或内容过滤等单一的功能,也可能具备了UTM规范中所要求的多种安全功能和防护范围。也就是说,安全网关未必一定达到了UTM所定义的防护等级,而是一个比UTM更宽泛的界定。目前,很多厂商都在主推万兆安全网关的概念,并力主以多核技术使安全网关达到处理万兆级别传输的性能。那么这些产品所应用的技术是否能使自己能应对万兆级别传输下的防护?在万兆等级下又能保证怎样的功能性?我们将对目前万兆网关的发展情况进行多层面的剖析,以寻找这些答案。
 
万兆安全网关
顾名思义,万兆安全网关就是在开启了防护功能的情况下,能保证传输速度在万兆(也即10Gbps/秒)以上的安全网关设备。
 
为何需要万兆安全网关
之所以需要万兆安全网关,是因为在很多企业级应用环境中,千兆级别的安全网关设备已经远远不能满足用户的防护需要。随着近年来互联网应用的爆炸性增长,边界安全设备需要处理的流量已经较前几年有了指数级的增长。在很多情况下,用户将精力放在了部署哪些应用能让组织获得更好的增长,而这些尝试也给安全防护造成了更大的压力。特别是恶意软件、垃圾邮件、商业窃密等安全问题的泛滥,带来了对内容检测特别是深度检测方面的更好要求。正是安全问题在容量和复杂性上的多方位增长,才使得万兆安全网关成为了保证立体化防御和有效化防御所必须发展的产品。
 
谁需要万兆安全网关
一般来说,对于万兆安全网关的需求主要集中在高端用户群体当中。而规模较小的企业对万兆安全网关动辄几十万的起步价格往往没有承受能力,也没有这么高的需求。对于规模较大的企业来说,每天需要通过网络的海量内容,如果能够集中以万兆级别的安全设备进行保护,成本效益比则非常出众。不过,对于规模过大的用户,由于应用情况过分复杂,在进行深度内容过滤的时候,也难以达到令人满意的性能表现。对于这类超大型的应用环境,采用万兆安全网关未必就能起到一劳永逸解决问题的目的。而在经营领域方面,金融、电信乃至政府等IT应用较为深入、核心应用较多的用户,则相对适合采用万兆安全网关产品。这些用户对IT环境要求较高,往往不只要求核心应用安全稳定,对其它附属应用及日常应用也有较高的运营要求。这意味着他们更关注网关防护产品这种一揽子解决方案,以在各个层面都获得高质量的安全保护。另外,对于教育机构和一些特定领域的商业机构,由于会发生高频率的P2P传输,万兆安全网关的应用也会起到立竿见影的效果。
 
采用多核技术的初衷
目前,在防火墙乃至安全网关领域应用最多的硬件架构主要是ASIC和NP。ASIC是已被证明的最成熟和最可靠的硬件架构之一,性能表现优异,但是不便于开发。NP是兴起相对较晚的一种技术架构,它继承了传统的X86等通用处理器平台便于开发和扩展的优点,同时提供了接近于ASIC架构的性能表现。一般来说,单一的ASIC处理器难以提供稳定的、满足万兆网络传输的处理性能。所以,虽然很多厂商都尝试过用专用的ASIC或其它架构的专用处理器来分担部分工作,以提升整个安全网关的处理效能。但由于ASIC架构体系在更新上相对缓慢,ASIC处理器的开发也相对复杂,对于需要经常对功能进行扩充和完善的信息安全设备来说,这种解决方案很难形成有效的商品化价值。而各种基于RISC指令集的NP架构处理器产品,由于在性能和开发速度上具有更加综合的表现,所以在目前的安全网关产品中日益流行起来。除了一些老牌厂商仍旧沿用自己多年积累的ASIC架构开发资源来打造自己的产品之外,NP架构的处理器特别是多核的NP处理器,正越来越广泛的被应用于万兆安全网关产品。可以说,在经过了过度追求功能所以热炒UTM理念和过度追求性能而热炒各种芯片实现方式之后,在相对成熟和慎重的万兆安全网关市场,采用多核处理器架构成为追求性能和功能良好平衡的一种必然选择,也是相对理智的选择。
 
万兆多核花落谁家
目前相对成熟的万兆级别的安全网关产品,一般使用来自以下两个厂商的多核架构:RMI和Cavium。也有一些厂商使用ASIC实现自己的万兆安全网关产品,或者采用自主研发的多核处理器硬件平台。对于这类产品来说,产品的发展和更新对厂商自身开发能力和响应速度的依赖性往往更高。包括Intel在内的厂商也都提供多核处理器产品,但由于市场有专攻,在面向信息安全的计算设备市场,目前还没有非常突出的表现。事实上,对于多核处理器架构的选择确实在很大程度上决定着安全网关产品的性能表现。但是在实际面世的产品当中,处理器架构的选择并没有非常明显的垄断现象。不同的厂商,都在根据自身的技术情况、产品等级、功能设定等要素来选择所适配的处理器平台。Cavium公司的OCTEON系列产品在架构上相当灵活,支持各种流行的接口,性能优异同时具有较好的节能表现。该系列产品所使用的处理器支持最高16个内核,而且这16个内核每个都拥有独立的处理单元和存储器,能够实现完全的任务并发,属于纯粹的多核处理器。而另一种在安全网关领域常用的多核架构是RMI公司的XLR 732处理器,这种处理器采用8内核设计,每个内核支持四个并发线程。也就是说,RMI公司的产品可以模拟出32个虚拟的处理器单元,但是相比纯粹的硬件多核,在性能和稳定性上要逊色一些。特别是Cavium的每个处理器单元对特定的应用进行了优化,可以获得更好的、更可预期的性能输出。Cavium的每个多核处理器单元,都集成了专门的分组检测功能和内容分析功能,这对于安全网关产品的开发是非常很有帮助的。
 
你知道吗?
你知道吗,Cavium和RMI公司的产品事实上都是基于MIPS处理器架构的,这种处理器架构是基于RISC指令集的,在专有设备市场特别是网络设备市场有很高的使用率。初创MIPS架构的MIPS公司1992年被SGI公司收购,又与1998年独立出来,并与1999年发布了目前最新的MIPS 64架构标准的初始版本。
 
万兆网关战力几何
虽然在2007年市场上就已经存在万兆网关产品,但是目前万兆网关的销售和应用还不是非常广泛,可参考的数据也很少。从已知的情况来说,如果单纯开启防火墙功能,目前大部分的产品都能够达到万兆级别的表现。而如果开启了***检测功能乃至UTM级别的防护,恐怕就很少有产品仍旧能保持万兆级别的表现了。由于通常的安全网关产品都会以防火墙或***检测作为防护核心,然后以防护核心的架构为主配备以其它防护功能。从这个角度来说目前的万兆级别产品通常只能实现在开启单一防护核心的情况下附之以一些相对不重要的防护功能。同时开启过多功能,仍旧和千兆安全网关设备一样有较大的性能下降。这种情况也体现了目前万兆安全网关领域的一个主要不足,那就是在硬件设备达到标准后软件和其它设施如何与其匹配的问题。最直观的道理在于,单纯的堆砌更多的处理器内核并不一定会获得性能的同比提高。因为越多的处理器内核并行运行,会带来越多的性能损耗,而这种损耗如果不进行特殊的优化会非常可观。安全网关的操作系统如何调用多个内核是能发挥出多少性能的重要因素,这从最底层决定了硬件和软件的匹配程度。这意味着万兆安全网关的操作系统需要特别的定制,包括实现对多核心处理器的流畅调用,尽量精简功能等等。除此之外,还需要对路由、数据转发等协议层机制进行优化,以及进行针对不同安全功能的应用层优化。一般来说,进行特征识别时的性能消耗是非常大的,在进行应用层开发时能否有效利用硬件平台的特性来尽量统合的处理各个安全功能的匹配处理,就非常的重要。但基于实际的应用情况来看,在到达10G乃至更高的传输速率时,多核技术对这类问题处理的提升还不很充分,这在很大程度上是缺乏软件层面支持造成的。
 
趋势何方
基于目前万兆安全网关所存在的一些问题,可以预见的一点是在协议层和应用层方面的支持是未来的产品会着重加强的。包括HTTP、FTP、SMTP等常见网络协议的支持会被集成到更底层,直至尽量完全地由硬件提供支持。另外,包括防病毒过滤在内的各种面向应用层的深入内容过滤,也会与协议层支持一样,尽可能的向硬件层面发展。也就是说,只有当多核硬件平台的处理性能被绝大部分的“压榨”出来,当核心功能都获得了硬件级别的支持时,万兆安全网关产品才会足够快速和稳定,才会真正步入主流。从另一个角度来看,由于安全网关设备往往都集成了多项安全功能,是依旧按照传统的方式以某一项功能为核心,还是以较为先进的方式将所有安全功能真正并行使用,也是一个重要的问题。为了充分发掘多核平台的优势,尽可能的实现架构上的精简和合并,形成一个有效的安全检测核心,然后并行的执行各个安全子功能,无疑是更好的方式。而且,这种方式也有助于改善安全网关产品中广泛存在的管理问题。总之,对于万兆安全网关来说,目前还只是初试牛刀,虽然在技术和市场层面都获得了足够的契机,但是能够获得全面的乃至变革性的成功,还需要厂商和用户乃至更多的相关群体务实并努力着。
 
探讨安全网关新模式
由于网络层的防护已经远远无法满足当前复杂环境下的安全需求,所以安全防护向应用层转移已经成为大势所趋。由于有大量的安全威胁通过Web页面、电子邮件、下载工具、即时通讯工具等媒介进行传播,所以在应用层进行安全威胁识别和匹配将比在低层次进行内容解析要有效的多。而且单纯的内容过滤,已经被证明在性能和可靠性上都无法满足敏感环境下的安全需要。企业环境中不断增加的应用类型,或者已有应用的误用,都会形成***者的“内应”。包括P2P在内的很多流行网络工具,都允许自定义端口来进行网络交互。这意味着传统安全网关的匹配模式将越来越捉襟见肘,不得不在应用不便或繁复的配置更改中进行徘徊。虽然很多流行的安全网关产品都支持对应用层的过滤,但是这往往只是对传统安全网关理念的扩充。新一代的安全网关应该具备多项智能特性,比如智能协议匹配、智能应用识别、智能威胁发现等等。也许,只有纯粹以应用层安全为核心的防护模式,才能真正有效的减少安全威胁。