在信息安全市場上，業(yè)界正在硬件架構(gòu)和軟件流程上都不斷有所新的突破來滿足對性能和功能需求的雙重提高，是追求全面的安全防護(hù)還是追求高性能的安全防護(hù)，在現(xiàn)有的硬件體系和軟件架構(gòu)的約束下，目標(biāo)的差異衍生出對市場定位和技術(shù)發(fā)展方向的，而這種分歧帶有某種哲學(xué)意味，我們知道這是一個(gè)彼此矛盾的選擇，很難兩者兼顧。

近日在一次座談會上筆者就此問題請教了網(wǎng)絡(luò)安全設(shè)備廠商WatchGuard的首席策略官M(fèi)ark W. Stevens和亞洲區(qū)銷售總監(jiān) 梁偉業(yè)先生，和他們一起討論了安全網(wǎng)關(guān)技術(shù)的未來發(fā)展架構(gòu)，發(fā)展方向，以及防火墻產(chǎn)品的市場定位一些業(yè)界感興趣的話題。仁者見仁，智者見智，本文將這次討論整理出來寫成這篇文章，希望對您能有所啟發(fā)，也希望和您能繼續(xù)深入探討，如果您感興趣請給我來信 [email protected]。

ALL－IN－ONE能否進(jìn)入高端市場？

集成多層各種網(wǎng)關(guān)處理功能并不是一個(gè)新概念，集成的趨勢在中低端市場上已經(jīng)很明顯了，許多面對中小企業(yè)的信息安全設(shè)備都將防火墻、IDS、防病毒、VPN、路由功能集成在一起稱之為安全網(wǎng)關(guān)，集成的功能越多對硬件架構(gòu)和軟件流程的算法要求就越高，需要良好的架構(gòu)設(shè)計(jì)和模塊間的協(xié)調(diào)能力。Stevens強(qiáng)調(diào)說WG憑借他們自身的智能分層安全構(gòu)架將這些功能集成在firebox中，這樣就可以來為客戶提供高品質(zhì)低價(jià)格的服務(wù)。但是我們認(rèn)識到WG的目標(biāo)客戶主要集中在中小客戶這樣的中低端市場，那么在高端市場上，在現(xiàn)階段ALL－IN－ONE能滿足高端客戶的需要嗎？

我們知道高端客戶的網(wǎng)絡(luò)環(huán)境有兩個(gè)非常重要和基本的特點(diǎn)：網(wǎng)絡(luò)流量非常大，網(wǎng)絡(luò)應(yīng)用復(fù)雜。對于一個(gè)安全網(wǎng)關(guān)來說，他的功能除了對數(shù)據(jù)包的轉(zhuǎn)發(fā)外，還需要對數(shù)據(jù)包根據(jù)安全規(guī)則進(jìn)行處理和判斷，而來自應(yīng)用層數(shù)據(jù)包進(jìn)行安全方面的處理通常需要更多的處理流程，占用更多的CPU資源，那么ALL－IN-ONE能否進(jìn)入高端市場的一個(gè)根本限制就在于硬件架構(gòu)，簡而言之就是芯片的處理速度能否跟的上。

從芯片集成的角度來說，根據(jù)Intel專家的意見目前在90 納米芯片生產(chǎn)技術(shù)下將真正高性能CPU NPU4集成為一個(gè)芯片還幾乎是不可能的。就連Intel 的專家也認(rèn)為，即使在60 納米芯片生產(chǎn)技術(shù)下這一水平的集成也不太可能。這就意味在芯片級的層次上安全處理和網(wǎng)絡(luò)數(shù)據(jù)包的高度集成就受到了限制，實(shí)現(xiàn)CPU 與NPU 高速“無縫”互聯(lián)的硬件平臺總線技術(shù)是當(dāng)前阻礙ALL-IN-ONE真正障礙，他是性能和功能之間捉襟見肘的根本問題所在，這個(gè)障礙不排除，高端市場上很難會有ALL-IN-ONE產(chǎn)品的生存空間，畢竟軟件平臺必須建立在硬件架構(gòu)之上。

未來防火墻的硬件架構(gòu)發(fā)展

既然硬件架構(gòu)是安全網(wǎng)關(guān)產(chǎn)品性能的基礎(chǔ)，那么未來防火墻的硬件架構(gòu)會以ASIC為主流嗎？

在這個(gè)問題上Stevens態(tài)度非常明確：他說WG現(xiàn)在沒有采用ASIC架構(gòu)，將來也不計(jì)劃采用，雖然以ASIC為架構(gòu)的防火墻性能很好，但是我們認(rèn)為ASIC架構(gòu)并不適合信息安全市場，除了ASIC架構(gòu)產(chǎn)品的價(jià)格因素外，一個(gè)更重要的原因是信息安全市場的是一個(gè)變化非?？斓氖袌?，這要求安全防范技術(shù)跟的上黑客技術(shù)的變化，這才能加強(qiáng)企業(yè)的信息安全。所以一個(gè)符合信息安全市場需要的硬件平臺應(yīng)該是升級周期短，方便擴(kuò)展的平臺，拿這兩個(gè)要求來衡量X86和ASIC這兩種架構(gòu)，X86顯然更加有優(yōu)勢。

內(nèi)容過濾是否會成為未來防火墻功能發(fā)展的一個(gè)主流？

梁偉業(yè)先生認(rèn)為Web應(yīng)用已經(jīng)是一個(gè)潮流，而基于Web應(yīng)用的安全威脅也成為傳統(tǒng)防火墻的盲點(diǎn)，所以基于內(nèi)容過濾的Web安全防護(hù)成為將來防火墻市場上的一個(gè)必不可少的功能模塊，至于是做單獨(dú)的產(chǎn)品還是作為一個(gè)模塊進(jìn)行集成，梁偉業(yè)先生說最初WG曾經(jīng)考慮過作為單獨(dú)的產(chǎn)品推出，但考慮到面對的目標(biāo)用戶的實(shí)際需求，最終決定還是選擇后者，將他作為一個(gè)模塊集成到現(xiàn)有的平臺架構(gòu)下。

當(dāng)然他們也考慮過性能問題，有人曾提到一旦諸如反垃圾郵件功能打開的話，網(wǎng)關(guān)的處理性能將大幅降低，梁偉業(yè)先生坦率的說，這里面有一個(gè)權(quán)衡，你是要安全多一點(diǎn)還是要性能好一點(diǎn)，兩者很難同時(shí)兼顧。

后記：不止是網(wǎng)絡(luò)安全技術(shù)遇到的這種兩難處境，在整個(gè)網(wǎng)絡(luò)產(chǎn)業(yè)都處在這樣一個(gè)重要的十字路口。一方面，我們可以開發(fā)各種獨(dú)立的網(wǎng)絡(luò)產(chǎn)品，每個(gè)都獨(dú)具特色、享有專門的特性和功能。而另一方面，我們希望把更多的功能集成到一個(gè)統(tǒng)一的網(wǎng)絡(luò)平臺上，這個(gè)平臺集易用性、集成性和功能統(tǒng)一性于一體，但是這種集成卻受制于現(xiàn)有的體系架構(gòu)。從產(chǎn)品制造商、服務(wù)提供商、到最終用戶都在這個(gè)十字路口上進(jìn)行仔細(xì)的權(quán)衡，對于一個(gè)用戶來說，他權(quán)衡的根本是安全和性能他究竟注重哪一個(gè)，對于產(chǎn)品制造商和服務(wù)提供商權(quán)衡的依據(jù)是他們的什么是他們的核心用戶，他們的核心客戶究竟需要什么？