企业网络 拿什么来提速“安全”？

　　因为安全设备而使网速下降、宕机掉线的事儿，在企业网络应用中屡见不鲜。如何改善安全设备的处理性能，真有一套学问呢！
　　
　　近几年，集团业务发展出奇的快，不仅经营规模扩大了数倍，人员也增长了数倍，网络应用不断扩展，新增视频会议、语言通信等应用，使网络流量迅速上升。原来的百兆网络像百岁老人的老胳臂老腿儿，明显跑不动了，网络必须升级（从百兆到千兆）。
　　
　　让信息部负责人吴刚感到欣慰地是，建议一提出，便得到老总的首肯。于是，网络返老还童，有了焕然一新的高性能交换机、服务器。
　　
　　然而，事与愿违，网络并没有因此而提速，上网慢、宕机掉线等现象有过之而无不及。吴刚百思不得其解。问题到底出在了哪儿？
　　
　　提速绊脚石
　　
　　通信技术的发展、用户应用的提高，把网络设备带入“高速”时代（即具有高性能、高传输率、高带宽的网络通信能力），也把业务带入愈演愈烈的安全威胁中。用户对安全保护的需求与日剧增，纷纷在企业网中部署有如防毒、防火墙、IDS等安全系统。
　　
　　但安全技术相对于网络技术发展滞后，当已经发展了20多年的网络路由交换技术开始采用先进的NP（网络处理器）技术之时，防火墙等安全设备却还停留在以CPU集中处理为主的技术阶段，从而在网络应用过程中面临着一腿长、一腿短的运行压力。
　　
　　腿短的是安全设备。现在用户面临多业务需求，以CPU集中处理为主的安全设备，其所有数据只能通过一条线路传到CPU，不能区分业务等级。这样，在网络负荷提高的情况下，哪怕遭遇轻微的网络攻击，都会让关键业务无法开展。
　　
　　最重要的是，安全产品放在网络的关键环节之上，经过的流量大、处理的业务多，如果不能够保证这些业务快速地转发和基于优先级高效地调度，就无法为应用提供不间断服务。特别是现在网络带宽已经发展到千兆，而基于CPU架构的防火墙等安全设备基本上还停留在百兆（即使支持千兆，也有相当一部分只是理论值，真正达不到线速千兆）的状况下，处理能力的悬殊差距，更是难以保证服务质量。
　　
　　如上所述，核心设备运转很快，网络接入设备运转也很快，但是到了检查业务安全性的时候，运转却慢下来，在大流量背景下，势必形成瓶颈。
　　
　　这种现象在很多企业都出现过，吴刚遇到的就是这个问题。当他升级网络设备时，根本没想到也要同时升级防火墙的处理能力，以致让防火墙成了网络提速的绊脚石。
　　
　　NP显身手
　　
　　那么，在网络带宽高速增长、千兆网络大规模应用的态势下，安全设备应该具备哪些特性呢？
　　
　　首先需要具备大容量的安全规则处理能力。目前，病毒与黑客的攻击手段繁多，而且多在应用层以上，如何快速地匹配这种网络的攻击行为，成为安全产品重点解决的问题。
　　
　　其次需要高性能的安全过滤能力、多业务的实时调度能力，还有大容量的日志处理能力和高性能的流分析能力。而所有这些，都要求安全设备具有很强的处理能力，NP正好顺应这一需要。
　　
　　处理能力没的说
　　
　　NP是专门为处理数据包而设计的可编程处理器，它内含了多个数据处理引擎，这些引擎可以并发进行数据处理工作，在处理2～4层的分组数据上比通用处理器具有明显的优势。由于NP对数据包处理的一般性任务进行了优化，使得基于NP的网络安全设备的包处理能力得到很大提升。
　　
　　NP针对不同的网络应用环境而设计，覆盖了不同的网络层次和不同处理性能的要求（包括百兆、千兆和万兆），能够提供从百兆到万兆的处理性能。从成本上来看，NP技术所设计出来的产品在总成本上和基于奔腾CPU基本差不多，但增强了网络处理能力，为中低端的安全设备选用NP产品提供了先决条件。
　　
　　比对ASIC
　　
　　说到这儿，不能不提一下ASIC（专用集成电路技术）。它是一种通过增加ASIC芯片的可编程性，来与软件更好地配合，满足用户对灵活性和运行高性能的要求。目前国内销售的基于ASIC技术的防火墙，已可达到4个千兆网口的全线速包转发速率。而一般基于NP的防火墙在小包情况下，还不能完全做到2网口的千兆线速转发。
　　
　　从实现功能方面看，ASIC技术可以比较容易地集成IDS、VPN等功能，也有产品已经实现了内容过滤和防病毒功能。而NP受限于它的计算能力，这些功能一般只能靠协处理器来实现。纯硬件的ASIC防火墙价格较高，可扩展性差，又缺乏可编程性，因此不够灵活，跟不上防火墙功能的快速发展。
　　
　　而NP防火墙，开发难度小，开发成本低，开发周期也短。如开发一款新的ASIC设备，从设计出原型到进行规模生产，总共需要1年半到2年的时间；而对于NP技术，芯片厂商一般都能提供基本的原型，防火墙厂商在此基础上，开发自己的软件功能、算法等，大概只需要花不到半年或1年的时间。正因如此，国内很多防火墙厂商选中NP开发千兆防火墙产品。
　　
　　东软答疑解惑
　　
　　东软有消息称，为满足关键骨干网络信息安全保障对防火墙性能和稳定性的更高要求，通过与Intel紧密合作，已于2004年11月和2005年8月分别率先推出百兆NP防火墙和采用Intel IXP2400 NP的NetEye千兆防火墙5200，从而全线产品全部实现基于NP技术。
　　
　　由于采用了国外的芯片技术，金融、政府等行业用户十分担心可能引发的安全问题，对NP防火墙心存疑虑。对此，东软网络安全事业部总经理曹斌解释说，NP只在物理层进行算法的并行处理，以提高性能，核心的数据都是在底层及逻辑层拆包检测的。以东软千兆NP防火墙为例，其底层主板和逻辑层面的应用程序都是东软自主研发的，具有自主版权，用户大可不必担心涉密的安全问题。

[1] [2] [3] 下一页

复制本页网址和标题，发送给你QQ/Msn的好友一起分享

上一篇:校园网的主动防护策略

下一篇:打环测试教程，不会的来