在信息安全市場(chǎng)上，業(yè)界正在硬件架構(gòu)和軟件流程上都不斷有所新的突破來(lái)滿足對(duì)性能和功能需求的雙重提高，是追求全面的安全防護(hù)還是追求高性能的安全防護(hù)，在現(xiàn)有的硬件體系和軟件架構(gòu)的約束下，目標(biāo)的差異衍生出對(duì)市場(chǎng)定位和技術(shù)發(fā)展方向的，而這種分歧帶有某種哲學(xué)意味，我們知道這是一個(gè)彼此矛盾的選擇，很難兩者兼顧。

近日在一次座談會(huì)上筆者就此問(wèn)題請(qǐng)教了網(wǎng)絡(luò)安全設(shè)備廠商WatchGuard的首席策略官M(fèi)ark W. Stevens和亞洲區(qū)銷(xiāo)售總監(jiān) 梁偉業(yè)先生，和他們一起討論了安全網(wǎng)關(guān)技術(shù)的未來(lái)發(fā)展架構(gòu)，發(fā)展方向，以及防火墻產(chǎn)品的市場(chǎng)定位一些業(yè)界感興趣的話題。仁者見(jiàn)仁，智者見(jiàn)智，本文將這次討論整理出來(lái)寫(xiě)成這篇文章，希望對(duì)您能有所啟發(fā)，也希望和您能繼續(xù)深入探討，如果您感興趣請(qǐng)給我來(lái)信 braveheart_317414@yahoo.com.cn。

ALL－IN－ONE能否進(jìn)入高端市場(chǎng)？

集成多層各種網(wǎng)關(guān)處理功能并不是一個(gè)新概念，集成的趨勢(shì)在中低端市場(chǎng)上已經(jīng)很明顯了，許多面對(duì)中小企業(yè)的信息安全設(shè)備都將防火墻、IDS、防病毒、VPN、路由功能集成在一起稱之為安全網(wǎng)關(guān)，集成的功能越多對(duì)硬件架構(gòu)和軟件流程的算法要求就越高，需要良好的架構(gòu)設(shè)計(jì)和模塊間的協(xié)調(diào)能力。Stevens強(qiáng)調(diào)說(shuō)WG憑借他們自身的智能分層安全構(gòu)架將這些功能集成在firebox中，這樣就可以來(lái)為客戶提供高品質(zhì)低價(jià)格的服務(wù)。但是我們認(rèn)識(shí)到WG的目標(biāo)客戶主要集中在中小客戶這樣的中低端市場(chǎng)，那么在高端市場(chǎng)上，在現(xiàn)階段ALL－IN－ONE能滿足高端客戶的需要嗎？

我們知道高端客戶的網(wǎng)絡(luò)環(huán)境有兩個(gè)非常重要和基本的特點(diǎn)：網(wǎng)絡(luò)流量非常大，網(wǎng)絡(luò)應(yīng)用復(fù)雜。對(duì)于一個(gè)安全網(wǎng)關(guān)來(lái)說(shuō)，他的功能除了對(duì)數(shù)據(jù)包的轉(zhuǎn)發(fā)外，還需要對(duì)數(shù)據(jù)包根據(jù)安全規(guī)則進(jìn)行處理和判斷，而來(lái)自應(yīng)用層數(shù)據(jù)包進(jìn)行安全方面的處理通常需要更多的處理流程，占用更多的CPU資源，那么ALL－IN-ONE能否進(jìn)入高端市場(chǎng)的一個(gè)根本限制就在于硬件架構(gòu)，簡(jiǎn)而言之就是芯片的處理速度能否跟的上。

從芯片集成的角度來(lái)說(shuō)，根據(jù)Intel專家的意見(jiàn)目前在90 納米芯片生產(chǎn)技術(shù)下將真正高性能CPU NPU4集成為一個(gè)芯片還幾乎是不可能的。就連Intel 的專家也認(rèn)為，即使在60 納米芯片生產(chǎn)技術(shù)下這一水平的集成也不太可能。這就意味在芯片級(jí)的層次上安全處理和網(wǎng)絡(luò)數(shù)據(jù)包的高度集成就受到了限制，實(shí)現(xiàn)CPU 與NPU 高速“無(wú)縫”互聯(lián)的硬件平臺(tái)總線技術(shù)是當(dāng)前阻礙ALL-IN-ONE真正障礙，他是性能和功能之間捉襟見(jiàn)肘的根本問(wèn)題所在，這個(gè)障礙不排除，高端市場(chǎng)上很難會(huì)有ALL-IN-ONE產(chǎn)品的生存空間，畢竟軟件平臺(tái)必須建立在硬件架構(gòu)之上。

未來(lái)防火墻的硬件架構(gòu)發(fā)展

既然硬件架構(gòu)是安全網(wǎng)關(guān)產(chǎn)品性能的基礎(chǔ)，那么未來(lái)防火墻的硬件架構(gòu)會(huì)以ASIC為主流嗎？

在這個(gè)問(wèn)題上Stevens態(tài)度非常明確：他說(shuō)WG現(xiàn)在沒(méi)有采用ASIC架構(gòu)，將來(lái)也不計(jì)劃采用，雖然以ASIC為架構(gòu)的防火墻性能很好，但是我們認(rèn)為ASIC架構(gòu)并不適合信息安全市場(chǎng)，除了ASIC架構(gòu)產(chǎn)品的價(jià)格因素外，一個(gè)更重要的原因是信息安全市場(chǎng)的是一個(gè)變化非?？斓氖袌?chǎng)，這要求安全防范技術(shù)跟的上黑客技術(shù)的變化，這才能加強(qiáng)企業(yè)的信息安全。所以一個(gè)符合信息安全市場(chǎng)需要的硬件平臺(tái)應(yīng)該是升級(jí)周期短，方便擴(kuò)展的平臺(tái)，拿這兩個(gè)要求來(lái)衡量X86和ASIC這兩種架構(gòu)，X86顯然更加有優(yōu)勢(shì)。

內(nèi)容過(guò)濾是否會(huì)成為未來(lái)防火墻功能發(fā)展的一個(gè)主流？

梁偉業(yè)先生認(rèn)為Web應(yīng)用已經(jīng)是一個(gè)潮流，而基于Web應(yīng)用的安全威脅也成為傳統(tǒng)防火墻的盲點(diǎn)，所以基于內(nèi)容過(guò)濾的Web安全防護(hù)成為將來(lái)防火墻市場(chǎng)上的一個(gè)必不可少的功能模塊，至于是做單獨(dú)的產(chǎn)品還是作為一個(gè)模塊進(jìn)行集成，梁偉業(yè)先生說(shuō)最初WG曾經(jīng)考慮過(guò)作為單獨(dú)的產(chǎn)品推出，但考慮到面對(duì)的目標(biāo)用戶的實(shí)際需求，最終決定還是選擇后者，將他作為一個(gè)模塊集成到現(xiàn)有的平臺(tái)架構(gòu)下。

當(dāng)然他們也考慮過(guò)性能問(wèn)題，有人曾提到一旦諸如反垃圾郵件功能打開(kāi)的話，網(wǎng)關(guān)的處理性能將大幅降低，梁偉業(yè)先生坦率的說(shuō)，這里面有一個(gè)權(quán)衡，你是要安全多一點(diǎn)還是要性能好一點(diǎn)，兩者很難同時(shí)兼顧。

后記：不止是網(wǎng)絡(luò)安全技術(shù)遇到的這種兩難處境，在整個(gè)網(wǎng)絡(luò)產(chǎn)業(yè)都處在這樣一個(gè)重要的十字路口。一方面，我們可以開(kāi)發(fā)各種獨(dú)立的網(wǎng)絡(luò)產(chǎn)品，每個(gè)都獨(dú)具特色、享有專門(mén)的特性和功能。而另一方面，我們希望把更多的功能集成到一個(gè)統(tǒng)一的網(wǎng)絡(luò)平臺(tái)上，這個(gè)平臺(tái)集易用性、集成性和功能統(tǒng)一性于一體，但是這種集成卻受制于現(xiàn)有的體系架構(gòu)。從產(chǎn)品制造商、服務(wù)提供商、到最終用戶都在這個(gè)十字路口上進(jìn)行仔細(xì)的權(quán)衡，對(duì)于一個(gè)用戶來(lái)說(shuō)，他權(quán)衡的根本是安全和性能他究竟注重哪一個(gè)，對(duì)于產(chǎn)品制造商和服務(wù)提供商權(quán)衡的依據(jù)是他們的什么是他們的核心用戶，他們的核心客戶究竟需要什么？