安全产品+“芯片技术”=高性能

宋劲松

----把应用固化在芯片中的概念已非新鲜,现在我们能够见到许多网络或通讯设备(如路由器交换机、手机和PDA等)带有自己的嵌入式操作系统,数据运行在微处理器芯片上。它们与普通计算机最不同的是,所使用的芯片没有普通CPU功能强大,但完成特定功能的效率极高,为普通计算机处理效率所不能及。

----随着网络应用的普及,国内信息化水平的快速提高,网络安全问题显得越来越重要。各种安全产品也相继出现,如网络防毒、防火墙、入侵检测系统、漏洞扫描系统、身份认证和加密系统等。为了更好选购与应用这些产品,需要对相关技术进行深入了解,包括一些发展走势,以保护投资,充分发挥产品功效。

----目前,在安全技术领域,呈现一种新的发展趋势,并且已经融合在部分产品中,那就是安全产品芯片化。

----从防火墙说起

----就防火墙而言,产品的结构可以分为2个部分,一是实现防火墙功能的软件,称为软件防火墙,二是承载软件的硬件设备,称为硬件防火墙。

----1.软、硬防火墙的工作原理

----软件防火墙 最初,防火墙以软件形式存在,它被放置在网络的咽喉要道处。对于受保护的网络,所有进出的报文都要接受防火墙的检查。用户预先设定好允许还是拒绝某种类型的报文,即定义好防火墙的规则,这样,在防火墙工作时,可以根据规则来检查报文(主要核对报头内容),确定是否放行该报文。由于需要对每个报文进行审查,所以当网络流量很大时,如果审查效率不高,会阻塞信息流通,形成网络瓶颈。

----硬件防火墙 硬件防火墙基于PC机架构(即多网卡的计算机),运行在经过裁减的操作系统上(国内绝大部分防火墙使用的操作系统都是Linux)。操作系统有的装在硬盘上,有的装在可擦写磁盘上。传送的报文从一个网卡进入后,会排队等待操作系统中软件的检查,以决定报文的去处。尽管是硬件防火墙,但审查报文的工作是由其中的管理软件来完成的,如果把审查报文这部分用硬件来完成,会提高防火墙的处理效率,避免网络数据流通阻塞的发生,其性能比普通基于PC机架构的防火墙性能要好很多。

----2.芯片化硬件防火墙诞生

----硬件处理方法都是通过微处理器来实现的。微处理器可以被看成小CPU,其主频比现在主流的CPU低很多,它有自己的时钟频率和指令,可以通过编程控制,被广泛应用于运算量不大和体积小的场合,像手机、其他智能家电和工业控制产品等。

----美国Motorola公司、国家仪器(National Instrument,NI)公司、德州仪器公司和ARM公司等都是开发微处理器芯片的主要厂商。在目前最热门的手持等通讯设备领域,ARM公司ARM芯片的市场占有率正逐步提高。虽然ARM公司的规模无法和Motorola和NI相比,但它专注于芯片开发与研制,然后将技术转卖,所以许多公司的产品都是通过对ARM芯片的二次开发而衍生出来的。

----上面说到报文进入硬件防火墙后需要逐一接受检查,为了提高处理效率,我们把这个工作交给微处理器芯片。然而,单独的微处理器不能完成这样的工作,需要给微处理器芯片配上存储空间等应用单元,经封装,把它衍变成网络芯片,才可进行处理。Intel就有这种网络芯片,叫IXP 1200,它封装了6个ARM芯片,每个ARM芯片主频在200MHz左右。

----当我们把网络芯片嵌入到硬件防火墙中时,就好比在其中安装了一个小型计算机,它只检查从外部网进入内部网的报文,工作既单一又高效。其他管理工作(如给用户提供配置界面和做日志记录等)由硬件防火墙自备的软件处理,大幅度提高防火墙的工作效率。

----3.千兆网络中的应用价值

----在网络流量非常大的情况下,如千兆网络环境,不采用基于网络芯片的防火墙会使网络运行不堪重负。不过,防火墙有软、硬之分,针对应用的策略各有不同。有的防火墙厂商专注于软件的开发,如著名的纯软件形式的CheckPoint防火墙,开发出人性化的界面和丰富的应用,功能强大,在北美占领了很大的市场份额。目前,CheckPoint正在和Nokia等厂商合作,把软件装载在PC机架构的设备中。

----有些防火墙厂商从提高防火墙效率入手,专注于网络芯片的使用。如网屏公司的NetScreen和Cisco公司的Pix。NetScreen和Pix都没有使用Intel的IXP 1200网络芯片,而是在微处理器的基础上自己做了技术整合。其中Pix使用的是ARM微处理器芯片,NetScreen使用的是Motorola的Mips微处理器芯片。Pix产品进入中国已经很长时间了,而网屏公司1999年才推出防火墙产品NetScreen,但发展很迅速,特别在中国市场表现尤佳。据悉,NetScreen进入中国时,正赶上中国市场掀起千兆网应用潮,由于国内各防火墙基于PC机架构,无法推出千兆网防火墙,使得NetScreen在高端防火墙领域一举成名。

----面对用户千兆网应用的需要,国内防火墙厂商加紧开发基于微处理器芯片级的防火墙产品,估计大多数厂商会使用Intel IXP 1200网络芯片。Intel网络芯片功能很强大,配有相应的开发包和解决方案,厂商可以很容易推出基于IXP 1200的硬件防火墙产品。

----理性地选择

----根据不同的应用情况,我们分别举3个典型示例,进一步说明明智选择防火墙的策略。

----例1.单位类型:政府部门

----用户应用环境:该部门实现了政府上网工程,从电信部门接了一条2MB的专线进入机房,本身有网站和Mail服务器,内部网络也通过这条2MB的专线上Internet,平时有机房的维护人员管理。

----例2.单位类型:中型网络公司

----用户应用环境:在IDC机房放置了多台服务器,提供Web、E-mail和FTP等多种服务,此外,各分公司之间资源共享,虽然分公司身处异地,但可以通过视频会议、建立文件服务器等多种方式满足分公司之间的沟通。鉴于很多资源都暴露在网络上,该公司对网络安全非常重视,配备有专职的网管人员负责网络安全的管理。

----例3.单位类型:应用大型城域网的企业

----用户应用环境:骨干节点间的传输采用光纤。因为数据的流量很大,对服务器的要求也很高,相应的邮件服务、Web服务和数据库等都使用HP高端服务器和千兆网卡。

----对于例1,可视为普通安全应用,不需要很高性能的防火墙,用户需要一种简单易用的产品。对于这种产品性能不是用户选择的标准,易学易用才是关键。不管是国内还是国外,什么体系结构的防火墙都可以胜任。

----对于例2的应用,用户会考虑到各种复杂情况下防火墙能否提供足够多的功能支持,如用NetMeeting来进行视频会议。作为专业的管理员,功能成为其考虑的一个要素,特别需要考虑在某些极端的情况下防火墙的处理能力(如受到拒绝服务攻击时如何应对)。对于性能,尽管市场上有很多硬件产品,但用户应该优先选择使用微处理器芯片或网络芯片的防火墙。

----对于例3的应用,毋庸置疑,千兆网环境必须要使用基于微处理器芯片的防火墙。

----需要说明的是,性能并不是决定产品好坏的惟一标准,用户在使用中应该根据实际情况选择最适合自己的产品,而不应该盲目追求高性能。用户有所不知,高性能防火墙为保证性能,常以牺牲部分功能为代价,而且价格一般较高。作为用户,应该明确自身网络环境需要什么样功能和性能的防火墙,再定位所需的产品。

----安全产品芯片化是趋势

----随着带宽的提高,有很多基于PC机架构的网络安全产品已不能适应千兆网的需求,它们都需要芯片化。

----据了解,加、解密产品已很早形成了芯片化(即把加密和解密算法固化在芯片中)。目前,中国尚未开放加密市场,不允许使用国外加密和解密算法进入国内,所以国内的加密应用集中在国内产品上。

----另外,在入侵检测方面,国外已经推出了基于千兆网络的入侵检测系统,如已经被ISS收购的Blackice就有成品面市,NFR也即将推出千兆产品。入侵检测系统和防火墙的重要区别是入侵检测系统不仅要看报文报头部分的信息,更主要的是需查看报文所带的信息内容。因此,针对防火墙所做的芯片化设计不能有效地提高入侵检测系统的效率。为了高效查看报文中的内容,必须把文本模式匹配固化在芯片中。这种芯片的用途会很广,能够衍生出很多相关产品,如网络防毒网关等。国外已经有了相关产品,其中Fortinet公司的产品已经进入中国市场。Fortinet公司推出的Fortigate防火墙防毒网关,把防火墙和防毒的功能集成到一起,一台设备在保证效率的前提下实现了多种功能。这种产品和普通防火墙最大的区别就是在主板上固化了能够检查报文内容的芯片。虽然Fortinet公司现在的产品专注于防火墙和网络防毒的结合,但是这种技术也可以应用于网络监视、防泄密和过滤敏感关键字等等,能够适应大网络流量环境的应用需要。

----(作者地址:上地信息路19号,100085)