【IT168专稿】目前的网络安全威胁已经从针对TCP/IP协议本身弱点的攻击转向针对特定操作系统和应用程序漏洞的破坏和攻击，这些安全威胁代码封装在TCP/IP协议的净荷部分。传统的防火墙，包括第三代全状态检测防火墙，对这些应用层的安全威胁无能为力。病毒，黑客入侵及间谍软件不断给互联网用户造成巨大的损失。

    不仅如此，层出不穷的即时消息和对等应用如MSN，QQ，BT，eMule等工具给使用者带来方便的同时也带来风险，并且在一定程度上降低了企业员工上班时间的工作效率。

    因此我们需要一个多层的积极防御，全面阻止病毒，抵御入侵和扫描间谍软件，减少来自应用层的安全威胁。

    UTM综合安全网关应运而生

    随着安全风险的不断变化，安全防御产品的软硬件也在不断地升级。大致经历了通用处理器时代，CPU+ ASIC，NP（CPU+NP），直到最近的多核专用安全处理器等多个阶段。

    通用处理器依赖一个单一CPU来处理全部功能，所有功能通过用软件实现，功能灵活，可以实现几乎任何安全功能，包括网络层和应用层的安全扫描，所有的任务都在一个CPU的调度下完成，但是性能瓶颈不可避免。尤其是对实实性要求较高的应用，如VoIP有比较大的影响。 这类产品通常适合网络流量不大的中小型的企业环境。流量大的环境，开启全部安全功能的情况下，安全设备本身容易成为网络传输的瓶颈。

    为了提高安全产品的性能，很多产品基于ASIC芯片技术来加速网络流量的处理。通用CPU+ ASIC芯片称为众多安全设备的主要硬件架构。ASIC是为安全功能设计的专用芯片，可以达到很高的网络吞吐量，但是ASIC存在两个主要的问题。

    首先ASIC芯片的设计周期比较长，而安全威胁的发展变化又比较快，ASIC芯片能做的功能相对比较简单，通常只能处理网络层的安全功能。对隐藏在数据包内容中的针对应用层的安全威胁往往不能处理。 涉及到病毒、入侵、间谍软件扫描等应用层的安全威胁，还是需要通用的CPU来处理，这样如果安全设备作为一个网络层面的状态检测防火墙来使用，那么处理性能比纯粹的CPU架构的安全设备有很大的提高，但是如果需要应用层的安全防御，性能瓶颈仍然在通用CPU上。

    而目前的安全威胁大部分是隐藏在数据包内容中的针对系统和应用的安全威胁，因此CPU+ ASIC硬件架构在处理应用层安全威胁上受到很大的限制。其次，即使ASIC芯片融合部分应用层安全威胁的控制，但是因为ASIC本身不能随时升级以应对新的安全威胁，因此ASIC芯片来做UTM没有得到大家的认可，因此也没有普及开来。

    与ASIC技术对应的还有NP技术，即Network Processor。 NP结合和通用CPU和ASIC的优点，它可以有很高的处理性能，同时又可编程，随时更新软件来实现新的功能，是安全产品的一个很好的方向，NP技术也是采用多核技术，多个安全内核并行处理。但是和ASIC类似，NP处理器的微码（Micro Code）主要是实现高效率的网络层面的处理， 对应用层处理没有专门的加速技术。因此NP主要也用在网络层的安全设备当中。对UTM产品，NP还不是很理想的硬件架构。

本文作者为 SonicWALL中国区总经理谭敦敏

    SonicWALL走在了业界前列

    2008年，SonicWALL把基于Intel+ASIC架构的UTM产品线全面升级到基于多核专用安全处理器Octoen的多核并行处理架构，UTM的性能得到极大的提高。NSA系列网络安全设备，包括NSA2400、NSA3500、NSA 4500、NSA 5000，NSA E5500，NSA E6500,NSA E7500等。NAS E7500 基于Octeon的16个64位MIPS专用安全内核，并行处理数据，每秒可以执行3200万条指令，转发超过3000万数据包。开启网关杀毒的吞吐量最高可达1.8Gbps。

SonicWALL NSA2400
 
    Cavium公司的Octeon多核安全处理器目前最多支持16个64 位MIPS内核，单核主频最高可达1GHz。

    专用多核技术与多个通用CPU并行处理相比，还有一个很大的优势：多个安全内核共享内存，不存在多个独立的通用CPU并行处理的数据交换总线的瓶颈问题。 Octeon多核安全处理除了集成多个安全内核外，还集成众多协处理器，如专用的包输入输出处理器，正则表达式处理器（专门用于病毒，入侵等特征码与后台数据库的匹配处理），硬件TCP加速引擎，专用的加密解密处理器，专用的压缩解压缩的处理器等等，是一个典型的SoC设计：System On a Chip(单芯片集成一个系统) 。

    进入SonicWALL网络安全设备的数据流被分担到多个安全处理内核并行处理，极大地减小了处理的时延，增大了设备的吞吐量。即使开启病毒扫描，间谍软件扫描等应用层的安全措施，网络性能依然可以达到很高的水准，E7500 在开启病毒扫描的情况下最大吞吐量可达1.8Gbps。这是目前面市的UTM产品所能达到的非常好的结果。

    值得一提的是SonicWALL具有专利权的免重组深度包检测引擎（RFDPI）能实时检测无限大的文件，同时并行扫描的文件个数也没有限制，不存在基于缓存技术的病毒扫描所面临的单个文件大小和文件数目的限制问题，在UTM技术上是一个突破。由于多核技术是可编程的，所有的安全功能可以随着安全威胁的发展而迅速的升级，做到快速响应。

    多核架构的目标是最大化地提高应用性能和可扩展性，同时将功耗和升级复杂性降至最低。通过技术创新、高性能、成本效益及可靠性的完美结合，SonicWALL已经发展成为UTM领域的全球领导者，在开启应用层安全的情况下，提供最大数据的吞吐量，减少对网络性能的影响，确保安全的同时，不损失用户的生产效率。