安全效果加性能，一个都不能少

　　随着全球范围Web2.0应用的高速发展，越来越多的企业用户对于Web安全的要求不断提高，如今的Web 2.0网络不仅要求具备有效的病毒检测能力，还要求在不同有效载荷大小的情况下都具备稳定的性能，而这些都预示着高性能专业级Web安全网关的崛起。

　　传统的瓶颈

　　传统的“安全网关”、“UTM”、以及所谓的“下一代防火墙”类型的设备，大都是在防火墙的基础上叠加更多的功能，如与VPN、IDS/IPS、网关杀毒、反垃圾邮件、Web过滤等功能集成到一个硬件平台中。然而遗憾的是，目前这类设备在应用层安全上不尽人意，性能和功能两方面都受到了Web 2.0应用的强大压力。

　　对此，稳捷网络大中国区总经理彭朝晖先生指出，此类产品的应用效果普遍差强人意，要么性能上去了、功能没了，要么功能多了，性能就下来了。其根本原因在于系统架构和基于系统架构的算法对各网络层的适应性，其功能细粒度是否足够。换句话说，针对不同网络层设计的专业设备，其应用效果是最好的。。

　　据介绍，当前主流的业务处理一般有并行和串行两种模式：

　　并行方式下，普通处理方式在多流多核分配时，无法保证唯一性，这需要实现智能业务并行化调度，在多核平台上保证唯一性，同时实现对多个内核资源的充分挖掘和利用。

　　串行方式下，需要根据各个功能模块占用系统资源不同进行相应的分配，以保证没有性能瓶颈，调理不当，就会出现多核处理器内的性能瓶颈。

　　换言之，虽然技术上可以把第2层和第3层的数据包或数据流进行集中管理，但在应用层上的这种统一性却不尽人意。以UTM设备为例，许多部署UTM解决方案的企业和服务提供商发现，UTM设备在OSI应用层上提供安全保护做得非常差。例如，当启动UTM设备中的应用层安全功能时，用户会遭遇到相当大的性能损失，大幅度下降的网络连接性和安全检测率将会导致用户网络无法使用。

　　相对而言，安全网关厂商自主研发的应用功能(如：IPS，AV，SPAM等功能)与相应专业的安全厂商有很大差距。不难看出，此类产品的主要功能及其专业性体现在防火墙+VPN而不是应用安全。这些厂商最初的目标客户主要是中小企业。

　　由于大多数严重的攻击通过电子邮件和Web 2.0应用传播，这种不均衡的保护使企业任由计算机犯罪分子摆布。许多安全分析机构指出，企业应当认真地考虑利用专用的应用层或内容安全设备来补充它们已有的防火墙和UTM解决方案。