Check Point：模块化软件体系方为网络威胁对策

近年专用硬件在安全网关市场甚嚣尘上，其中专用集成电路（ASIC）更被一些安全厂商当作市场宣传重点，他们指专用集成电路能提供更强大的功能，这个说法也得到了部分行业分析师及客户的认同。然而事实上专用集成电路不见得一定能提供卓越性能，就算性能得到提高，安全性也会减弱，为什么专用集成电路如此名不副实？如果它们不能增强安全网关的性能，究竟什么技术才是可取之道？

　　专用集成电路的误区和空话

　　随着集成电路生产工艺的成熟，专用集成电路于上世纪90年代初在网络领域中崭露头角。专用集成电路在交换技术应用中取得成功，因此业界便构思在防火墙及VPN领域中照搬使用。在交换及路由技术领域，专用集成电路在加速数据包传送速度及降低成本方面显示了很大价值，安全厂商顺理成章吹嘘说它在网络防火墙及VPN应用中也能取得相似的效果，其实这和实际情况大相径庭。

　　对专用集成电路在安全网关应用上，市场上存着两个误区及两个空话。

　　误区一：专用集成电路令安全网关更为“坚固”

　　有些人以为安全设备采用专用集成电路后将变得更为“坚固”，这是把“硬件”和设备的“硬度”混淆，使用铜制配件及硅片的产品能更好的抵御网络攻击完全是错误的观点，基于专用集成电路的网关与一些较差、基于软件的网关同样不安全，在专用集成电路运行的应用与基于软件的网关一样，也会有程序的漏洞和错误，事实上，要为专用集成电路运行的应用提供补丁更为困难和昂贵，因为这可能需要重新设计、甚至更换硬件，所以专用集成电路中出现的程序错误通常要较长时间才能修正。

　　误区二：专用操作系统更为安全

　　基于专用集成电路的设备要求自定义、甚至专用的操作系统，有些人误以为专用操作系统比诸如Windows 及UNIX等通用操作系统更为安全。事实是如Check Point VPN-1? 等基于软件的安全网关令其运行的操作系统更为“坚固”，而很多使用“专用操作系统”的安全设备其实是使用自定义的UNIX/Linux变种操作系统，其 “坚固程度”不比前者为强。

　　更为严重的是基于专用集成电路的安全提出了两个没有实现的承诺。

　　空谈一：专用集成电路能节省成本

　　为特定、个别应用程序，同时大批量生产的专用集成电路或“含系统芯片”（SOC）的单件成本应该低于中央处理器（CPU）、周边配件和为运作同一程序的软件的组合，但对于需要进行全面安全处理的网络安全设备，情况却并非如此，因为基于中央处理器的设备有经济规模效益的优点，成本可以大幅度降低，为网络安全产品而设计的专用集成电路通常只有数万枚的需求量，而中央处理器却是数千万枚，此外，就算安全设备采用了专用集成电路，它们也必需使用一些中央处理器芯片及周边配件作管理及其它功能。基于上述原因，采用中央处理器的安全设备在成本上比专用集成电路设备更具优势。

　　空谈二：专用集成电路的性能更佳

　　这是在网络安全市场上鼓吹采用专用集成电路的最大卖点，但这也是不准确的。在一般的情况下，对非常特定、严格控制及清晰定义的应用而言，使用一个设计良好的专用集成电路，其运行速度要比在通用中央处理器上运行、为这应用而设计的软件为快，在专用集成电路上运行高水平运算功能需要更少的时钟周期，但如果网络安全网关要解决的问题并非十分具体和清晰那又怎样？

　　目前IP网络仍是在不断演变，互联网的基本协议IP正由第4版本过渡至第6版本(Ipv6)，IP层以上的会话层及应用层的协议也是不断在改变及调整，以便满足使用互联网新平台及应用程序的需要。

　　在可预见的未来，这种调整及修正的工作将有增无减，例如新兴的无线协议及服务将是网络攻击的温床，VoIP及其它媒介协议所占的互联网数据传输量日益增加，但它们方兴未艾，还没有完善的标准，难免漏洞百出。目前行业正开发新的路由协议以便把移动漫游设备与网络连接，此等协议也将给予黑客可乘之机，被他们盗窃语音线路或入侵企业网络。基于XML的“Web服务”也是处于部署萌芽期，由于其敏感的B2B本质，它们需要具体的应用层安全保护。最后，即时通信及对等体(peer-to-peer)应用协议是企业内联网中最流行的通信模式，它们也处于极度危险、容易受到攻击的境地。

　　每增添一项新应用，互联网的生产力便会提高，也使得它为企业及个人用户带来更高的风险，每项网络上的新应用都为攻击提供了一个新的入侵缺口，事实上，几乎每个与互联网连接的应用、协议及设备都带来新的漏洞。有鉴于此，网络安全网关必需高度灵活及具备相当的适应能力，使得它可以迅速地为新协议及应用提供新保护，同时能降低新漏洞及威胁，在它们出现时便迎头痛击，要达到这个目标，安全网关要能迅速调整协议、辨别及执行应用、同时能主动地修补已知及未知的漏洞。

　　这种高度的灵活性只能在软件环境中才能实现，基于专用集成电路的解决方案有特定的数据路径，所以只可以解决固定编码协议的调整，由于每次修改及增加协议都需要更换芯片，这方法并不实际。此外，把检测工作限制于硬件的数据传输是危险的做法，因为现在硬件修订的速度远远赶不上新威胁出现的速度。

　　只有基于软件的安全网关才能快速及灵活地修订协议以提供最及时的安全保护，因此软件应该被视为所有网络安全解决方案的第一道、最主要的防线。

　　Check Point对特定硬件的态度

　　Check Point是一家真正的软件安全方案公司，它的目标是采用高适应性的监测技术及可扩展的安全平台，为客户提供智能化的安全解决方案。Check Point提倡一个涵盖边界、内部、Web及端点的全方位安全体系结构，协助用户解决目前及未来的安全挑战。

　　为了提供最高水平的性能表现，Check Point的所有产品都符合下列原则：

1. 提供无可比拟的安全保护。
2. 提供可扩展的解决方案，最大程度发挥用户硬件投资的价值。
3. 支持（但不一定需要）特定硬件，以便提高经常使用、静态安全功能的运行速度。

　　第一个原则要求Check Point的方案配合通用的中央处理器及开放式服务器体系结构，只有软件才能在灵活性、模块化及速度方面满足要求，而也只有通用的中央处理器才能对此提供相应的支持。

　　通用中央处理器的庞大市场规模也使得客户有广泛的选择和为他们带来更大的价值，小公司可以选用低成本、基本的x86系列芯片，大型企业则可选择高端的多处理器、多刀片或群集式服务器，为其数据中心提供最大程度的性能表现和可用性。