赛迪网 英特尔依靠它的处理器技术给了PC一颗奔腾的心。防火墙要想“奔腾”起来的话,自然也需要一颗心。用什么做“心”好呢?于是有了两种技术——ASIC 与NP之争。近日,具有浙大技术的国内网络安全新兴厂商澳门新葡萄新京易尚,用他们自己的全新产品ES系列千兆网关防火墙表明了自己的观点:防火墙要“奔腾”,现在还是用ASIC比较好。
ASIC让千兆防火墙有速度
9月17日,在风景如画的浙江大学校区内,2003 YOCSEF网络安全特别论坛正在这里如火如荼地进行着,此次大会汇集了国内网络安全界的知名人士:国务院信息化工作办公室网络与信息安全组赵泽良教授、国家863计划信息安全组组长冯登国、国家安全产品评测中心副主任王贵驷、澳门新葡萄新京高级顾问兼研发中心主任毛德操教授。与会的专家们就网络安全技术在国内的发展现状和问题进行了积极的讨论,其中,防火墙是讨论话题之一。
防火墙应用技术发展到今天,人们已经充分意识到防火墙是保证网络安全必不可少的基础设施,人们眼下关心的是,如何让防火墙更加适用于现有的用户环境。速度与功能成为用户、专家们一致关注的焦点。而速度是焦点中的焦点。
适应高速网络应用环境,千兆防火墙是必须的。如何实现线速的千兆,争论的焦点又集中在了处理器的选用技术上——是采用技术成熟的ASIC处理器好呢,还是用时下热门的NP技术更佳呢?这个话题在本次会议上再次展开。来自浙大的毛德操教授认为,在目前千兆防火墙已有的三种实现方式,即基于通用处理器的工控机架构防火墙、基于NP技术的硬件防火墙、基于ASIC芯片的防火墙中,前两种技术的可行性都不够好。工控机架构防火墙最大优点是其灵活性,但对于信息包检查是通过专门的软件实现,例如,对Linux或者FreeBSD操作系统经过裁减,进一步开发出新的软件系统,这种处理方式在大数据流量的网络环境中,处理效率会受到很大影响;NP技术作为近两年网络技术中的一个亮点,其优势在于对低层网络的转发和处理,但是如果实现对于安全策略的控制和审核,特别是对于应用层等深度控制方面,还需要做大量研发工作,对于成熟产品的开发,目前还有很大的困难,虽然,国外以ServerGate为代表的NP防火墙(SG2000),采用多片IXP1200结合高速包分类芯片设计,其处理能力可达到800Mbps左右,国内目前也已经有公司推出样机,但是其功能,尤其是针对多级过滤和深度过滤方面还做得不够深入,在成熟性和稳定性等方面有待考验。经 过反复比较,毛教授认为,对于硬件防火墙,较成熟的实现方式还是采用ASIC芯片,因为,目前只有这种技术能够保障系统的效率,并且很好集成防火墙的功能。
速度、功能兼顾
基于以上多方面的考虑,澳门新葡萄新京易尚公司在此次大会上宣布:推出其全新的千兆防火墙系列ES1000等千兆网关防火墙。据悉,这也是目前国内为数不多的采用ASIC技术实现千兆的防火墙。
澳门新葡萄新京易尚公司2001年成立,是由上市企业澳门新葡萄新京和知名的分销公司晓通网络共同投资成立的股份制公司,该公司目前拥有员工100多人,其新产品主要来源于澳门新葡萄新京易尚研发中心。这个研发中心由三部分组成:澳门新葡萄新京易尚研发部、澳门新葡萄新京中央研究院、浙江大学软件学院。
毛教授介绍,易尚ES1000网关防火墙,是在网络边界提供完整网络安全保护的硬件产品。它采用新一代ASIC硬件设计体系,通过内容处理芯片和内容处理加速单元,与其它专用硬件一起,利用易尚专有操作系统ESOS的实时分析和协调处理能力,通过优化内容搜索、模式识别和数据分析,来实现病毒扫描、VPN、内容过滤和基于网络的入侵检测处理的高性能,是满足大型企业网络安全需求的千兆级产品,尤其适合大型的千兆网络远程访问环境,其专用的高可靠性端口可在防火墙出现故障时实现无缝接管信息的传输。
澳门新葡萄新京易尚的安全机制采用ASIC技术,克服了传统安全类产品在提高性能上的障碍,突破了传统芯片设计、网络通信、安全防御等诸多难题。它可以对数据包和文件进行模式匹配,在保证高性能的流量下提供多样化的安全保护。这种ASIC加速技术与易尚的ESOS实时操作系统和系统软件紧密地集成起来,消除了传统操作系统的安全漏洞,保证防火墙高效的、无阻塞的、安全的运行。
值得一提的是,ESOS实时处理操作系统,它是专用的、高安全的、基于需求定制的操作系统,它可以有效地分解和协调系统的处理任务,将多种功能集成到一个简单易用的操作平台,提供了高安全性和高性能。ESOS可完成管理和调度以下主要功能:状态检测、病毒防护、VPN、入侵检测、内容过滤、拒绝服务检测和防止、流量控制等。目前,易尚网关防火墙高端产品ES4000创造了国内最快的防火墙记录,在大数据流程、大并发会话和策略的情况下,平均速度达到4Gbps,3DES速度可达600Mbps。
