首页 > 信息安全 > 正文

Web安全遭遇“后多核”时代

2010-04-15 11:07:27  来源:网界网

摘要:当前,Web安全无疑是安全领域最热的话题,各种新技术也频频应用于此。然而,不少用户在实际使用中却遭遇了一系列新的挑战,多核、防病毒等技术给用户带来了意想不到的困扰。Web安全
关键词: Web安全 时代

  当前,Web安全无疑是安全领域最热的话题,各种新技术也频频应用于此。然而,不少用户在实际使用中却遭遇了一系列新的挑战,多核、防病毒等技术给用户带来了意想不到的困扰。Web安全怎么了?
  安全“宕机门”
  也许,没有一种技术能像Web安全一样令用户如此痴迷,同样,也没有一种产品像Web安全网关一样宕机频繁,给用户带来烦恼。可悲的是,越是高端的设备,越是将多核处理器、防病毒功能进行集成的设备,越会面临类似困境。
  国庆期间,记者和一位不愿意透露姓名的四川某大型企业IT经理聊起过Web安全,这位经理对此面露难色。原来他们公司正在对一款国产知名品牌的万兆Web安全网关进行测试,据介绍,该产品一直处于相当不稳定的状态,有专家分析产品内部的W矩阵式并行计算系统极不稳定,基本无法驾驭多核处理器。直接的后果是,此设备在一个多月时间内,宕机超过六次。
  该IT经理苦笑道:“该设备是今年7月份生产的,号称32个核,4个核做控制,28个核做数据转发。然而这个设备在带200-300M下行流量的时候,挂掉过;在带700-800M下行流量的时候,挂掉过;在带1.5G的下行流量的时候,挂掉过;甚至在删除某个接口的IP地址的时候,都曾经挂掉。”
  为此,这位可怜的IT经理不得不在该设备的Console口一直连接专用的PC,以便观察其Console输出。据悉,该安全网关的Console输出,经常会出现报警,报告“某个Core不够处理”。极端情况下,一次接连有7-8个核报错。事实上,超过3个核报错的时候,设备已经无法正常处理网络流量了。
  毫无疑问,该设备处于一种不稳定的状态。用户的测试显示,设备双向小包是2G左右。在这种状态下,设备目前只能实现NAT功能,还没有启用像其宣称的IPSecVPN、IPS、反病毒、流量管理、SSLVPN等功能。
  祸起多核
  记者在制作本报36期《Web防御与云安全》专题时,在采访中就曾发现类似的问题。从实际情况看,国内厂商的多核Web安全网关设备表现相对“疲软”,因此在那次专题中也只好“割爱”。然而,类似事件对用户的伤害却是致命的。
  为了避免用户对Web安全失去信心,记者在国庆期间带着问题特意拜访了Hillstone副总裁赵彦利先生。他向记者介绍,目前基于多核的网络安全产品(Web安全网关、防火墙、UTM等),采用的多核CPU不外乎都是基于以下两个厂商:第一,Cavium的多核MIPS64专用处理器,最大16核,纯粹的多核;第二,RMI的多线程处理器,拥有8个核,每个核4个线程,共32个线程,是多核多线程。
  资料显示,多核处理器中每个核心拥有独立的执行单元和寄存器等资源,可以真正并发执行多项任务,其效率比多线程技术高得多。对高端Web安全网关而言,选择纯粹的多核处理器是确保稳定高效的条件之一。
  另外,他也分析,之所以会出现用户所担心问题,还有一个关键原因,就是Web安全网关除了在硬件上采用多核CPU,同时也对设备的软件体系架构提出了更高的要求,安全网关内置的操作系统必须能够充分处理核内核间任务的分工、调度等棘手问题。
  换句话说,X86、NP和多核CPU平台差异化大,无法采用统一的软件平台。多核平台需要更改原单核的转发机制,因此不但需要优化底层代码也需要优化上层的协议代码,如QoS、路由协议等。
  不难看出,当前的挑战已经不是Web安全网关对多核的应用问题,而是过渡到一个更加艰难的“后多核”时代----需要Web安全网关从硬件到软件去全方位支持多核CPU----这也是当前最具应用价值的“并行多核处理器控制技术”。
  别忽视AV
  事实上,开启“后多核”时代的另一个标志,就是Web安全网关与反病毒技术的整合。记者专门拜访过新华人寿、泰康人寿的用户,大家对于反病毒与Web安全网关的结合需求迫切。
  不过赵彦利也透露说,将Web安全网关与反病毒结合并不容易,特别是在多核环境中。因为这样的整合需要安全厂商开发基于多核的“并行流病毒扫描引擎”,只有这样才能在实现千兆级别病毒扫描性能的同时,全面查杀病毒、蠕虫、木马、恶意软件、间谍软件和插件。这对于一些还未将多核技术发挥好的厂商来说,无异于望梅止渴。
  当然,用户的期待并非孔穴来风。记者看来,支持HTTP、FTP、SMTP、POP3和IMAP协议的具备高速反病毒能力的Web安全网关将是“后多核”时代产业取得突破的关键。因为只有网关杀毒才能方便地支持透明、路由、混合模式部署,而且可以轻松实现中断传输会话、杀毒、日志记录等多种处理机制。毕竟在某些行业中,高性能AV与Web安全需求极大,而这也将筑起“后多核”时代Web安全的精髓。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。