Crossbeam作為整體安全解決方案提供商,也是全球唯一可以提供運(yùn)營級UTM設(shè)備的廠商,于2008年10月23日,在北京舉辦了2008渠道英雄大會。與會期間,Crossbeam公司CMO(首席營銷官)James L.Freeze先生和中國區(qū)總經(jīng)理?xiàng)钿J先生接受了51CTO記者的專訪,并詳細(xì)介紹了Crossbeam在高端安全網(wǎng)關(guān)領(lǐng)域的技術(shù)理念及在中國地區(qū)的發(fā)展戰(zhàn)略。
近幾年,越來越多的用戶在信息安全采購中都把UTM(統(tǒng)一威脅管理)產(chǎn)品作為其采購重點(diǎn),尤其是中小企業(yè),更是把UTM設(shè)備作為節(jié)約成本,化繁為簡的必購產(chǎn)品。早在2006年3月,IDC在其年度報(bào)告中就預(yù)測當(dāng)年UTM市場增長率為24.9%;2007年3月,IDC的年度報(bào)告中對UTM實(shí)際增長率的統(tǒng)計(jì)數(shù)據(jù)為84.3%。從數(shù)據(jù)中不難看出,用戶對UTM認(rèn)可度在不斷提升,這也從另一方面說明了UTM市場快速增長的事實(shí)。
獨(dú)特的設(shè)計(jì)架構(gòu)實(shí)現(xiàn)運(yùn)營級UTM
很多人認(rèn)為UTM的特點(diǎn)在于整合化,它以較低的成本滿足了中小企業(yè)對信息處理安全的大部分需求,甚至有業(yè)內(nèi)人事指出,UTM在中小企業(yè)才能發(fā)揮它采購維護(hù)成本低、功能多、整合性高、易于管理部署的優(yōu)點(diǎn)。那么對性能和效能要求更高的大中型企業(yè)就無福消受UTM了么?
James先生認(rèn)為事實(shí)并非如此,在他看來,市場上所謂“All-in-One”的UTM產(chǎn)品,是在其“單一功能的安全網(wǎng)關(guān)”產(chǎn)品上通過“軟件”增加新的安全功能的方式實(shí)現(xiàn)的。如,產(chǎn)品原型是防火墻,但為了市場的需求,通過“軟件升級”的方式,增加了額外的安全功能,也有原型是IPS,而通過“軟件升級”增加了防火墻或防病毒功能的。他認(rèn)為,這樣的產(chǎn)品結(jié)構(gòu)不可避免的存在一些缺陷:“單處理架構(gòu)”的產(chǎn)品,無“并行處理”的能力。換句話說,當(dāng)產(chǎn)品打開多個(gè)安全功能時(shí),多種安全功能共用相同的系統(tǒng)資源,共享同樣的系統(tǒng)內(nèi)存,勢必會存在嚴(yán)重的資源競爭,最終導(dǎo)致整個(gè)產(chǎn)品的性能將急劇下降。
Crossbeam中國區(qū)總經(jīng)理?xiàng)钿J先生認(rèn)為,導(dǎo)致這一問題的根本原因在于,無論是其總線還是CPU,傳統(tǒng)單一功能安全設(shè)備均是單處理結(jié)構(gòu)。當(dāng)更多的功能增加進(jìn)來后,勢必造成系統(tǒng)在處理上的擁塞。這就類似在道路交通中,在原本的一根車道的馬路上,現(xiàn)在增加了多條流量來共享該車道,當(dāng)一條流量通過時(shí),其他流量就必須等待。這就造成了整體系統(tǒng)性能的嚴(yán)重下降。
此外,楊銳先生強(qiáng)調(diào),在這些安全產(chǎn)品中,無論防火墻、IDS/IPS、防病毒、郵件安全等功能,通常均采用自己的安全引擎。而在安全應(yīng)用領(lǐng)域,通常某個(gè)廠家的技術(shù)實(shí)力只在一個(gè)方面突出,而其他的則不是。用他的話講,一個(gè)廠家也許在防火墻上技術(shù)較有特色,但未必在防病毒、IDS/IPS等方面有顯著優(yōu)勢,更談不上媲美這些領(lǐng)域的專業(yè)廠商。在51CTO記者看來,楊銳先生的分析也不無道理。換句話說,如果對性能及產(chǎn)品設(shè)備的安全性沒有較高的需求時(shí), “單應(yīng)用多功能”的UTM產(chǎn)品是適合的;而當(dāng)對UTM性能及安全功能有更高的需求時(shí),這樣的產(chǎn)品就不適合了。
據(jù)了解,正是考慮到了上述UTM單一處理架構(gòu)帶來性能下降的問題,Crossbeam 的核心產(chǎn)品:X 系列高端硬件安全網(wǎng)關(guān)產(chǎn)品,包括 X45、X40及X80,全部采用了機(jī)架交換式模塊化并行處理的結(jié)構(gòu),從而避免了上述問題的出現(xiàn);并且,Crossbeam X系列高端安全網(wǎng)關(guān)產(chǎn)品的每個(gè)模塊均可運(yùn)行獨(dú)立的安全應(yīng)用系統(tǒng),包括Check Point的防火墻系統(tǒng)、IBM ISS的IDS/IPS系統(tǒng)、趨勢科技的防病毒系統(tǒng)、Websense的企業(yè)員工上網(wǎng)行為控制系統(tǒng),以及數(shù)據(jù)庫安全審計(jì)系統(tǒng)等,而每一種應(yīng)用均是該領(lǐng)域內(nèi)最佳的安全應(yīng)用。從UTM應(yīng)用方面來看,Crossbeam X系列高端UTM網(wǎng)關(guān)產(chǎn)品獨(dú)特的設(shè)計(jì)架構(gòu),剛好滿足對性能和效能要求較高的大中型企業(yè)用戶的實(shí)際需求。
獨(dú)特的技術(shù)理念成就運(yùn)營級UTM
實(shí)際上,市場上有許多廠商,如Cisco、Juniper、Nokia、Fortine等,都提供UTM產(chǎn)品,這些產(chǎn)品也能夠同時(shí)提供包括防火墻、防病毒或IPS等在內(nèi)的多種安全功能。那么,Crossbeam的X系列高端硬件安全網(wǎng)關(guān)產(chǎn)品和這些UTM到底有哪些不一樣的地方呢?
據(jù)James介紹,這些UTM產(chǎn)品大多存在“安全功能的資源競爭”問題。他認(rèn)為,由于所有的安全模塊均運(yùn)行在同一系統(tǒng)資源平臺上,并且沒有“安全數(shù)據(jù)調(diào)度”的能力,因此,各種安全功能競爭共享系統(tǒng)資源,一些特定的非常消耗系統(tǒng)資源的安全應(yīng)用,如防病毒,將消耗掉大量的系統(tǒng)資源。其實(shí),整個(gè)UTM設(shè)備可以提供的最大吞吐量就是性能最低的安全模塊的性能。他給51CTO記者舉了一個(gè)例子,如果UTM產(chǎn)品防病毒的性能是300Mbps,即使其防火墻吞吐量在4Gbps,其整個(gè)產(chǎn)品的吞吐量最大也只有300Mbps。而Crossbeam X 系列設(shè)備可以提供運(yùn)營商級別的高性能。如對于防火墻,每塊安全應(yīng)用處理模塊APM可提供最高8Gbps的吞吐量、200萬的并發(fā)連接數(shù)以及9萬的每秒新建連接數(shù);而且每增加一塊APM,整個(gè)設(shè)備的性能以接近線性的方式提高。
此外,很多UTM產(chǎn)品都采用了單處理架構(gòu),意思是無論什么樣的數(shù)據(jù)流,在UTM產(chǎn)品中均“線性的”穿過“所有”打開的安全功能,即使這個(gè)數(shù)據(jù)流不需要這樣的檢查。如,當(dāng)UTM產(chǎn)品的防HTTP病毒功能打開時(shí),即使當(dāng)前的數(shù)據(jù)流是視頻數(shù)據(jù),不存在感染HTTP病毒的可能,但這些視頻數(shù)據(jù)仍然“必須”穿過UTM產(chǎn)品的防HTTP病毒功能模塊。
在James看來,這顯然是沒有必要的。事實(shí)上,我們很清楚的知道,網(wǎng)絡(luò)中會存在許多不同種類的數(shù)據(jù)流量,不同的應(yīng)用,不同的網(wǎng)段,不同的用戶。而每種不同的數(shù)據(jù)類型、應(yīng)用、網(wǎng)段、用戶,均有不同的安全需求,甚至同一種數(shù)據(jù)流進(jìn)出的方向的不同,就會有不同的安全需求。而Crossbeam認(rèn)為,用戶訪問Web時(shí),HTTP應(yīng)用的數(shù)據(jù)流進(jìn)出的安全需求就是不同的。從用戶網(wǎng)絡(luò)到外部Internet的HTTP數(shù)據(jù)流需要檢查控制其URL過濾(檢查控制是否訪問了合法的站點(diǎn))、IPS、防火墻等安全應(yīng)用;而從Internet回來的HTTP流量則不需要URL過濾,但會需要防病毒的檢查控制(因?yàn)镮nternet是不安全的網(wǎng)絡(luò))。換句話說,Email流量和HTTP的流量顯然需要不同的安全檢查。
由此可見,James的言外之意是必須需要網(wǎng)絡(luò)安全系統(tǒng)能夠提供這樣的功能,即可以根據(jù)數(shù)據(jù)流類型、用戶源地址、用戶訪問目的地址、進(jìn)出方向、時(shí)間段等,定義配置不同的安全策略,啟動(dòng)施加不同的安全檢查控制。而不用對所有的數(shù)據(jù)流都施加相同的安全檢查。在51CTO記者看來,這顯然是有一定道理的。而Crossbeam公司正是考慮到了用戶上述的實(shí)際需求,提供了“多線程并行處理”高端多功能安全網(wǎng)關(guān),并且通過其專利的X-Stream技術(shù)實(shí)現(xiàn)“數(shù)據(jù)流的安全調(diào)度”。單從技術(shù)方面來看,Crossbeam的高端安全網(wǎng)關(guān)產(chǎn)品與市場上的UTM產(chǎn)品本質(zhì)上有根本性的不同,主要體現(xiàn)在以下兩個(gè)技術(shù)特點(diǎn)上:
◆全硬件化并行處理
據(jù)了解,在Crossbeam X系列產(chǎn)品上的各個(gè)安全引擎,均運(yùn)行在獨(dú)立的APM模塊上。每個(gè)APM模塊均具有自己獨(dú)立的中央處理器、內(nèi)存、總線等,每塊APM上的應(yīng)用均獨(dú)享該APM上的系統(tǒng)資源,完全不會影響到其他安全引擎的運(yùn)行。這樣,在一臺Crossbeam的X系列設(shè)備中,就同時(shí)提供了多個(gè)CPU、多個(gè)內(nèi)存、多個(gè)總線,并且全部全硬件化并行化處理,大大提高了系統(tǒng)的性能、效率及可靠性。
同時(shí),APM 可多塊實(shí)現(xiàn)負(fù)載分擔(dān),并滿足超高性能的需求。如可配置 3 塊 APM 模塊同時(shí)提供 Check Point 防火墻功能,這 3塊 APM 實(shí)現(xiàn)自動(dòng)負(fù)載均衡。同樣虛擬防火墻、防病毒、IDS/IPS、內(nèi)容安全等均可實(shí)現(xiàn)多 APM 的負(fù)載均衡,而不需要額外購買新的負(fù)載均衡設(shè)備。
◆數(shù)據(jù)流的安全調(diào)度
除了上述技術(shù)特點(diǎn)外,51CTO記者還了解到,通過Crossbeam專利的X-Stream技術(shù),可以根據(jù)“實(shí)際安全的需求”,在一臺Crossbeam X系列設(shè)備內(nèi)實(shí)現(xiàn)調(diào)度數(shù)據(jù)流。意思是,安全管理員可以根據(jù)需求來決定某類型數(shù)據(jù)流需要穿過哪些或哪個(gè)安全功能板卡的檢查,也可以控制數(shù)據(jù)流穿過各個(gè)安全功能板卡的順序;數(shù)據(jù)流可以串行發(fā)送(如從防火墻到防病毒,到URL過濾器再到防火墻),也可以并行發(fā)送(即同時(shí)發(fā)給多個(gè)安全功能板卡)。進(jìn)出系統(tǒng)的數(shù)據(jù)流可以根據(jù)實(shí)際需求來進(jìn)行不同的檢查;不同的IP地址或用戶也可以有不同的安全板卡組合順序。這樣,就可以以任意順序組合各種安全板卡。
毫無疑問,這樣的技術(shù)特點(diǎn)完全可以滿足一些中、高端企業(yè)用戶的實(shí)際需求,可以說,這是是專門為綜合安全應(yīng)用所設(shè)計(jì)的高端專用硬件產(chǎn)品。在51CTO記者看來,Crossbeam公司高端安全網(wǎng)關(guān)產(chǎn)品最大的特點(diǎn)在于可以大幅簡化安全結(jié)構(gòu),降低復(fù)雜性,降低管理的成本,從而使網(wǎng)絡(luò)更加穩(wěn)定。
據(jù)楊銳介紹,正是由于Crossbeam公司可以提供的高可擴(kuò)展性、高可靠性、高性能以及多安全應(yīng)用的高端UTM解決方案,才獲得了中國企業(yè)用戶越來越多的認(rèn)可。而在James看來,中國用戶數(shù)量飛速增長,讓Crossbeam感到出乎意料。的確,像中國移動(dòng)TD-SCDMA試驗(yàn)網(wǎng)、廣東移動(dòng)、上海電信、河北網(wǎng)通、深圳中興通訊、吉林電力、一汽大眾、上海浦東發(fā)展銀行、中國證券交易中心這樣的大型企業(yè)成為Crossbeam的客戶,確實(shí)讓設(shè)備商感到興奮。
2009年即將到來,James表示,在中國市場Crossbeam將會持續(xù)加大研發(fā)、渠道等方面的投入,讓更多的企業(yè)用戶了解Crossbeam獨(dú)特的技術(shù)理念,幫助中國企業(yè)用戶解決更加實(shí)際的信息安全威脅及問題。
