[周报全文]Web安全遭遇“后多核”时代

查看评论  发表评论2008年10月23日 15:50分         作者：     来源：

【CNW.com.cn 专稿】当前，Web安全无疑是安全领域最热的话题，各种新技术也频频应用于此。然而，不少用户在实际使用中却遭遇了一系列新的挑战。

安全“宕机门”

也许，没有一种技术能像Web安全一样令用户如此痴迷，同样，也没有一种产品像Web安全网关一样宕机频繁，给用户带来烦恼。可悲的是，越是高端的设备，越是将多核处理器、防病毒功能进行集成的设备，越会面临类似困境。

国庆期间，记者和一位不愿意透露姓名的四川某大型企业IT经理聊起过Web安全，这位经理对此面露难色。原来他们公司正在对一款国产知名品牌的万兆Web安全网关进行测试。据介绍，该产品一直处于相当不稳定的状态。有专家分析，产品内部的W矩阵式并行计算系统极不稳定，此设备在一个多月时间内，宕机超过六次。

该IT经理苦笑道：“该设备是今年7月份生产的，号称32个核，4个核做控制，28个核做数据转发。然而，这个设备在带200～300Mbps下行流量的时候，挂掉过；在带700～800Mbps下行流量的时候，挂掉过；在带1.5Gbps的下行流量的时候，也挂掉过；甚至在删除某个接口的IP地址的时候，都曾经挂掉过。”

为此，这位IT经理不得不在该设备的Console口一直连接专用的PC，以便观察其Console输出。据悉，该安全网关的Console输出，经常会出现报警，报告“某个Core不够处理”。极端情况下，一次接连有7～8个核报错。事实上，超过3个核报错的时候，设备已经无法正常处理网络流量了。

毫无疑问，该设备处于一种不稳定的状态。用户的测试显示，设备双向小包是2G左右。在这种状态下，设备目前只能实现NAT功能，还没有启用像其宣称的VPN、IPS、反病毒、流量管理等功能。

“祸起”多核

记者在制作本报36期《Web防御与云安全》专题时，就曾发现类似的问题。很多国内厂商的多核Web安全网关设备表现相对“疲软”，因此在那次专题中也只好“割爱”。然而，类似事件对用户的伤害却是致命的。

为了避免用户对Web安全失去信心，记者在国庆期间带着这个问题特意拜访了Hillstone副总裁赵彦利先生。他向记者介绍，目前基于多核的网络安全产品，采用的多核CPU不外乎都是基于以下两个厂商：第一，Cavium的多核MIPS64专用处理器，最大16核，纯粹的多核；第二，RMI的多线程处理器，拥有8个核，每个核4个线程，共32个线程，是多核多线程。

资料显示，多核处理器中每个核心拥有独立的执行单元和寄存器等资源，可以真正并发执行多项任务，其效率比多线程技术高得多。对高端Web安全网关而言，选择纯粹的多核处理器是确保稳定、高效的条件之一。

另外，他也分析，出现这类问题的另一个原因，就是Web安全网关除了在硬件上采用多核CPU，同时也对设备的软件体系架构提出了更高的要求，安全网关内置的操作系统必须能够充分处理核内核间任务的分工、调度等棘手问题。

换句话说，X86、NP和多核CPU平台差异化大，无法采用统一的软件平台。多核平台需要更改原单核的转发机制，因此不但需要优化底层代码，也需要优化上层的协议代码，如QoS、路由协议等。

不难看出，当前的挑战已经不是Web安全网关对多核的应用问题，而是过渡到一个更加艰难的“后多核”时代——需要Web安全网关从硬件到软件去全方位支持多核CPU——这也是当前最具应用价值的“并行多核处理器控制技术”。

别忽视AV

事实上，开启“后多核”时代的另一个标志，就是Web安全网关与反病毒技术的整合。记者在本报35期《当Web安全成为难以实现的梦想》一文中专门拜访过新华人寿、泰康人寿的用户，大家对于反病毒与Web安全网关的结合需求迫切。

不过赵彦利也透露说，将Web安全网关与反病毒结合并不容易，特别是在多核环境中。整合需要安全厂商开发基于多核的“并行流病毒扫描引擎”，只有这样才能在实现千兆级别病毒扫描性能的同时，全面查杀病毒、蠕虫、木马、恶意软件、间谍软件和插件。这对于一些还未将多核技术发挥好的厂商来说，无异于望梅止渴。

记者认为，支持HTTP、FTP、SMTP、POP3和IMAP协议的、具备高速反病毒能力的Web安全网关将是“后多核”时代产业取得突破的关键。因为只有网关杀毒才能方便地支持透明、路由、混合模式部署，而且可以轻松实现中断传输会话、杀毒、日志记录等多种处理机制。毕竟在某些行业中，高性能AV与Web安全需求极大，而这也将筑起“后多核”时代Web安全的精髓。（更多内容详见http://www.cnw.com.cn/P/432）

关键字：