Check Point：模块化软件体系方为网络威胁对策

近年专用硬件在安全网关市场甚嚣尘上，其中专用集成电路（ASIC）更被一些安全厂商当作市场宣传重点，他们指专用集成电路能提供更强大的功能，这个说法也得到了部分行业分析师及客户的认同。然而事实上专用集成电路不见得一定能提供卓越性能，就算性能得到提高，安全性也会减弱，为什么专用集成电路如此名不副实？如果它们不能增强安全网关的性能，究竟什么技术才是可取之道？

　　专用集成电路的误区和空话

　　随着集成电路生产工艺的成熟，专用集成电路于上世纪90年代初在网络领域中崭露头角。专用集成电路在交换技术应用中取得成功，因此业界便构思在防火墙及VPN领域中照搬使用。在交换及路由技术领域，专用集成电路在加速数据包传送速度及降低成本方面显示了很大价值，安全厂商顺理成章吹嘘说它在网络防火墙及VPN应用中也能取得相似的效果，其实这和实际情况大相径庭。

　　对专用集成电路在安全网关应用上，市场上存着两个误区及两个空话。

　　误区一：专用集成电路令安全网关更为“坚固”

　　有些人以为安全设备采用专用集成电路后将变得更为“坚固”，这是把“硬件”和设备的“硬度”混淆，使用铜制配件及硅片的产品能更好的抵御网络攻击完全是错误的观点，基于专用集成电路的网关与一些较差、基于软件的网关同样不安全，在专用集成电路运行的应用与基于软件的网关一样，也会有程序的漏洞和错误，事实上，要为专用集成电路运行的应用提供补丁更为困难和昂贵，因为这可能需要重新设计、甚至更换硬件，所以专用集成电路中出现的程序错误通常要较长时间才能修正。

　　误区二：专用操作系统更为安全

　　基于专用集成电路的设备要求自定义、甚至专用的操作系统，有些人误以为专用操作系统比诸如Windows 及UNIX等通用操作系统更为安全。事实是如Check Point VPN-1? 等基于软件的安全网关令其运行的操作系统更为“坚固”，而很多使用“专用操作系统”的安全设备其实是使用自定义的UNIX/Linux变种操作系统，其 “坚固程度”不比前者为强。

　　更为严重的是基于专用集成电路的安全提出了两个没有实现的承诺。

　　空谈一：专用集成电路能节省成本

　　为特定、个别应用程序，同时大批量生产的专用集成电路或“含系统芯片”（SOC）的单件成本应该低于中央处理器（CPU）、周边配件和为运作同一程序的软件的组合，但对于需要进行全面安全处理的网络安全设备，情况却并非如此，因为基于中央处理器的设备有经济规模效益的优点，成本可以大幅度降低，为网络安全产品而设计的专用集成电路通常只有数万枚的需求量，而中央处理器却是数千万枚，此外，就算安全设备采用了专用集成电路，它们也必需使用一些中央处理器芯片及周边配件作管理及其它功能。基于上述原因，采用中央处理器的安全设备在成本上比专用集成电路设备更具优势。

　　空谈二：专用集成电路的性能更佳

　　这是在网络安全市场上鼓吹采用专用集成电路的最大卖点，但这也是不准确的。在一般的情况下，对非常特定、严格控制及清晰定义的应用而言，使用一个设计良好的专用集成电路，其运行速度要比在通用中央处理器上运行、为这应用而设计的软件为快，在专用集成电路上运行高水平运算功能需要更少的时钟周期，但如果网络安全网关要解决的问题并非十分具体和清晰那又怎样？

　　目前IP网络仍是在不断演变，互联网的基本协议IP正由第4版本过渡至第6版本(Ipv6)，IP层以上的会话层及应用层的协议也是不断在改变及调整，以便满足使用互联网新平台及应用程序的需要。

　　在可预见的未来，这种调整及修正的工作将有增无减，例如新兴的无线协议及服务将是网络攻击的温床，VoIP及其它媒介协议所占的互联网数据传输量日益增加，但它们方兴未艾，还没有完善的标准，难免漏洞百出。目前行业正开发新的路由协议以便把移动漫游设备与网络连接，此等协议也将给予黑客可乘之机，被他们盗窃语音线路或入侵企业网络。基于XML的“Web服务”也是处于部署萌芽期，由于其敏感的B2B本质，它们需要具体的应用层安全保护。最后，即时通信及对等体(peer-to-peer)应用协议是企业内联网中最流行的通信模式，它们也处于极度危险、容易受到攻击的境地。