文/冯程

    随着互联网的飞速发展，网络从窄带的拨号上网已经发展到了ADSL、以太网、光纤等宽带接入。而伴随着飞速扩展的网络带宽，产生了丰富的各种互联网应用，更吸引了众多网络用户，尤其是宽带上网的用户人数也在快速增加。电子商务、云计算、高清视频会议、视频监控等这些新兴的应用正在构建一个越来越丰富多彩的互联网“虚拟世界”，网络正在逐步成为人们日常生活中不可缺少的部分。然而，网络在给我们带来方便和乐趣的同时，也潜藏着巨大的风险和危机，在当前高速网络带宽情况下的网络安全问题已经被推到了风口浪尖，成为互联网中最热点的技术。

安全是互联网建设的主旋律

    网络安全问题其实并不是一个新课题，恰恰相反，网络安全问题一直伴随着互联网的发展。安全产品就像是数据通信产品“舞台”上的一棵“常青树”，一直得到广大用户和设备制造商的青睐。原因是什么呢？安全产品为什么会有如此的吸引力呢？

    首先，保证网络传输和存储数据安全的需求一直存在，而且随着电子商务等网络应用的激增、各行各业信息化的全面加速，这种安全的需求就更加强烈。在好莱坞近一两年的大片中有很多这样的题材，诸如恐怖分子利用网络入侵国家核心部门的数据库，并对航空、交通、电力等基础设施进行攻击，造成大量人员伤亡；再有一些高科技的犯罪分子入侵银行网络，通过释放病毒来盗取巨额资金，而银行还浑然不知，等等。虽然这些情节的描写有些夸张，但反应了网络安全问题的确不容忽视，否则有可能酿成极为严重的后果。因此，这种对安全的需求一直存在，而且越来越强烈，是推动安全技术不断更新的源动力。

    其次，网络安全领域新需求层出不穷，而且越来越贴近用户的亲身感受，成为业界各公司展示自己技术创新的一个窗口。从最早的2/3层的IPSec/GRE等基本的网络加密技术到今天非常流行的SSL VPN、应用防火墙等，网络安全已经从网络的基础层面走到应用层面，跟用户的应用紧紧结合在一起，切实保障用户“钱包”的安全。这就极大刺激了各种网络安全的需求产生。而从网络安全衍生出来的领域也都成为热点，比如网络带宽管理、用户审计和网络监控等等。安全相关技术的发展速度远高于传统的路由器、交换机的发展速度。

    第三，安全产品是网络技术的一块很好的“试验田”。毫无疑问，有越来越多的安全产品上的特性随着技术的成熟，正逐步集成到路由器、交换机等产品形态上。在芯片设计层面也是如此，新发布的ASSP（专用标准电路）都集成了更丰富的安全特性。从主流的设备制造商和芯片供应商的新产品新特性上很容易看到这种趋势。

安全的发展需要与时俱进，关注用户的新需求

    面对高速膨胀的安全需求，对高端安全产品的设备提供商来说，既是机遇也是挑战。机遇是显而易见的，但挑战是“巨大的”。设备商在发展安全产品的过程中，需要考虑到新形势下的安全建设的新特点：

    首先，出色的性能是用户关注的焦点。网络带宽的快速演进，千兆到桌面、万兆为核心已经成为现实。这就使得高端安全产品不仅仅要在物理接口上能够全面支持GE、10GE接口，更为重要的是，在性能也要有极大的提升。网络安全产品为了达到其“去伪存真”的功能，在对网络报文进行处理的时候，一定要进行更深层次和更全面的分析，甚至于达到对报文每一个字节、每一个比特都要进行分析的程度。相比2、3层转发主要针对报文头进行处理，安全产品则还要对报文的payload进行深度分析。显然，这就要求安全产品具有更为强劲的报文深度分析和处理能力。不仅如此，对于路由器、交换机等主要针对2、3层转发的设备而言，报文长度越短，要求的处理性能越高（报文与报文之间的间隔越短，因而需要更高的处理性能），对于长包，反而更容易达到更高的吞吐量。而对于安全设备，尤其是基于应用的安全业务（如应用防火墙、IPS/IDS、防病毒等），不仅要对报文头进行分析，还要对报文的payload进行分析和特征串匹配，这就意味着，对于长报文，安全产品的负载没有丝毫减轻，甚至还有所加重。因此，业界各高端安全产品在其硬件架构的设计上都颇费心思，技术门槛高。

    其次，安全必须关注应用，关注报文的深度解析。随着安全产品越来越多的跟应用层协议紧密结合在一起，我们必须要思考应用层的特点是什么？是特性极其丰富，而且发展、更新速度极快。例如，目前流行的P2P下载，就有BT、eMule等等，这些协议都有着不同的实现和特征，而且，为了反识别和限制，这些P2P协议都逐渐演变出随机端口、协议加密等手段，使得P2P应用的识别和管理更加困难。而对于防攻击IPS/IDS、防病毒Anti-virus等安全特性，则随着各种新的攻击方式、新病毒的不断出现，各种攻击和病毒检测的难度急剧加大。攻击特征库、病毒库的升级频率也变得更加频繁（从几年前的数周一次，到现在的一天数次）。

    应用层协议的复杂性和频繁更新，虽然不断丰富了互联网应用的发展，但是对于安全类产品来说却不是好消息。从信息产业的技术发展来看，越是稳定的协议，就越快会被“固化（ASIC）”。一旦把这些特性集成到芯片中，相关应用的性能就会得到极大提升，成本反而会下降。然而，定制ASIC的缺点就是功能一旦确定后，无法升级和扩展，同时开发周期比较长（1年以上）。面对如此丰富和善变的应用，几乎没有一个芯片厂家能够在芯片中集成这些复杂的安全特性，ASIC的开发周期也很难跟上应用的更新速度。这样一来，高端的安全产品硬件平台，在系统方案的设计上往往捉襟见肘，给系统设计带来很大挑战。

    最后，高可靠性是安全产品走向高端的基石。安全产品在网络部署的位置越高，其可靠性的指标就越重要。高端安全产品一般都处于比较关键的网络位置，如局域网的上行出口、重要的服务器前面等等，其产品的可靠性指标对于网络的正常运行具有非常重要的意义。因此在产品设计时必须要在电源冗余、风扇冗余、双机热备、二层回退bypass等方面进行充分的考虑，确保系统的可用性指标。

归结起来，“高性能”“高可靠”的“深度”报文处理，是当今高端安全产品发展最显著的技术特点。

安全产品走向高端的主战场

    目前，对于高端安全的需求主要集中在金融、电信、大型高校等用户群体。这部分群体网络建设发展速度较快，用户应用和网络流量较大，自身或者国家政策法规对于其网络的安全性有较高要求，同时具有较好的安全投入能力（毕竟动辄几十上百万的设备投入对于普通用户来说可能无法承受）。当然，上述用户对于高端安全产品的需求和应用场景还是有一些细微的差异的。

    电信用户――国内电信IDC机房数据流量小的有1Gbps、大的超过10Gbps，高端防火墙作为出口防护设备正好可以大显身手。同时，从2007年开始，电信运营商开始强调IDC安全增值服务，从2008年开始，安全区域划分和安全等级保护也逐渐被运营商纳入日程，这些需求都使得高端防火墙的身影在越来越多的电信市场出现。

    金融用户――2007年，银行的“数据大集中运动”搞得轰轰烈烈，防火墙和IPS是银行数据中心安全的基本屏障，传统设备的处理性能肯定无法满足需求，面临高端产品的升级换代。

    高校用户――视频会议、多媒体网络教学、VOD点播、数字图书馆及科研等应用在高校的普及和推广，使万兆以太网在高校中的应用走在了其他行业应用的前列。伴随着网络的升级改造，校园网出口的防火墙也面临着升级换代。同时，由于高校宿舍网络程度化高，上网用户数量庞大，用户网络应用情况复杂，所以上网行为监控对于高校安全建设也是必不可少的一个重要环节。

http://www.h3c.com.cn/res/200904/15/20090415_748742_image001_631271_30008_0.png

    除了以上几个行业用户外，一些门户网站、电力系统等也有高端安全产品的需求。

群雄逐鹿的高端安全舞台

    可以看出，用户需求的发展给高端安全提供了广阔的舞台。从2007年开始，一些安全厂商开始推出高端的防火墙、IPS甚至UTM产品。一时间，高端安全成为安全行业时尚的代名词，高端安全也成为了众多安全厂商追逐的焦点。

    在具体实施过程中，无论是用户还是厂商，都需要整体着眼，从核心到汇聚，从终端到桌面，层层部署，面面俱到。因为在先进的网络环境下，仅仅依靠防火墙/网关设备以及防病毒软件等单一手段、单一设备已经无法应对网络安全问题。安全威胁来自于网络的各个层面，如不加以解决，将给用户的网络带来无处不在的风险。 

附：H3C的高端安全之路

    面对新时代网络安全的挑战，H3C充分了解市场对网络安全的需求，从为用户构建一个高效、可用、智能的安全网络的角度出发，提出了以“万全之策”为核心的网络安全建设方法。该方法是在高性能的网络安全架构上，以先进的产品和技术为用户提供完整的端到端安全解决方案，并通过应用优化与加速提高网络效率，实现真正灵活、可定制的网络安全策略。

    从安全设备层面上来看，H3C围绕iSPN（intelligent Safe Pervasive Network，智能安全渗透网络）核心战略，推出包括防火墙、IPS、负载均衡、网络行为审计、端点准入防御等业界最完整的安全产品线，并逐步形成了覆盖计算安全、通信安全及数据安全的端到端安全解决方案。H3C还成立了专业的安全咨询评估团队和安全应急服务团队，帮助用户进行针对性的整网安全方案设计和提供专业的安全应急服务。尤其值得一提的是，H3C立足万兆，不仅最先将防火墙、IPS、负载均衡、网络行为审计等产品全面进入万兆化，还推出业界最领先的万兆防火墙模块和40G超万兆防火墙，充分展示了H3C对安全的深刻理解和积极投入，引领了万兆超万兆网络时代的安全发展的潮流。