SonicWall北方区技术经理蔡永生认为,由于UTM的环境影响,很可能多内核的安全处理器会更加有优势。因为为安全应用而设计的多内核安全处理器比FPGA有更大的灵活性。只要通过软件升级,安全设备可以不断地更新以防御最新的安全威胁,而且性能不比PFGA差。在此基础上,利用一套高性能的DPI深度包检测引擎,实现病毒,入侵和间谍软件的扫描。
另外,他始终认为,对于大量部署的设备而言,让客户升级FPGA是有难度的,而且存在烧写限制。不过在这一点上,TippingPoint指出其数字疫苗方式(类似Signature)非常便于用户下载、升级,且每周一次的疫苗发布不会突破FPGA的寿命。
作为近两年在安全领域突飞猛进的本土企业代表,神州数码网络的安全技术经理王景辉认为,在不同的需求和不同的环境下,安全厂商会根据自己的产品定位来选择相应的技术手段。不过对于不同的技术本身,他觉得也许不存在好与坏的差异。
据悉,在神州数码网络最新推出的UTM产品中,采用的
也是X86架构,其核心在于保证性能与多功能的前提下,实现最丰富的应用。他认为对于
安全产品,特别是具有内容控制的产品,必须提供灵活与使用便利的能力,同时还要为用户提供优秀的性价比。在目前情况下,FPGA的高成本与低功能集成特征,无法满足UTM的需要。
同时,他也指出,目前国内市场上的UTM产品主要集中在中低端的100M左右产品,在这个吞吐率下,使用X86架构不会带来瓶颈,相反还可以提供更加灵活的部署方案。而如果今后随着双核技术以及CPU技术的进一步发展,加上对吞吐率要求的提高,不排除会在相关产品中加入FPGA的可能性,但这还是要看市场的发展。
另外,神州数码网络的产品经理杨雁群表示,利用X86架构不仅可以获得高功能集成,而且可以利用软件确保与周围设备的联动配合。目前神州数码网络打算将UTM产品部署到自己的全网安全解决方案当中,以便获得最佳的安全性与易用性。
作为在众多安全领域都有涉足的Juniper,其产品线涵盖了防火墙、VPN、IPS/IDS、UTM等多个领域,而在不同的产品中,CPU、NP、ASIC、FPGA也都有使用。
Juniper技术经理王卫对于不同技术在安全产品中的应用看得十分清楚,他觉得各种技术、体系架构就像一个个名词,本身没有优劣之分,只有在不同环境下,不同产品中,采用最适合技术的选择。
比如高端防火墙的吞吐率可以达到30G,而在这个模式下,没有用户会去考虑其防病毒的特点,因此用ASIC来实现无疑是合适的。如果用X86架构做,也许满满一机箱的CPU也能做到,但是成本、功耗都是大问题。同样的道理,如果仅仅是一款百兆防火墙,纯粹的CPU可以获得最佳的性价比。
但他觉得目前争论的焦点在于百兆防火墙和千兆防火墙的入口,多种技术会有交叉。因此出现CPU+NP+ASIC的架构就不足以为怪。而FPGA也是同样的道理,对于千兆以上,万兆以下的产品,FPGA有可能,但前提是成本。其实很多高端产品在设计模拟阶段用FPGA,但是固定下来后会烧成ASIC。不过到达万兆甚至更高,则很难说了。
总而言之,他觉得在安全产品中,变化可能性较高的产品用FPGA比较合适,而UTM则基本与FPGA无缘,因为相对来说,这么多年来查病毒就是CPU做的比较好。
最后,王卫提出了一个非常有意思的观点:可编程器件的界限会越来越模糊,ASIC已经可以编程,NP和FPGA更加加强了这方面的能力,未来可变化的能力各种体系都有,将来任何一种手段都可以实现灵活的能力。因此未来在体系结构选择中,依然会是:在什么环境下,什么吞吐能力下,选择最合适的技术。
百家争鸣的体系架构设计
Juniper
CPU、NP、ASIC、FPGA各种体系架构都有使用,认为安全产品可以分为100M、100M--1G、1G--10G、10G以上四个阶段,每个阶段的芯片选择与架构设计具有明显的特点。
神州数码
另一家具有全系列产品的网络厂商,希望借自身的全网安全方案将防火墙、VPN、IDS、UTM以及桌面保护系统进行整合,同时将在多种架构中进行最适合的取舍,确保整体安全方案的联动与优化。
SINFOR
在UTM与VPN中颇有实力的本土厂商,分别拥有X86架构和NP+ASIC架构两条线的产品,并对FPGA很感兴趣。
SonicWall
出色的防火墙及UTM厂商,对双核技术分析得很透彻,认为多内核安全处理器将会促使FPGA的杀手契约到期,同时拥有专利的DPI技术。
TipingPoint
业界公认的最强IPS制造商,唯一获得NSS评测金奖的IPS厂商,凭借在FPGA上的技术优势,取得了很大的轰动效应,据悉即将推出基于FPGA的万兆IPS。
WatchGuard
一家优秀的UTM厂商,而且一直表示将进军国内的高端应用市场,因此非常关注UTM在应用上的全功能性,有专利的ILS技术。