Crossbeam作为整体安全解决方案提供商,也是全球唯一可以提供运营级UTM设备的厂商,于2008年10月23日,在北京举办了2008渠道英雄大会。与会期间,Crossbeam公司CMO(首席营销官)James L.Freeze先生和中国区总经理杨锐先生接受了51CTO记者的专访,并详细介绍了Crossbeam在高端安全网关领域的技术理念及在中国地区的发展战略。
近几年,越来越多的用户在信息安全采购中都把UTM(统一威胁管理)产品作为其采购重点,尤其是中小企业,更是把UTM设备作为节约成本,化繁为简的必购产品。早在2006年3月,IDC在其年度报告中就预测当年UTM市场增长率为24.9%;2007年3月,IDC的年度报告中对UTM实际增长率的统计数据为84.3%。从数据中不难看出,用户对UTM认可度在不断提升,这也从另一方面说明了UTM市场快速增长的事实。
独特的设计架构实现运营级UTM
很多人认为UTM的特点在于整合化,它以较低的成本满足了中小企业对信息处理安全的大部分需求,甚至有业内人事指出,UTM在中小企业才能发挥它采购维护成本低、功能多、整合性高、易于管理部署的优点。那么对性能和效能要求更高的大中型企业就无福消受UTM了么?
James先生认为事实并非如此,在他看来,市场上所谓“All-in-One”的UTM产品,是在其“单一功能的安全网关”产品上通过“软件”增加新的安全功能的方式实现的。如,产品原型是防火墙,但为了市场的需求,通过“软件升级”的方式,增加了额外的安全功能,也有原型是IPS,而通过“软件升级”增加了防火墙或防病毒功能的。他认为,这样的产品结构不可避免的存在一些缺陷:“单处理架构”的产品,无“并行处理”的能力。换句话说,当产品打开多个安全功能时,多种安全功能共用相同的系统资源,共享同样的系统内存,势必会存在严重的资源竞争,最终导致整个产品的性能将急剧下降。
Crossbeam中国区总经理杨锐先生认为,导致这一问题的根本原因在于,无论是其总线还是CPU,传统单一功能安全设备均是单处理结构。当更多的功能增加进来后,势必造成系统在处理上的拥塞。这就类似在道路交通中,在原本的一根车道的马路上,现在增加了多条流量来共享该车道,当一条流量通过时,其他流量就必须等待。这就造成了整体系统性能的严重下降。
此外,杨锐先生强调,在这些安全产品中,无论防火墙、IDS/IPS、防病毒、邮件安全等功能,通常均采用自己的安全引擎。而在安全应用领域,通常某个厂家的技术实力只在一个方面突出,而其他的则不是。用他的话讲,一个厂家也许在防火墙上技术较有特色,但未必在防病毒、IDS/IPS等方面有显著优势,更谈不上媲美这些领域的专业厂商。在51CTO记者看来,杨锐先生的分析也不无道理。换句话说,如果对性能及产品设备的安全性没有较高的需求时, “单应用多功能”的UTM产品是适合的;而当对UTM性能及安全功能有更高的需求时,这样的产品就不适合了。
据了解,正是考虑到了上述UTM单一处理架构带来性能下降的问题,Crossbeam 的核心产品:X 系列高端硬件安全网关产品,包括 X45、X40及X80,全部采用了机架交换式模块化并行处理的结构,从而避免了上述问题的出现;并且,Crossbeam X系列高端安全网关产品的每个模块均可运行独立的安全应用系统,包括Check Point的防火墙系统、IBM ISS的IDS/IPS系统、趋势科技的防病毒系统、Websense的企业员工上网行为控制系统,以及数据库安全审计系统等,而每一种应用均是该领域内最佳的安全应用。从UTM应用方面来看,Crossbeam X系列高端UTM网关产品独特的设计架构,刚好满足对性能和效能要求较高的大中型企业用户的实际需求。
独特的技术理念成就运营级UTM
实际上,市场上有许多厂商,如Cisco、Juniper、Nokia、Fortine等,都提供UTM产品,这些产品也能够同时提供包括防火墙、防病毒或IPS等在内的多种安全功能。那么,Crossbeam的X系列高端硬件安全网关产品和这些UTM到底有哪些不一样的地方呢?
据James介绍,这些UTM产品大多存在“安全功能的资源竞争”问题。他认为,由于所有的安全模块均运行在同一系统资源平台上,并且没有“安全数据调度”的能力,因此,各种安全功能竞争共享系统资源,一些特定的非常消耗系统资源的安全应用,如防病毒,将消耗掉大量的系统资源。其实,整个UTM设备可以提供的最大吞吐量就是性能最低的安全模块的性能。他给51CTO记者举了一个例子,如果UTM产品防病毒的性能是300Mbps,即使其防火墙吞吐量在4Gbps,其整个产品的吞吐量最大也只有300Mbps。而Crossbeam X 系列设备可以提供运营商级别的高性能。如对于防火墙,每块安全应用处理模块APM可提供最高8Gbps的吞吐量、200万的并发连接数以及9万的每秒新建连接数;而且每增加一块APM,整个设备的性能以接近线性的方式提高。
此外,很多UTM产品都采用了单处理架构,意思是无论什么样的数据流,在UTM产品中均“线性的”穿过“所有”打开的安全功能,即使这个数据流不需要这样的检查。如,当UTM产品的防HTTP病毒功能打开时,即使当前的数据流是视频数据,不存在感染HTTP病毒的可能,但这些视频数据仍然“必须”穿过UTM产品的防HTTP病毒功能模块。
在James看来,这显然是没有必要的。事实上,我们很清楚的知道,网络中会存在许多不同种类的数据流量,不同的应用,不同的网段,不同的用户。而每种不同的数据类型、应用、网段、用户,均有不同的安全需求,甚至同一种数据流进出的方向的不同,就会有不同的安全需求。而Crossbeam认为,用户访问Web时,HTTP应用的数据流进出的安全需求就是不同的。从用户网络到外部Internet的HTTP数据流需要检查控制其URL过滤(检查控制是否访问了合法的站点)、IPS、防火墙等安全应用;而从Internet回来的HTTP流量则不需要URL过滤,但会需要防病毒的检查控制(因为Internet是不安全的网络)。换句话说,Email流量和HTTP的流量显然需要不同的安全检查。
由此可见,James的言外之意是必须需要网络安全系统能够提供这样的功能,即可以根据数据流类型、用户源地址、用户访问目的地址、进出方向、时间段等,定义配置不同的安全策略,启动施加不同的安全检查控制。而不用对所有的数据流都施加相同的安全检查。在51CTO记者看来,这显然是有一定道理的。而Crossbeam公司正是考虑到了用户上述的实际需求,提供了“多线程并行处理”高端多功能安全网关,并且通过其专利的X-Stream技术实现“数据流的安全调度”。单从技术方面来看,Crossbeam的高端安全网关产品与市场上的UTM产品本质上有根本性的不同,主要体现在以下两个技术特点上:
◆全硬件化并行处理
据了解,在Crossbeam X系列产品上的各个安全引擎,均运行在独立的APM模块上。每个APM模块均具有自己独立的中央处理器、内存、总线等,每块APM上的应用均独享该APM上的系统资源,完全不会影响到其他安全引擎的运行。这样,在一台Crossbeam的X系列设备中,就同时提供了多个CPU、多个内存、多个总线,并且全部全硬件化并行化处理,大大提高了系统的性能、效率及可靠性。
同时,APM 可多块实现负载分担,并满足超高性能的需求。如可配置 3 块 APM 模块同时提供 Check Point 防火墙功能,这 3块 APM 实现自动负载均衡。同样虚拟防火墙、防病毒、IDS/IPS、内容安全等均可实现多 APM 的负载均衡,而不需要额外购买新的负载均衡设备。
◆数据流的安全调度
除了上述技术特点外,51CTO记者还了解到,通过Crossbeam专利的X-Stream技术,可以根据“实际安全的需求”,在一台Crossbeam X系列设备内实现调度数据流。意思是,安全管理员可以根据需求来决定某类型数据流需要穿过哪些或哪个安全功能板卡的检查,也可以控制数据流穿过各个安全功能板卡的顺序;数据流可以串行发送(如从防火墙到防病毒,到URL过滤器再到防火墙),也可以并行发送(即同时发给多个安全功能板卡)。进出系统的数据流可以根据实际需求来进行不同的检查;不同的IP地址或用户也可以有不同的安全板卡组合顺序。这样,就可以以任意顺序组合各种安全板卡。
毫无疑问,这样的技术特点完全可以满足一些中、高端企业用户的实际需求,可以说,这是是专门为综合安全应用所设计的高端专用硬件产品。在51CTO记者看来,Crossbeam公司高端安全网关产品最大的特点在于可以大幅简化安全结构,降低复杂性,降低管理的成本,从而使网络更加稳定。
据杨锐介绍,正是由于Crossbeam公司可以提供的高可扩展性、高可靠性、高性能以及多安全应用的高端UTM解决方案,才获得了中国企业用户越来越多的认可。而在James看来,中国用户数量飞速增长,让Crossbeam感到出乎意料。的确,像中国移动TD-SCDMA试验网、广东移动、上海电信、河北网通、深圳中兴通讯、吉林电力、一汽大众、上海浦东发展银行、中国证券交易中心这样的大型企业成为Crossbeam的客户,确实让设备商感到兴奋。
2009年即将到来,James表示,在中国市场Crossbeam将会持续加大研发、渠道等方面的投入,让更多的企业用户了解Crossbeam独特的技术理念,帮助中国企业用户解决更加实际的信息安全威胁及问题。
