用PowerQUICCTM III MPC8572E設(shè)計(jì)防火墻/ VPN(07-100)

　　網(wǎng)絡(luò)(包括廣域網(wǎng)和局域網(wǎng))在加速發(fā)展。網(wǎng)絡(luò)用戶希望響應(yīng)時(shí)間越短越好。IT經(jīng)理不想讓聯(lián)網(wǎng)設(shè)備成為流量的瓶頸，而且意識(shí)到只有增加安全措施才能解決問(wèn)題。要成為市場(chǎng)接受的解決方案，外圍網(wǎng)絡(luò)安全設(shè)備必須具有同廣域網(wǎng)一樣的速度。

　　網(wǎng)絡(luò)設(shè)計(jì)人員和經(jīng)理逐漸意識(shí)到，僅僅外圍設(shè)備防御還遠(yuǎn)遠(yuǎn)不夠。便攜PC和無(wú)線接入的使用增加了“內(nèi)部攻擊”的可能性。為了防御蠕蟲或病毒在企業(yè)內(nèi)外的傳播，網(wǎng)絡(luò)安全設(shè)備應(yīng)部署在企業(yè)網(wǎng)絡(luò)內(nèi)部，甚至將它們?nèi)谌隠AN基礎(chǔ)架構(gòu)中。LAN速度通常高于WAN速度，因此LAN中部署的網(wǎng)絡(luò)安全設(shè)備也需要更高的性能。

　　概括地說(shuō)，網(wǎng)絡(luò)安全具有以下明顯趨勢(shì)：

　　·應(yīng)用程序內(nèi)容安全

　　·更高集成度

　　·更快的速度

　　盡管出現(xiàn)了應(yīng)用程序內(nèi)容安全和更高集成度的趨勢(shì)，但在大多數(shù)企業(yè)里，防火墻/VPN仍然是網(wǎng)絡(luò)安全設(shè)備中最重要的。對(duì)于那些部署UTM或ISR的企業(yè)來(lái)說(shuō)，防火墻/VPN功能是這些設(shè)備的基礎(chǔ)，在這個(gè)基礎(chǔ)上，可以增加其他一些應(yīng)用程序內(nèi)容安全功能。

　　廠商之痛和設(shè)計(jì)難題

　　傳統(tǒng)的防火墻/VPN已經(jīng)有了多年的歷史。有意思的是，對(duì)大多數(shù)廠商來(lái)說(shuō)，促使他們開發(fā)下一代防火墻/VPN解決方案的動(dòng)力不僅僅在于不斷降低成本、提高性能，還包括當(dāng)前防火墻/VPN解決方案在防御應(yīng)用層攻擊方面的限制。即使新開發(fā)是由于非安全因素，如果不考慮內(nèi)容安全的發(fā)展趨勢(shì)，在新防火墻/VPN方面的研發(fā)投資仍只是一個(gè)權(quán)益之計(jì)。
　　
　　處理應(yīng)用程序內(nèi)容需要大量CPU資源。圖3顯示，用軟件來(lái)執(zhí)行“深度包監(jiān)測(cè)”達(dá)不到所期望的線速。

　　隨著環(huán)境的不斷變化以及人們對(duì)內(nèi)容安全、更高集成度和更高速度的關(guān)注，有些廠商開始考慮設(shè)計(jì)一款具有數(shù)據(jù)包和內(nèi)容處理功能的新硬件平臺(tái)，以最大限度地提高研發(fā)效率和縮短產(chǎn)品上市時(shí)間。根據(jù)裝載的軟件，該平臺(tái)可以充當(dāng)防火墻/VPN、IDS/IPS、防病毒/防垃圾郵件/內(nèi)容過(guò)濾或ISR/UTM。而對(duì)于所有不同的網(wǎng)絡(luò)安全產(chǎn)品來(lái)說(shuō)，性能必須維持較高的水平，成本也不能提高。