Web安全遭遇“后多核”时代

　　当前，Web安全无疑是安全领域最热的话题，各种新技术也频频应用于此。然而，不少用户在实际使用中却遭遇了一系列新的挑战，多核、防病毒等技术给用户带来了意想不到的困扰。Web安全怎么了?

　　安全“宕机门”

　　也许，没有一种技术能像Web安全一样令用户如此痴迷，同样，也没有一种产品像Web安全网关一样宕机频繁，给用户带来烦恼。可悲的是，越是高端的设备，越是将多核处理器、防病毒功能进行集成的设备，越会面临类似困境。

　　国庆期间，记者和一位不愿意透露姓名的四川某大型企业IT经理聊起过Web安全，这位经理对此面露难色。原来他们公司正在对一款国产知名品牌的万兆Web安全网关进行测试，据介绍，该产品一直处于相当不稳定的状态，有专家分析产品内部的W矩阵式并行计算系统极不稳定，基本无法驾驭多核处理器。直接的后果是，此设备在一个多月时间内，宕机超过六次。

　　该IT经理苦笑道：“该设备是今年7月份生产的，号称32个核，4个核做控制，28个核做数据转发。然而这个设备在带200-300M下行流量的时候，挂掉过;在带700-800M下行流量的时候，挂掉过;在带1.5G的下行流量的时候，挂掉过;甚至在删除某个接口的IP地址的时候，都曾经挂掉。”

　　为此，这位可怜的IT经理不得不在该设备的Console口一直连接专用的PC，以便观察其Console输出。据悉，该安全网关的Console输出，经常会出现报警，报告“某个Core不够处理”。极端情况下，一次接连有7-8个核报错。事实上，超过3个核报错的时候，设备已经无法正常处理网络流量了。

　　毫无疑问，该设备处于一种不稳定的状态。用户的测试显示，设备双向小包是2G左右。在这种状态下，设备目前只能实现NAT功能，还没有启用像其宣称的IPSec VPN、IPS、反病毒、流量管理、SSL VPN等功能。

　　祸起多核

　　记者在制作本报36期《Web防御与云安全》专题时，在采访中就曾发现类似的问题。从实际情况看，国内厂商的多核Web安全网关设备表现相对“疲软”，因此在那次专题中也只好“割爱”。然而，类似事件对用户的伤害却是致命的。

　　为了避免用户对Web安全失去信心，记者在国庆期间带着问题特意拜访了Hillstone副总裁赵彦利先生。他向记者介绍，目前基于多核的网络安全产品(Web安全网关、防火墙、UTM等)，采用的多核CPU不外乎都是基于以下两个厂商：第一，Cavium的多核MIPS64专用处理器，最大16核，纯粹的多核;第二，RMI的多线程处理器，拥有8个核，每个核4个线程，共32个线程，是多核多线程。

　　资料显示，多核处理器中每个核心拥有独立的执行单元和寄存器等资源，可以真正并发执行多项任务，其效率比多线程技术高得多。对高端Web安全网关而言，选择纯粹的多核处理器是确保稳定高效的条件之一。

　　另外，他也分析，之所以会出现用户所担心问题，还有一个关键原因，就是Web安全网关除了在硬件上采用多核CPU，同时也对设备的软件体系架构提出了更高的要求，安全网关内置的操作系统必须能够充分处理核内核间任务的分工、调度等棘手问题。

　　换句话说，X86、NP和多核CPU平台差异化大，无法采用统一的软件平台。多核平台需要更改原单核的转发机制，因此不但需要优化底层代码也需要优化上层的协议代码，如QoS、路由协议等。

　　不难看出，当前的挑战已经不是Web安全网关对多核的应用问题，而是过渡到一个更加艰难的“后多核”时代----需要Web安全网关从硬件到软件去全方位支持多核CPU----这也是当前最具应用价值的“并行多核处理器控制技术”。

　　别忽视AV

　　事实上，开启“后多核”时代的另一个标志，就是Web安全网关与反病毒技术的整合。记者在本报35期《当Web安全成为难以实现的梦想》一文中专门拜访过新华人寿、泰康人寿的用户，大家对于反病毒与Web安全网关的结合需求迫切。

　　不过赵彦利也透露说，将Web安全网关与反病毒结合并不容易，特别是在多核环境中。因为这样的整合需要安全厂商开发基于多核的“并行流病毒扫描引擎”，只有这样才能在实现千兆级别病毒扫描性能的同时，全面查杀病毒、蠕虫、木马、恶意软件、间谍软件和插件。这对于一些还未将多核技术发挥好的厂商来说，无异于望梅止渴。

　　当然，用户的期待并非孔穴来风。记者看来，支持HTTP、FTP、SMTP、POP3和IMAP协议的具备高速反病毒能力的Web安全网关将是“后多核”时代产业取得突破的关键。因为只有网关杀毒才能方便地支持透明、路由、混合模式部署，而且可以轻松实现中断传输会话、杀毒、日志记录等多种处理机制。毕竟在某些行业中，高性能AV与Web安全需求极大，而这也将筑起“后多核”时代Web安全的精髓。