IT安全运维策略：高效与低费用兼得

　　2009年各行各业为了安全度过席卷全球的金融危机，纷纷精兵简政以期望提高工作效率，减少不必要的开支与费用，最大化地使用现有资源。一方面，2009年IT预算会被大多数企事业单位进一步削减，信息安全方面的投入也势必减少;另一方面，2009年网络对各行各业的重要性也将进一步提升，网络购物、视频会议、VoIP、网上银行、远程教育、网上远程支持等高效率低费用的网络应用越来越普及。

　　同时各种木马病毒、黑客入侵、DDOS攻击等网络威胁也不会因为经济寒冬就偃旗息鼓，信息安全形势依然严峻。如何在这段非常时期内，既保障IT建设的信息安全又能够省钱呢?联想网御有着自己的理解与看法。

　　“现在不出差了，公司的很多会议都改用以视频会议形式召开了。”小赵是某跨国公司的亚太部市场部人员，由于过去经常要出席很多会议使其成为“飞人”一族。为了抵御经济寒潮，公司削减了差旅预算，远程会议系统成为该公司的必需。

　　张先生是某IT公司的老总，今年年初公司计划投资几十万元租用网络视频会议设备，以减少商务会议差旅的支出。

　　上述两家公司的做法是很多企业面对经济海潮应对方法的代表。这些做法的共同特点就是利用网络技术来消减公司日程运营费用。

　　对网络带宽的依赖成为这些方法的另一特点。高网络带宽成为现在企业的业务需求。

　　从IT技术发展来看，互联网的不断成熟以及IP技术的不断发展，为Internet发展带来勃勃生机。IP从支持多种应用，到不断增加新业务和提供更优质的网络服务，已经为人们的网上生活带来更多的选择。语音、视频等多媒体数据在IP上的成熟应用，以及IP over SDH、IP over WDM、IP over Optical等宽带IP技术的发展，不但吸引更多的用户，也使得IP技术逐渐成为网络技术发展的大势所趋。

　　思科从目前IP应用的发展状况来看，语音、数据、视频的“三网合一”，可以利用ATM、IP技术等实现。但在实施效果、系统运行性能、网络可维护性、可扩展性等方面，IP技术独领风骚。基于IP技术的园区网络可以使改造后的深圳高新园区网具备开展集数据、语音、视频于一体的应用系统，并可方便实现未来一体化通讯网络。园区可以利用它为区内企业提供高品质的多媒体整合通信质量，实现统一的客户端服务、软硬件基础结构、目录服务、呼叫处理、语音/数据应用、管理、服务及支持等多种服务，并为自身提供新一代业务作好准备。

　　而过去很多企业用户，在进行网络安全设备采购时，常常遵循“性能不用太高，够用就行”的原则，认为采购性能中档的产品性价比高、经济实惠，但没有注意到网络安全产品的低性能往往会降低网络利用率。

　　由于安全设备需要针对网络数据做更多的安全检查，所以与交换机、路由器等网络设备相比，处理性能特别是64字节小包吞吐率、新建连接速率等几个关键指标会有较大降低，有些中端的千兆防火墙虽然1500字节报文的吞吐率可以到达千兆，但64字节报文的吞吐率只有200-300Mbps，新建连接也只有1-3万/秒。

　　这样低性能的设备在网络中使用，上网高峰期网页常常打不开，远程教育、视频会议频频出现停顿延迟，下载速率低，网络并发用户数上不去，此时用户往往认为是带宽不足，需要租用新的线路，而没有注意到可能瓶颈在安全产品上。在同样的网络带宽环境中，更高性能的安全产品可以使得网络带宽利用率大幅提升，上网速度变快了，就可推迟或者无需扩展宽带线路，因此可以节省大量带宽租用费用。

　　联想网御KingGuard系列安全网关采用新一代多核架构，吞吐能力可到万兆，新建连接处理能力更是高达20万/秒，是普通千兆防火墙的10倍，在相同出口带宽条件下，可以比普通千兆防火墙更充分的利用网络的带宽资源，提高网络利用率就是为用户省钱。

　　一般情况下，用户在构建信息中心时，由于部门众多，为了保障每个部门的安全，需要为每个部门部署安全产品，但如果每个部门都采用独立的安全防护产品，就需要采购众多的设备，这将会是一笔不小的开支。

　　很多企业使用多台安全设备的一个原因是产品单台性能很难满足用户的需求，为了解决这一矛盾，多数用户均采用多台级联的方法。多核的出现无疑为这些客户提供了更好的解决方法。

　　正如Sonicwall北方区产品经理蔡永生所言：“多核处理器的设计和实现也展示了其高效性。例如，在SonicWALL多核产品中，高效兼具最优化的设计使得芯片具有低能耗和小芯片面积的特性。因此，这些处理器集成了大量专用的硬件加速，允许在单个处理器上集成多达 16 个核，从而可提供最佳的性能，现实生活中的大量应用就是其最好的证明。多核处理器技术让SonicWALL能够开发出高性能的网络安全设备，这种设备与使用通用处理器和安全协作处理器的解决方案相比可减少大约30%的功耗，而网速相差无几。SonicWALL多核处理器设备(目前最多可采用1 个内核，还为未来的重复利用设计了更多的内核空间)提供高性能并行数据包处理，集成了正常操作过程中具 有较低功耗和低时频运行的安全协作处理器。”

　　此外，国内安全厂商联想网御安全网关KingGuard 8000，电信级2U机箱，最多可扩展至24个千兆接口，吞吐性能>20Gbps，相当于10台普通的千兆防火墙，部署一台KingGuard 8000就相当于部署10台千兆防火墙，配置与管理都将变得更加简单，同时单台KingGuard 8000的价格远远低于10台普通千兆防火墙。

　　若考虑到网络单点故障的问题，可以采用双机热备的方案，同时部署两台KingGuard 8000，这样既保证各个部门的信息安全，也可以保证网络的冗余性，不出现单点故障。联想网御高性能安全网关KingGuard可以有效降低用户信息安全建设的投入，为用户省钱。

　　如果说应用服务器是信息安全建设中的“电老虎”，作为保障网络信息安全的信息安全产品，其电力消耗的能力也不能小觑。信息安全产品，如防火墙、VPN等产品通常需要7×24小时不间断运行，无法采用关机、休眠等方式进行节电，否则会造成网络中断。而电力消耗是IT日常运营成本中非常重要的部分，降低电力消耗可以有效的降低运营成本。

　　天融信也曾给用户们算了一笔经济帐：普通安全设备一般3-8个端口，如果按照一台标准的1U设备耗电400W计算， 8台设备将耗能32,000W，而天融信绿色安全平台能够代替以前的8台设备，这样可以节省大约21,000度电。同时，每消耗一度电的设备需要两度电的制冷功耗，所以在制冷方面又能节省42,000度电。目前商业用电收费标准多为1度电1元钱，按此计算，就可以节省63,000元。

　　据联想网御产品负责人介绍：“我们一直关注网络安全设备的节能技术，在不断提升产品性能的同时，努力降低安全设备的电力消耗。2008年12月底，国家工业和信息化部发布了《电子信息节能技术开发与应用方案推荐目录》，联想网御KingGuard凭借《安全网关节能技术》成功进入《电子信息节能技术开发与应用方案推荐目录》，成为唯一一家进入该推荐目录的国内信息安全厂商。”

　　联想网御的绿色节能技术主要包括：集多项安全功能与一身、采用低功耗高性能的多核CPU、支持直流供电方式和自主研发的Power-safe节能技术。根据测算，联想网御KingGuard 8000 单机性能可达20Gbps，但其实际功耗却只有135W，比普通单台IA架构的千兆防火墙350W还低了61%。若一台KingGuard 8000替代10台普通IA架构的千兆防火墙，不考虑节约空调制冷的费用，只考虑设备自身电力消耗，一年就可节约29,477度电，按上述电费标准计算，一年可节约29,477元电费。若再加上由此节省的机房空调用电费用的话，其总节省量将达到88,431元。

　　真是不算不知道，一算下一跳。