在信息化高速发展的高科技时代,网络病毒肆虐,可以在极短的时间内传遍全球,并造成了无法估量的损失。根据来自国际计算机安全协会(简称ICSA)的统计,现在全球有99%以上的病毒是通过SMTP和HTTP协议进入用户的计算机的,因此目前绝大部分的病毒来源于Internet和外网,尤其是电子邮件和网页浏览。 防病毒网关,作为应对来自互联网的安全威胁一个重要网络设备,由此应运而生。
然而防病毒网关与传统的防火墙一类的网安设备不同。由于病毒以文件的形式在OSI模型的4-7层进行传播,这就要求一个强有力的内容检查系统来支持深度的包检查,对应用层的协议进行分析和过滤。对防病毒网关的另一个挑战来自网络带宽的爆发性增长。随着新的互联网应用的涌现,对网络带宽的需要不断增长。不但互联网基础架构的带宽在持续增长,随着千兆网络的价格不断的下降,局域网已经普遍运行在了千兆网络上。与此同时,10G的网络也开始不断的应用到局域网中。这些都对网络安全设备的性能提出了很高的要求。
正是由于性能的瓶颈,防病毒网关尽管诞生了很多年,但一直主要在中小型网络内部署,对于大型企业,行业用户的千兆网络无能为力,更不用说在运营商的网络内进行部署。
可喜的是,随着技术的不断发展,安维华公司将先进的芯片技术引入到了反病毒领域,推出了一系列基于芯片加速技术的防病毒网关,突破了内容安全的瓶颈,将防病毒网关的性能从几百兆bps一跃带入了千兆时代。
安维华公司自主研发的ASIC芯片固化了专利技术的内容检查算法,可以以更快的速度来运行内容检查算法,并在同时减轻CPU的负载。CPU与ASIC芯片之间配备同步机制,一起协同工作,都可以运行同样的算法,这样不会出现一方负载严重,另一方空闲的情况。
与ASIC芯片相配套的,是全新定制的硬件加速系统架构。安维华公司内容安全实验室所确认的多达10万中病毒特征库,都固化在硬件的加速系统中。在传统的软件+服务器架构中,病毒特征库保存在内存甚至硬盘中,而每次匹配操作,CPU都需要从内存或者硬盘中得到数据。在Intel的IA架构中,内存的访问是内容检查速度的一个重要瓶颈。而在基于ASIC芯片的系统中,硬件支持的特征库查找与ASIC芯片整合在一起,不但查找的速度是线性的,而且ASIC芯片不需要从内存中获取数据,消除了系统总线对速度的制约。
基于ASIC芯片的内容检查系统架构包括用来从事检查的系统和用来匹配的数字签名。本系统包括了专用的ASIC加速芯片和加固的Linux内核的系统软件。针对专门的应用设计的ASIC芯片,可以让系统在千兆级的以太网上进行复杂度很高的模式匹配操作而不必担心对网络的性能带来影响。基于硬件的算法可以加速对HTTP, FRP, SMTP和POP3这些协议的检查。含有病毒的文件可以被删除或者隔离起来以被进一步操作之需。
经过实验室测试,基于ASIC芯片的内容检查系统, 可以达到千兆线速的病毒扫描速度。性能的提升使得内容检查系统不再成为网络瓶颈,企业可以放心的将系统部署在网关的位置,而完全不必担心会对性能有所影响。而高性能也使得内容检查系统进入运营商市场成为可能。相信在不久的将来,随着运营商大规模的使用这样的内容安全产品,终端用户将不再为病毒、垃圾邮件、间谍软件等安全威胁烦恼,营造出一个和谐的网络世界,走进“芯”时代!