用PowerQUICCTM III MPC8572E设计防火墙/ VPN(07-100)

　　网络(包括广域网和局域网)在加速发展。网络用户希望响应时间越短越好。IT经理不想让联网设备成为流量的瓶颈，而且意识到只有增加安全措施才能解决问题。要成为市场接受的解决方案，外围网络安全设备必须具有同广域网一样的速度。

　　网络设计人员和经理逐渐意识到，仅仅外围设备防御还远远不够。便携PC和无线接入的使用增加了“内部攻击”的可能性。为了防御蠕虫或病毒在企业内外的传播，网络安全设备应部署在企业网络内部，甚至将它们融入LAN基础架构中。LAN速度通常高于WAN速度，因此LAN中部署的网络安全设备也需要更高的性能。

　　概括地说，网络安全具有以下明显趋势：

　　·应用程序内容安全

　　·更高集成度

　　·更快的速度

　　尽管出现了应用程序内容安全和更高集成度的趋势，但在大多数企业里，防火墙/VPN仍然是网络安全设备中最重要的。对于那些部署UTM或ISR的企业来说，防火墙/VPN功能是这些设备的基础，在这个基础上，可以增加其他一些应用程序内容安全功能。

　　厂商之痛和设计难题

　　传统的防火墙/VPN已经有了多年的历史。有意思的是，对大多数厂商来说，促使他们开发下一代防火墙/VPN解决方案的动力不仅仅在于不断降低成本、提高性能，还包括当前防火墙/VPN解决方案在防御应用层攻击方面的限制。即使新开发是由于非安全因素，如果不考虑内容安全的发展趋势，在新防火墙/VPN方面的研发投资仍只是一个权益之计。
　　
　　处理应用程序内容需要大量CPU资源。图3显示，用软件来执行“深度包监测”达不到所期望的线速。

　　随着环境的不断变化以及人们对内容安全、更高集成度和更高速度的关注，有些厂商开始考虑设计一款具有数据包和内容处理功能的新硬件平台，以最大限度地提高研发效率和缩短产品上市时间。根据装载的软件，该平台可以充当防火墙/VPN、IDS/IPS、防病毒/防垃圾邮件/内容过滤或ISR/UTM。而对于所有不同的网络安全产品来说，性能必须维持较高的水平，成本也不能提高。