应用安全网关是一个广泛的概念，包括了高性能应用防火墙和安全路由器等产品。其技术发展经历了不少坎坷：性能的解决、功能的完善、用户的认知、厂商的专著，无一不在影响着其生存的道路。作为全球最具潜力的安全市场，中国市场的发展也决定了应用安全网关设备的命运。

　　作为NetScreen出来的老团队，Hillstone从诞生之初就汇集了业内顶尖的安全精英。事实上，据Hillstone总裁兼CEO童建先生介绍，公司目前120名员工均是来自NetScreen、Cisco、Juniper、Fortinet、 H3C的安全专家，通过与北极光创投的合作，Hillstone获得了发展的强大支撑，并且掌握了高端应用安全网关的技术优势。为此，记者专门邀请了童建先生和读者一起分享其中的安全经验。

　　一问思路：如何考察“应用安全”设备的性能？

　　答：由于应用安全网关类设备需要对企业的七层应用进行分析，因此此类产品的共同难题就是性能。企业用户如果需要购买此类产品，可以从以下五个方面进行筛选。

　　第一，吞吐量。吞吐量是指安全网关在不丢包的情况下能转发的最大网包数量。安全网关作为内外网之间的唯一数据通道，吞吐量的大小将直接影响到网络的整体性能。

　　第二，平均时延。应用安全网关的时延是指发送端口发出的网包经过防火墙后到接收端口收到该网包的时间间隔。防火墙的平均时延是防火墙存储转发性能的重要指标。

　　第三，最大并发连接数。最大TCP并发连接数体现了应用防火墙同时维护的网络连接数量，它反映了应用防火墙设备对于多个连接的访问控制能力和连接状态跟踪能力。

　　第四，最大新建连接速率。对应用防火墙而言，最大新建连接速率包括TCP和HTTP两部分。TCP主要衡量应用防火墙在单位时间内所能建立的TCP连接数量，即安全设备处理TCP三次握手的能力；而HTTP则反映了应用防火墙对于TCP连接关闭时的四次握手处理。

　　第五，网包分类性能。网包分类性能考察应用安全网关对每一个网流的第一个网包的处理能力。网包分类性能对应用安全网关的影响体现在多个方面。首先，对于合法流量，虽然安全设备通常为合法流量建立连接状态，并通过快速通道的精确匹配进行高速转发，但新建连接都需要对网流的首包进行分类，因此网包分类直接影响新建连接的速率；其次，对非法流量，由于应用安全设备通常不为非法流量建立连接状态，所以非法流量的网包即使属于同一网流，都需要进行分类，因此网包分类的性能也反映了应用安全网关处理大量非法流量的能力。

　　二问技术：如何从技术上平衡性能和稳定性？

　　答：对企业用户来说，一款产品的技术含量越高，其所处的位置与应用的重要性往往越强。因此越是与安全相关的产品，越要确保性能稳定可靠。根据经验，如果需要从技术上确保安全网关性能的稳定可靠，需要关注以下几个方面。

　　第一，注意架构变化。业内普遍认为，如果需要确保应用安全网关性能稳定可靠，首先要做的就是从架构设计入手。目前来看，将新一代高性能ASIC处理器、多核网络专用处理器、高速交换总线集成在一起，并且搭配专用的优化过的实时操作系统，构成了“新一代网络安全架构”最新的趋势。以采用这种架构的Hillstone应用防火墙为例，可以看出这种架构至少提供了“高速扫描、高性能DDoS抵抗与QoS控制、高端应用检测、大容量VPN、稳定且容易扩展”的能力。

　　据了解，当前新型的多核处理器和高性能ASIC芯片相配合，可以实现精密的基于用户和应用的流量控制。而基于应用的流量控制技术可以识别各种P2P及IM协议，配合时间表的使用，应用安全网关就可以帮助企业用户进行灵活的带宽分配。

　　第二，关注多核。目前，多达16核的64位网络专用多核并行处理器已经受到安全厂家的青睐，其运算能力超过24G OPS，这样就可以避免传统ASIC和NP安全系统会话创建能力和流量控制能力弱的弊病，从而可以为VPN和应用层内容安全功能提供强大的处理能力。

　　第三，关注操作系统。对应用安全网关而言，强健的专用实时操作系统是必不可少的。从业内的情况看，采用 64位实时并行操作系统已经成为主流。以Hillstone的StoneOS为例，可以看到这类操作系统的并行处理能力和模块化结构易于集成和扩展更多的安全功能。事实上，这类操作系统都会针对新一代多核处理器都会进行优化和安全加固，这就提高了系统处理效率、稳定性和安全性。

　　需要指出的是，并行多任务的处理机制为应用安全网关提供了极大的扩展空间，可以集成更多的安全功能。需要指出的是，新型的操作系统往往能够提供高性能的应用安全处理能力与更强的应用层抗攻击能力，这对于DDoS攻击具有很好的防御作用。

　　此外，对于应用安全网关来说，其实现的各种应用协议的分析与控制，都是需要专用的操作系统配合。比如通过对HTTP协议进行深度解析，就可以阻断Java Applet、ActiveX以及各种P2P、IM应用中夹带的敏感文件传输，保障企业用户终端的安全。当然，由于此类协议的动态性，也需要相应的操作系统及时升级，确保应用防御的效果。

　　三问市场：谁最需要“应用安全”？

　　答：此前提到应用安全，最容易让人联想到的就是一些关系国计民生的重点行业。比如电力行业，这两年来他们对应用安全网关的投入一直很大。毕竟这类行业对网络安全的要求更高，不过有趣的是，一般这类行业更加青睐国外的产品。这有一定的原因，有些国外产品有一定的技术领先性，其产品的易用性、可靠性也都有一定的特点。

　　不过需要指出的是，应用安全一直是一个对本地化要求非常高的领域，毕竟在国内中国的问题占得最多，国内的应用最流行，安全隐患也都是在国内的应用中更加突出。在这方面，国内厂商反而拥有优势。

　　以Hillstone的应用安全网关为例，不论是应用防火墙还是安全路由器，我们的产品在性能指标上都超越了国外同行。更为重要的是，Hillstone在本地化定制方面投入非常大，针对本地各种的特别的攻击和特别的应用，做了很多只有中国市场需要和重视的功能，比如针对QQ、巡雷、Vagaa的防护。作为海归创办的企业，Hillstone在硅谷和北京都设有研发中心，从而确保了对于服务支持的即时响应。相对而言，国外的安全厂商需求重点面向北美和欧洲，对中国的需求反应较为缓慢，甚至有的时候会故意忽略中国的需求，因为他觉得中国的市场没有那么重要。从这个意义上说，中国的安全厂商是有优势的。

　　另外需要关注的是，应用安全的高危地区，其实是中小企业市场。从各种第三方的调研报告可以看出，大量 SMB用户受制于资金、技术力量的限制，在安全上的投入非常有限，往往仅局限于反病毒产品或者VPN。对应用安全而言，本土厂商的产品覆盖更全面，有高端也有低端。像Hillstone就是从一张白纸开始做起，从硬件设计到销售支持，除了大型客户，我们还有很多小区宽带、网吧、SMB企业，这样的用户非常多，足以看到目前国内应用安全市场的巨大潜力。