一位金融机构的网管员告诉记者，在打开安全网关的反病毒功能时，该类设备的性能几乎下降了一半以上。以赛门铁克sgs5460为例，当打开防病毒功能时性能同样将下降50%以上。赛门铁克的技术经理郭训平认为，赛门铁克已经预留了充分的性能空间，即使性能下降一半，也能部署在普通的千兆网络当中。郭训平建议用户在平时工作中，可以不必打开反病毒功能，这样该设备平时能很好地抵御漏洞型攻击，一旦网络上爆发新病毒，可以打开反病毒功能，做到及时查杀病毒，虽然此时效率有所下降，但能有效预防病毒进入网络。

    为了避免防病毒功能对性能的影响，也有一些厂商没有将防病毒功能集成到安全网关当中。例如，联想的网域精五安全网关将防火墙、ids等功能集成在一起。联想信息安全事业部总经理任增强告诉记者，防病毒和防火墙不宜整合在一起，几年前，联想曾经做过这种尝试，但是发现效果并不理想。

    为了提高性能和功能需求，安全厂商不断在硬件和软件上尝试提高。很多厂商利用asic和np技术来提升性能。但是asic和np虽然可以实现高性能，却不支持多种功能，所以目前的多功能安全网关还是以pc架构为主，好在cpu的运行速度在近年来有了突飞猛进的提高，可以支持多功能安全网关的处理要求。

    也有安全厂商尝试从技术和软件角度来提高多功能安全网关的性能。watchguard采用了一种被称为“智能分层安全引擎”的技术（intelligent layered security，ils），其设计目标是在不妨碍性能的同时，尽可能地提高安全保护力度。ils核心引擎设计了7个层次的结构，通过协作式、多层防御，在每个层中都可以任意增加几个不同的安全功能，而不会影响整个系统的运行效率。在juniper的安全网关中，我们同样可以发现这种设计思想。

    多功能是把“双刃剑”

    对于快速成长的企业来说，多种安全功能的整合是一把“双刃剑”，既能满足这类用户全面的安全需求，同时也制约着这部分用户安全需求的扩展。

    快速成长型企业不但需要一个能够有效控制成本的策略，而且需要能迅速实施和使用的方法，并且这种方法能够随着企业的不断成长而按需扩展。

    包括赛门铁克、juniper、fortinet、servgate等公司在内，均已经推出集成了防火墙、vpn、反病毒、内容过滤、反垃圾邮件等功能的产品，符合信息安全产品的发展趋势，也符合中小企业的安全需求。但是仅仅有集成还是不够的。

    一方面中小型企业很难将这些功能完全用上，必然会造成初期投资的浪费，另一方面由于安全技术、产品更新速度迅速，需要随时更新技术和攻击数据库，当中小企业因企业规模扩大而开始使用某些原来闲置的功能时，却发现这些技术已经过时了。对于安全网关来说，如果只考虑功能集成，而不考虑无缝的扩展性，这些设备的用户仍然面临投资被浪费的可能性。

    多功能安全网关必须解决可扩展性的问题。对于这一问题，许多厂商通过“许可证”来加以解决，允许用户有选择地购买相应的功能模块，在需要时购买并激活相应的功能。例如，许多厂商将安全网关的整合性与可扩展性结合在了一起，当需要增加一个新功能时，用户并不需要更换设备，也不需要增添新的软件，而只需一个软件许可证密钥，就能在同一台设备上激活大量的功能。

多功能安全网关一览（以公司名称字母为序）

厂商 产品 关键特性 网址

check point safe@office系列 提供无线接入、防火墙、反病毒、内容过滤等功能

ciphertrust ironmail信息安全平台 具有反垃圾邮件、反病毒/蠕虫、防攻击功能

fortinet fortigate系列 基于网络的防病毒、web内容过滤、防火墙、vpn和入侵检测

冠群金辰 kill过滤网关 实现电子邮件病毒过滤、内容过滤、垃圾邮件过滤和蠕虫过滤

华为3com quidway secpath 1000f防火墙 支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能

安氏 linktrust border protector 集防火墙、防病毒、vpn、防dos、内容过滤、流量整形、认证、审计、反垃圾邮件、ids等技术于一身

联想 网御"精五"安全网关 提供防火墙、入侵检测、内容过滤等功能

瑞星 瑞星防毒墙 提供防病毒、反垃圾邮件、防火墙、vpn等功能

sonicwall soho tzw 用于无线环境、集成了防火墙与vpn功能

symantec gateway security5400系列 集成了防火墙、vpn、入侵检测、防病毒和内容过滤功能

天融信 网络卫士过滤网关ngfg 保护服务器与工作站免受各类病毒、木马和垃圾邮件的干扰

watchguard wg firebox x系列 集成了vpn、防病毒和防垃圾邮件功能

    选购要点

    用户在选择多功能安全网关时，可以从以下几个方面加以考虑。

    ● 单点故障

    用户必须考虑多功能安全网关采取了哪些加固设计，如关键部件冗余、双机热备、失败恢复机制等，确保一种功能的崩溃不会造成整个系统的瘫痪。

    ● 处理能力

    了解设备是否采用了加速处理装置或加速算法，是否提供充分的性能来支撑众多安全应用。

    ● 整合程度

    如果多功能安全网关进行的整合不彻底的话，用户仍然没有摆脱繁重的维护和操作负担。

    ● 功能扩展

    对于成长型企业来说，应该选择可以扩展的设备，而不是固定的系统，以便能够不断升级和添加新的安全功能。

    ● 升级能力

    升级是否容易进行，是否影响其他功能，以及是否能够利用一个升级包升级所有的功能模块，都是用户需要考虑的现实问题。

    性能与功能需要权衡

    ■ 宋丽娜

    对于安全网关的技术方向，业界存在很多争论，大家一直为下一代防火墙到底是应该更突出功能集成还是更强调性能突破而争论不休。 (责任编辑：admin)