太一星晨:淺析多業務網關的歷史和演進
- 發佈時間:2015-04-02 17:35:27 來源:中國經濟網 責任編輯:書海
張總是一家上市公司的CIO,最近正在主持新數據中心的建設工作。在討論出口位置的網關建設方案時,張總在兩個方案之間犯愁了:
方案一:用A公司的防火牆 + B公司的WAF + C公司的應用交付 + D公司的上網行為管理組建出口網路。可這麼多公司的設備不但採購成本高,維護起來還麻煩,故障定位又複雜,而且後續升級也很困難。
方案二:乾脆選擇一家公司的多業務網關産品解決需求?可市場上根本不存在一款可以滿足各個模組專業技術要求的多業務網關。目前各個廠商的多業務網關最多只能提供5-10個左右的功能模組,在專業性和功能覆蓋度上無法滿足需求。
其實,犯愁的遠遠不止張總一個人,在業內,各類廠商從十多年前就開始嘗試解決用戶的上述需求。
最初,是用戶需要什麼功能廠商就加什麼功能。例如2000年前後,網路安全領域的UTM和網路交換領域的多業務交換機/路由器就是這種思路的産物。但精明的用戶很快發現,簡單功能疊加的方式並不能解決問題:一方面簡單的功能疊加後性能難以滿足需求;另一方面,對於插板式多業務交換機而言,其網路吞吐性能和4-7層多業務板卡性能之間存在極大差異,導致成本居高不下,實際組網應用困難。
從産品技術層面來説,上述兩點確實很難徹底解決。不過,廠商們還是努力從行銷和技術層面不斷改進——這就是大概從2007年開始出現的強調融合、強調統一的多業務網關思路。典型的如Gartner所推崇的下一代防火牆NGFW,在NGFW産品定義中明確表示要實現統一引擎;再比如某些廠商宣稱的Synthesis架構或所謂的L2-L7層融合作業系統,都是先從行銷層面消除疊加式的不良影響,再從技術層面嘗試改進。
但是,這種融合式的架構同樣無法滿足用戶需求。
最主要的,融合式方案是絕對的緊耦合性和封閉性,在UTM時代還能借用其他專業的配套引擎(例如卡巴斯基殺毒引擎),而融合式方案必須廠商自行解決問題,但實際上不可能存在各個領域各個模組都精通的廠家,這就造成了功能模組的專業性有所下降。其次,融合式方案的敏捷性無法滿足這個快速變化時代,用戶需求只能依賴於某個廠商的開發計劃,這與業務應用快速演進的狀況形成了鮮明反差。最後,就是融合性方案的封閉性不利於用戶的供應商管理,我買了你的産品,就只能選擇你獨家的模組授權或業務板卡,而這是大中型行業用戶要極力避免的情況。
從上面的情況可以看到,目前的多業務網關特別是著眼于解決L4-L7層業務需求的多業務網關,其技術架構離用戶需求還有比較大的差距。現實中,大中型用戶也基本上選擇多臺專業設備串糖葫蘆部署的方案——雖然貴了點,雖然管理和演進麻煩了點,但起碼專業性有保證,也不會被制約。
那麼,問題該如何解決呢?就讓我們從用戶的角度,暢想一下多業務網關的演進方向吧!
開放性:用戶需要的網關是自己定義的多業務網關而不是廠商定義的。張總需要防火牆+應用交付,李總喜歡NGFW + 負載均衡 + 抗拒絕服務攻擊,陳總覺得DLP+數據庫審計+WAF+堡壘機才是王道。但現實中,單一廠商永遠不可能滿足用戶的全部需求。因此,多業務網關的未來發展趨勢必然是開放的,在多業務網關上用戶可以選擇並實現任意廠商的專業功能。
敏捷性:比爾蓋茨説,“微軟離破産永遠只有18個月”。由此可見,在這個飛速發展的時代,業務、需求、技術的變遷可以用月、周甚至天來衡量。作為網路關鍵節點的多業務網關也必須提供匹配業務需求的敏捷性,這種敏捷性包括與業務流量匹配的性能可管理和與業務需求匹配的功能可管理。
高性能:在滿足開放性和敏捷性的前提下,多業務網關至少得能處理數十個G流量才能滿足大型行業客戶需求。
易部署:包括功能模組的部署和多業務網關自己的部署,必須足夠簡單方便易管理
只有綜合了以上特性的平臺,才是真正能為各CIO排憂解難的好平臺,才符合未來多業務網關的發展趨勢!