公司常常面对着收集安然方面的博弈，是要封锁收集降落系统机能表示，仍是要以牺牲对暗藏报复打击的预防为代价获得高机能?当今，做这些决定就更难了。利用层威胁愈来愈多地成为黑客和歹意软件的首选载体。这些报复打击常常假装成合法的流量，需要更深进和更复杂的查抄才能识破，这就需要更多的措置能力。与此同时，良多公司已开端过渡到10千兆(GB)以太网，要求收集安然解决方案必需跟上这些速度，以保持一个好的投资回报。

　　运行在Intel多核心措置器上的Check Point开放机能架构安然软件就是为了应对这类坚苦而研发的。这类解决方案在增加了吞吐量的同时，可以进步安然级别，使企业无需再面对在机能与安然之间做选择的坚苦。经由过程供给多层加快手艺，Check Point安然软件可以或许在统一平台上实现安然性和高机能。这与四核Intel至强措置器等进步前辈的手艺，可在高机能级别实现利用层安然。

　　一个恰到好处的均衡：高机能和安然性

　　呵护收集是一个持久的博弈，若何均衡用户拜候数据的等闲程度与免于蒙受收集犯法的安然呵护这个标题问题。用户希看即时地对数据、系统拜候和经由过程互联网语音和谈(VoIP)与同事伴侣沟通。而收集安然要求限制不受束缚的拜候，从而呵护数据和系统、确保它们不受病毒侵扰。新的律例和更高级别的安然意识，迫使企业从头核阅他们的安然策略，并加倍重视安然。跟着企业对安然愈来愈严格，用户拜候的程度凡是会降落。

　　复杂是，跟着安然节制的增加，安然东西在高负载环境下运行，从而降落了机能并间接影响了拜候级别。为了不当今很是进步前辈的报复打击和信息泄漏的风险，必需在流量颠末鸿沟网关时进行更高级别的查抄。当对信息进行更多的安然查抄时，为实施安然策略，安然东西本身面对着更大年夜的措置负荷，实际上减缓了安然查抄。

　　均衡信息拜候和安然性这个标题问题在增加带宽需乞降晋升利用层威胁程度两个关头范畴不言而喻。

　　增加的带宽需求

　　此刻，收集在从1GB到10GB以太网过渡。当然不会当即转化为在鸿沟增加吞吐量要求，可是对安然机能的要求将在整体上增加。除鸿沟现有的集成防火墙/VPN在大年夜型办公室和数据中间的网段分手和首要办事器分隔方面阐扬着首要感化。对内部来讲，在向10Gb过渡中要求防火墙可以或许按照需求扩大。

　　增加的利用层威胁

　　当今，良多报复打击都假装成合法利用层流量，从而可以或许威胁全部主机的利用：例如即时通信、聊天、对等收集和Web利用法度等。这些报复打击背后的启事是，传统的基于防火墙的安然存眷于收集层的拜候，可以禁止用户未经授权拜候特定的IP地址或收集。但当今黑客假装成可托的用户从而经由过程防火墙。从安然查抄的角度来看，谜底是进行更深层次的查抄，近似在防火墙长进行进侵防御，检测利用层威胁。但是，每个额外的安然查抄，就会降落防火墙实际措置流量的能力，减缓其可预期的机能。

　　增加安然机能要求的传统措置编制是开辟一个基于专用集成电路(ASIC)或其他专用硬件的封锁架构。这些特制设备有效措置特定任务的速度远远超越通用措置器。对某些安然任务，如收集地址转换(NAT)或根基包过滤，这些封锁系统供给了一个加快安然机能的简单编制。

　　封锁系统的标题问题是利用层威胁不是静态的，而是动态的，封锁式系统的设计其实不克不及充分应对这些类型的威胁。在初始建设后，基于ASIC的系统不克不及被从头编程，以应对新的报复打击。为了对这些新的报复打击，封锁系统将建设一个通用可编程的措置器，可是，它将禁止基于ASIC系统的加快功能。这会导致封锁系统的两个首要标题问题：

　　1.产生快和慢的查抄轨道

　　2.封锁的系统在时候防御方面掉往他们机能价值

　　开放式系统布局设计，基于多核高机能措置器的安然解决方案，可为预防现有和暗藏威胁供给所需的矫捷性和机能。明显不只是任何CPU都可以知足最尖刻的安然工作负荷，但最新的电源优化的四核Intel措置器可以完成任务。连络Check Point和Intel的安然和平台的专业常识，机构可以摆设世界一流的安然设备，知足下一代的安然挑战。

　　高机能环境的高安然性

　　安然设备基于Check Point的开放机能架构和四核Intel至强措置器5400系列正在改变安然机能的尺度。Check Point安然软件采取，由两个四核Intel措置器供给的多达8个CPU内核，可供给了将来呵护收集所需的机能空间。首要机能统计信息包含：

　　● 12 Gbps防火墙检测为最尖刻的企业环境供给数据中间级别速度。

　　● 5.3 Gbps进侵预防查抄利用默许设置，实现了安然性和机能之间的均衡。

　　●1.8 Gbps进侵预防查抄和严格呵护文件，在不牺牲机能的环境下供给最大年夜的安然。

　　为了达到这些速度，安然设备采取了Check Point开放机能架构，它包含含了CoreXL 多核加快、SecureXL安然加快器和ClusterXL 智能负载均衡三项专利手艺。这三项手艺共同感化周全加快安然检测，确保高机能和高安然性的安然查抄。

　　晋升解决方案生命周期的机能价值

　　安然系统的真正价值不在因而不是能有效地措置已知威胁，而是预防还没有呈现的暗藏威胁。Check Point开放机能架构的一个首要特点是在保持必然机能程度的同时，可以预防新的威胁。其经由过程利用常常利用的硬件手艺保护一个统一的查抄路径。当一种新型的报复打击呈现时，Check Point安然软件不会因为基于ASIC加快切换到一般用处措置器而??机能降落。相反，会将其视为现有的防御一样措置。这让客户可以确保机能与他们安然策略调剂保持一致。

　　比拟之下，基于ASIC的系统在一个新报复打击呈现后，流量开端被转移到较慢的查抄通道时开端掉往价值。在实践中，当第一次深进查抄设置开启从95%到99%的降落，就导致机能突然大年夜幅降落。首要的是要大白，机能价值的损掉并不是始于系统采办时，而源于该系统的设计。在接近特定系统生命周期的结尾时，该值是出格低的。

　　Intel可扩大平台

　　Intel可扩大平台具有可扩大性、低功率和更高的机能。与以往比拟，此刻Intel供给的计较平台更可知足尖刻的办事供给商、企业、小中型企业、和对精打细算的消费者的安然挑战。利用Intel架构措置器的一个成本优势是不异的代码库可以运行在遍及的措置器上，包含高端的四核Intel至强措置器、以价值为导向的Intel赛扬或Intel Atom措置器。这类高层次的软件可移植性降落了公司软件开辟的成本，就犹如Check Point可为各类范围不合行业的组织供给安然解决方案。

　　Check Point CoreXL：多核加快

　　与Intel 多核措置器的高计较机能共同利用，CoreXL供给了进步前辈的负载均衡，进步了深进检测所需的吞吐量，从而在防火墙上成功摆设进侵防御。CoreXL一路之前加快的安然功能供给了更高的机能，使收集运行在峰值机能和安然性程度。为之前未加快的安然功能增加机能，CoreXL使收集在高机能和高安然程度运行。

　　呵护虚拟环境

　　此刻，强大年夜的办事器和安然设备凡是在一个虚拟环境中运行着利用法度的组合。虚拟化隔离利用法度，可预防有可能导致极端机能和安然后果的无意的软件互动。因为呵护收集免受外部威胁很是首要，安然设备要求防御可能运行在统一平台上的其他利用法度。运行在VMware虚拟机中的Check Point VPN-1虚拟版本(VE)可以供给此功能，其可使虚拟系统彼此隔离，也让虚拟系统和外部威胁隔离。

　　进步软件的可移植性

　　安然威胁成长迅猛，安然厂商必需敏捷采取最新的手艺立异才能保持领先黑客一步。安然软件和专用安然硬件的不断改进，对收集呵护有益的，但它对软件可移植性带来了挑战。可移植性是厂商让解决方案投进利用市场速度更快，更靠得住的关头。

　　为了实现可移植性，Intel推出了一个软件框架，其可使供给商整合下一代安然手艺，避免首要利用软件的改变。Intel QuickAssist加密功能的API，使开辟人员可以或许选择最好的平台架构，同时保持的软件兼容性，而不考虑该手艺路径。经由过程这类可移植的解决方案，可以确保IT专业人员采取一致有效的路子来应对超越范围遍及的产品的安然威胁。

　　收集层报复打击向动态利用层威胁的改变使对安然机能的需求急剧增加。应对利用层威胁，需要一个可以或许敏捷成长包管机能，同时保持高程度的安然性的架构。当然封锁的基于ASIC架构一向没能做出有效的改进以避免利用层威胁。Check Point开放机能架构和Intel措置器和手艺供给了电信运营商、大年夜型校园和数据中间获得较高机能，同时保持高程度安然性所需的根本。

　　有了这个开放的架构，企业可摆设集成的进侵防御，而无需担忧收集机能的损掉。