张总是一家上市公司的CIO,最近正在主持新数据中心的建设工作。在讨论出口位置的网关建设方案时,张总在两个方案之间犯愁了:
方案一:用A公司的防火墙 + B公司的WAF + C公司的应用交付 + D公司的上网行为管理组建出口网络。可这么多公司的设备不但采购成本高,维护起来还麻烦,故障定位又复杂,而且后续升级也很困难。
方案二:干脆选择一家公司的多业务网关产品解决需求?可市场上根本不存在一款可以满足各个模块专业技术要求的多业务网关。目前各个厂商的多业务网关最多只能提供5-10个左右的功能模块,在专业性和功能覆盖度上无法满足需求。
其实,犯愁的远远不止张总一个人,在业内,各类厂商从十多年前就开始尝试解决用户的上述需求。
最初,是用户需要什么功能厂商就加什么功能。例如2000年前后,网络安全领域的UTM和网络交换领域的多业务交换机/路由器就是这种思路的产物。但精明的用户很快发现,简单功能叠加的方式并不能解决问题:一方面简单的功能叠加后性能难以满足需求;另一方面,对于插板式多业务交换机而言,其网络吞吐性能和4-7层多业务板卡性能之间存在极大差异,导致成本居高不下,实际组网应用困难。
从产品技术层面来说,上述两点确实很难彻底解决。不过,厂商们还是努力从营销和技术层面不断改进——这就是大概从2007年开始出现的强调融合、强调统一的多业务网关思路。典型的如Gartner所推崇的下一代防火墙NGFW,在NGFW产品定义中明确表示要实现统一引擎;再比如某些厂商宣称的Synthesis架构或所谓的L2-L7层融合操作系统,都是先从营销层面消除叠加式的不良影响,再从技术层面尝试改进。
但是,这种融合式的架构同样无法满足用户需求。
最主要的,融合式方案是绝对的紧耦合性和封闭性,在UTM时代还能借用其他专业的配套引擎(例如卡巴斯基杀毒引擎),而融合式方案必须厂商自行解决问题,但实际上不可能存在各个领域各个模块都精通的厂家,这就造成了功能模块的专业性有所下降。其次,融合式方案的敏捷性无法满足这个快速变化时代,用户需求只能依赖于某个厂商的开发计划,这与业务应用快速演进的状况形成了鲜明反差。最后,就是融合性方案的封闭性不利于用户的供应商管理,我买了你的产品,就只能选择你独家的模块授权或业务板卡,而这是大中型行业用户要极力避免的情况。
从上面的情况可以看到,目前的多业务网关特别是着眼于解决L4-L7层业务需求的多业务网关,其技术架构离用户需求还有比较大的差距。现实中,大中型用户也基本上选择多台专业设备串糖葫芦部署的方案——虽然贵了点,虽然管理和演进麻烦了点,但起码专业性有保证,也不会被制约。
那么,问题该如何解决呢?就让我们从用户的角度,畅想一下多业务网关的演进方向吧!
开放性:用户需要的网关是自己定义的多业务网关而不是厂商定义的。张总需要防火墙+应用交付,李总喜欢NGFW + 负载均衡 + 抗拒绝服务攻击,陈总觉得DLP+数据库审计+WAF+堡垒机才是王道。但现实中,单一厂商永远不可能满足用户的全部需求。因此,多业务网关的未来发展趋势必然是开放的,在多业务网关上用户可以选择并实现任意厂商的专业功能。
敏捷性:比尔盖茨说,“微软离破产永远只有18个月”。由此可见,在这个飞速发展的时代,业务、需求、技术的变迁可以用月、周甚至天来衡量。作为网络关键节点的多业务网关也必须提供匹配业务需求的敏捷性,这种敏捷性包括与业务流量匹配的性能可管理和与业务需求匹配的功能可管理。
高性能:在满足开放性和敏捷性的前提下,多业务网关至少得能处理数十个G流量才能满足大型行业客户需求。
易部署:包括功能模块的部署和多业务网关自己的部署,必须足够简单方便易管理
只有综合了以上特性的平台,才是真正能为各CIO排忧解难的好平台,才符合未来多业务网关的发展趋势!