Firewall bez technologii SFP nie potrafi określić, który port przejściowy obsługuje dynamiczne połączenie. To bardzo poważna luka większości zapór ogniowych. W celu wyeliminowania tej wady i zabezpieczenia sieci użytkownik nie powinien w ogóle korzystać z aplikacji wyposażonych w protokół H.323 (umożliwia komunikację telefonów pochodzących od różnych producentów przez sieci LAN, WAN i Internet).

Zapora z procesorem 3010 potrafi rozpoznać rodzaj przekazu danych w sieci IP, np. zakwalifikować kodek G.722 jako przekaz głosu wspierany przez RTP i powiązany z protokołami H.323-Q.931 oraz aplikacją NetMeeting. Korzysta przy tym z opcji Parent Flow ID, umożliwiającej śledzenie ruchu pakietów i obsługę konkretnej aplikacji. W przypadku większości tradycyjnych zapór pakiety TCP oraz UDP są trasowane do wszystkich portów o numerze większym od 1024. Procesor 3010, analizując pakiety danych, rozpoznaje adresy IP oraz porty przejściowe (nawet jeśli informacje o nich są zawarte w ładunku użytecznym - payload).

SFP filtruje strumień pakietów na podstawie prawa dostępu użytkowników ACL (Access Control List), ponadto analizuje informacje zawarte w nagłówkach TCP i IP oraz nagłówki sesji. Podczas wykrywania włamań do systemu oraz kontroli antywirusowej sprawdzane są nagłówki protokołów oraz ładunek użyteczny.

Szybki rozwój rynku

Rynek procesorów ochronnych dynamicznie się rozwija. Jego wartość w 2001 r. była oceniana na około 80 mln USD. Prawie cały przychód w 2001 r. pochodził z czterech firm (Broadcom, Hifn, Motorola oraz SafeNet). Obecnie na rynku procesorów ochronnych pojawiły się nowe firmy, jak np. Cavium, Corrent, Layer N czy NetOctave, jednak pozycja dotychczasowych liderów wydaje się niezagrożona. Analitycy uważają, że wartość rynku przekroczy 400 mln USD w 2005 r. przy średnim 50-proc. rocznym wzroście przychodów wszystkich firm.

Według opinii ekspertów z In-Stat/MDR rynek procesorów ochronnych będzie do roku 2007 rozwijał się najbardziej dynamicznie spośród wszystkich rynków procesorów. Analitycy z grupy In-Stat ocenili, że rynek ten zwiększy zyski z 30 mln USD w 2002 r. do 280 mln USD w 2007 r.

Najszybciej rozwijającym się segmentem rynku z udziałem procesorów ochronnych jest rynek płyt głównych, Dzieje się tak dzięki współpracy firm: Cavium, producenta procesorów, i Abit, producenta płyt głównych. Tym samym zauważalna jest tendencja do odchodzenia od wdrażania zabezpieczeń w systemach za pomocą kart z rozszerzeniami na rzecz procesorów bezpośrednio implementowanych na płytach głównych. Przykładem integracji jest płyta główna SI-1N Pentium 4, na której rolę koprocesora spełnia procesor ochronny Cavium Nitrox Lite CN1005, potrafiący obsłużyć 400 Mb/s ruchu IPSec bądź 3500 operacji RSA na sekundę. Płyta główna SI-1N nadaje się do zastosowania w bramkach VPN, zintegrowanych zaporach ogniowych wchodzących w skład sieci VPN, serwerach SSL oraz stabilizatorach ruchu sieciowego.

Przewiduje się, że do końca 2007 r. blisko jedna piąta dochodów na rynku zabezpieczeń będzie przypadała na sprzedaż serwerów opartych na płytach wyposażonych w procesory ochronne.

Na polskim rynku pojawiają się pierwsze rozwiązania z security processors - należy do nich m.in. karta sieciowa firmy 3Com 100 Secure Fiber-FX, wykorzystywana w sieciach Fast Ethernet z użyciem łączy światłowodowych (w kartę jest wbudowany procesor ochronny o architekturze RISC, taktowany zegarem 125 MHz). Należy oczekiwać, że w najbliższych latach polskie firmy będą poszukiwać rozwiązań tanich, ale gwarantujących duży stopień bezpieczeństwa, stąd popyt na procesory ochronne powinien rosnąć.

<hr size=1 noshade>

Procesor ochronny poprzez magistralę PCI lub HyperTransport jest połączony z CPU lub procesorem sieciowym (występującymi na brzegu sieci lokalnej i rozległej) i obsługuje całą sesję SSL. Nitrox jest wyposażony w opcjonalną pamięć lokalną DRAM (o pojemności 1 GB), która wspomaga ponad milion jednoczesnych sesji SSL. Może obsługiwać nieograniczoną liczbę sesji SSL związanych z pamięcią hosta (głównego procesora).