回顧網(wǎng)絡(luò)與安全的發(fā)展歷程，不難發(fā)現(xiàn)網(wǎng)絡(luò)發(fā)展總是巧合的成為了安全發(fā)展的風(fēng)向標(biāo)，其中有兩個(gè)主要原因。一方面，安全防護(hù)手段針對(duì)的網(wǎng)絡(luò)攻擊與威脅往往出現(xiàn)在網(wǎng)絡(luò)建設(shè)成熟之后；另一方面，安全設(shè)備往往被視為網(wǎng)絡(luò)傳輸設(shè)備的有益補(bǔ)充。網(wǎng)絡(luò)設(shè)備的設(shè)計(jì)原則是快速的進(jìn)行數(shù)據(jù)交換傳輸，即效率優(yōu)先，而安全設(shè)備不僅需要對(duì)數(shù)據(jù)報(bào)文的合法性、威脅性進(jìn)行判斷識(shí)別，還要分析處理報(bào)文載荷部分，因此，安全設(shè)備則是安全優(yōu)先，效率其次。

隨著"三網(wǎng)合一"、 "P2P視頻"、"高清寬帶"、"云時(shí)代"等逐漸成為人們關(guān)注的焦點(diǎn)，網(wǎng)絡(luò)帶寬的需求產(chǎn)生了幾何級(jí)別的增長(zhǎng)。目前，"千兆到桌面、萬(wàn)兆做骨干"對(duì)于交換機(jī)和路由器都已基本實(shí)現(xiàn)，在這種趨勢(shì)下，傳統(tǒng)千兆防火墻不可避免地成為了網(wǎng)絡(luò)的瓶頸，無(wú)法真正適用于高速網(wǎng)絡(luò)中。因此，在萬(wàn)兆網(wǎng)絡(luò)大規(guī)模普及的今天，萬(wàn)兆安全時(shí)代也真正來(lái)臨了。

盡管各大廠(chǎng)商都意識(shí)到萬(wàn)兆安全設(shè)備的推出勢(shì)在必行，然而基于對(duì)市場(chǎng)的理解和技術(shù)儲(chǔ)備的不同，目前市場(chǎng)上的萬(wàn)兆防火墻產(chǎn)品也是參差不齊。面對(duì)市場(chǎng)萬(wàn)兆防火墻魚(yú)龍混雜的情況，作為用戶(hù)，如何分辨真?zhèn)?，選擇最為合適的產(chǎn)品呢？接下來(lái)，我們將從四個(gè)角度來(lái)探討一下。

其一，平滑擴(kuò)容十分重要

迅速發(fā)展的應(yīng)用推動(dòng)著網(wǎng)絡(luò)帶寬不斷拓寬，從56K modem到ISDN、ADSL、EPON等百兆千兆入戶(hù)都已經(jīng)實(shí)現(xiàn)；同樣的，隨著大規(guī)模數(shù)據(jù)中心建設(shè)、移動(dòng)互聯(lián)網(wǎng)、云計(jì)算的到來(lái)，業(yè)務(wù)系統(tǒng)數(shù)據(jù)量也急劇發(fā)展，交換路由設(shè)備的性能都是業(yè)務(wù)系統(tǒng)實(shí)際性能幾十倍甚至更多，足可以滿(mǎn)足未來(lái)3～5年的發(fā)展，而安全設(shè)備的選擇，我們以業(yè)務(wù)系統(tǒng)之間萬(wàn)兆互聯(lián)為例，在兩個(gè)業(yè)務(wù)系統(tǒng)中部署防火墻至少應(yīng)該是萬(wàn)兆級(jí)別，而這遠(yuǎn)遠(yuǎn)不夠，因?yàn)楫?dāng)前選擇的萬(wàn)兆防火墻性能可能會(huì)在業(yè)務(wù)擴(kuò)容之后成為業(yè)務(wù)瓶頸。如果該防火墻不具備性能擴(kuò)容能力，就可能會(huì)造成投資的浪費(fèi)。因此建議選擇具備性能可平滑擴(kuò)容能力的萬(wàn)兆防火墻。

市場(chǎng)上大多萬(wàn)兆防火墻宣稱(chēng)最大性能為20G。而此類(lèi)防火墻不僅不能從性能上擴(kuò)容，而且實(shí)際性能更達(dá)不到宣稱(chēng)的數(shù)值，如一些防火墻所謂的20G的性能是在Jumbo幀的情況下得來(lái)的，而Jumbo幀作為非標(biāo)準(zhǔn)化格式的報(bào)文，一般在互聯(lián)網(wǎng)上是不可能傳輸?shù)?。目前在市面上?shí)際性能可達(dá)到20G的防火墻主要是一些網(wǎng)絡(luò)類(lèi)廠(chǎng)商所推出的，借鑒交換路由設(shè)備，采用分布式轉(zhuǎn)發(fā)架構(gòu)設(shè)計(jì)，一般可達(dá)到真正的萬(wàn)兆限速轉(zhuǎn)發(fā)。如H3C的超萬(wàn)兆防火墻F5000就借助中高端交換機(jī)采用的Crossbar架構(gòu)，增加一塊防火墻業(yè)務(wù)接口板，實(shí)現(xiàn)性能平滑擴(kuò)容的。

其二，功能可擴(kuò)展性不容忽視

對(duì)于萬(wàn)兆防火墻而言，不僅性能要可以平滑擴(kuò)容，而且其抵御攻擊威脅功能應(yīng)該也可不斷跟進(jìn)。對(duì)采用普通處理器的防火墻而言，增加功能則意味著性能的下降，因?yàn)閷?duì)普通CPU而言，每增加一行代碼，其性能就會(huì)下降一點(diǎn)。對(duì)萬(wàn)兆防火墻的部署場(chǎng)景，這是不允許的。因此業(yè)內(nèi)許多廠(chǎng)商就考慮通過(guò)其他手段從防火墻主處理器上卸載防火墻功能，如下圖所示：

首先，把處理相對(duì)比較簡(jiǎn)單，但是流量很大的"快速路徑"從處理器上"卸載（offlaod）"，把"寶貴"的處理器資源留給復(fù)雜的協(xié)議處理和報(bào)文的深度檢測(cè)。另外一方面，本身具有高帶寬的外部接口專(zhuān)用芯片如FPGA/ASIC、NPU等等，具有很強(qiáng)的報(bào)文處理能力。讓這些芯片去承擔(dān)大吞吐量的快速路徑處理，充分發(fā)揮其硬件加速的特點(diǎn)。

而對(duì)于采用何種專(zhuān)用芯片來(lái)處理從處理器卸載下來(lái)的業(yè)務(wù)呢？我們來(lái)看一下幾種常見(jiàn)芯片的優(yōu)劣對(duì)比。#p#

從上表中可以看到，無(wú)論采用上述何種模式的硬件協(xié)處理器，在性能上的差別不大，唯一的差別，就是功能是否可擴(kuò)展，對(duì)于層出不窮的安全威脅，功能能否擴(kuò)展就顯得尤為重要。在H3C SecPath F5000-A5中，采用的是FPGA來(lái)作為防火墻業(yè)務(wù)的協(xié)處理器，而主處理器則采用多核處理器，來(lái)實(shí)現(xiàn)控制層面與轉(zhuǎn)發(fā)層面分離、并行處理器多種業(yè)務(wù)等。

其三，能否與網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)無(wú)縫對(duì)接

高端防火墻與低端防火墻相比，在網(wǎng)絡(luò)中部署的位置更核心、可靠性要求跟苛刻，除了實(shí)現(xiàn)安全域劃分、抗攻擊外，還要無(wú)縫地與其他網(wǎng)絡(luò)設(shè)備對(duì)接，如將防火墻部署在使用OSPF、MPLS VPN、IPv6網(wǎng)絡(luò)中，對(duì)防火墻的網(wǎng)絡(luò)特性要求非常高，這也限制了許多信息安全類(lèi)廠(chǎng)商在防火墻領(lǐng)域的發(fā)展。而網(wǎng)絡(luò)類(lèi)廠(chǎng)商則具有得天獨(dú)厚的優(yōu)勢(shì)。例如H3C的防火墻和網(wǎng)絡(luò)設(shè)備都基于同一套Comware軟件平臺(tái)，這樣二者之間的對(duì)接就不存在問(wèn)題，而且防火墻可以借助這一平臺(tái)很容易地支持IPv6、OSPF、RIP、BGP等路由協(xié)議。

同時(shí)，在大型網(wǎng)絡(luò)出口、數(shù)據(jù)中心，對(duì)組網(wǎng)的可靠性也提出了非常高的要求，網(wǎng)絡(luò)的任何一個(gè)設(shè)備、鏈路出現(xiàn)故障后都需要快速的切換、收斂。這要求防火墻必須能支持接口組聯(lián)動(dòng)、NQA、BFD等從物理接口到設(shè)備狀態(tài)等不同層面的可靠性機(jī)制，從而保障網(wǎng)絡(luò)出現(xiàn)故障時(shí)可以快速的切換和收斂。

其四，性能不受海量安全策略影響

對(duì)于高端防火墻本身產(chǎn)品定位與部署位置而言，都決定了在其實(shí)際運(yùn)行時(shí)，會(huì)開(kāi)啟海量的安全策略。而1條安全策略與10000條安全策略，對(duì)于防火墻的性能要求完全是不一樣的概念。在每年的運(yùn)營(yíng)商集采測(cè)試過(guò)程中，許多廠(chǎng)家的防火墻性能都會(huì)隨著策略的增加而迅速下降。因此，高端防火墻必須有效地解決這個(gè)問(wèn)題。H3C的F5000-A5是通過(guò)一個(gè)特有的ACL加速功能來(lái)實(shí)現(xiàn)這一點(diǎn)的，開(kāi)啟該功能后，即使開(kāi)啟上萬(wàn)條安全策略，防火墻性能變化都不大，能充分滿(mǎn)足在高端場(chǎng)合的應(yīng)用。

結(jié)束語(yǔ)

我們都知道，防火墻與交換路由在性能上始終存在差距，未來(lái)網(wǎng)絡(luò)性能技術(shù)會(huì)隨著用戶(hù)需求、芯片技術(shù)的發(fā)展呈幾何級(jí)發(fā)展，防火墻技術(shù)需要快速發(fā)展才能真正網(wǎng)絡(luò)發(fā)展的腳步。

在選擇萬(wàn)兆防火墻來(lái)對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行防護(hù)時(shí)，高性能、高穩(wěn)定性、豐富的網(wǎng)絡(luò)特性都是用戶(hù)需要考慮的因素。我們欣喜的看到H3C等廠(chǎng)商，依據(jù)積累的各行業(yè)網(wǎng)絡(luò)應(yīng)用經(jīng)驗(yàn)，針對(duì)用戶(hù)網(wǎng)絡(luò)的脆弱之處，不斷的將高端交換路由技術(shù)移植到防火墻上，使得防火墻技術(shù)不斷推陳出新，防火墻性能上會(huì)不斷縮短與高端交換路由的差距，使得網(wǎng)絡(luò)安全均衡發(fā)展，為用戶(hù)構(gòu)建真正的安全網(wǎng)絡(luò)。

【編輯推薦】

1. 應(yīng)運(yùn)而生 下一代防火墻“給力”
2. 看防火墻進(jìn)化 論次世代防火墻技術(shù)
3. Web應(yīng)用層防火墻真的像宣傳的那般好用嗎？
4. 變廢為寶：將舊電腦改造成強(qiáng)勁的防火墻和路由器