【51CTO.com獨家特稿】隨著各種變態(tài)的網(wǎng)絡(luò)應(yīng)用的不斷推出，我們的網(wǎng)絡(luò)環(huán)境備受拷問。如果一個企業(yè)的內(nèi)網(wǎng)的員工都在毫無限制的下著迅雷、玩著網(wǎng)游、聽著在線音樂、看著網(wǎng)絡(luò)視頻……那海量的數(shù)據(jù)會像電影“2012”中的滔天巨浪一樣將帶寬瞬間吞沒。

我們需要“諾亞方舟”那樣的防火墻來阻止這種災(zāi)難！

一個優(yōu)秀的“方舟”必須有精密的全船控制系統(tǒng)、堅固的船體、優(yōu)秀的船體設(shè)計、大容量的船內(nèi)空間……

一個優(yōu)秀的防火墻必須擁有良好的操作系統(tǒng)、合理的技術(shù)架構(gòu)，高效的處理芯片，優(yōu)秀的算法、良好的抗攻擊特性……

經(jīng)?？梢钥吹揭恍┡渲貌桓撸阅懿患训姆阑饓Ξa(chǎn)品在大流量沖擊下死機或掛起，輕則造成網(wǎng)絡(luò)堵塞上網(wǎng)奇卡無比。重則導(dǎo)致網(wǎng)絡(luò)中斷、業(yè)務(wù)完全無法進行。

迅雷、網(wǎng)游、在線音樂、網(wǎng)絡(luò)視頻在網(wǎng)絡(luò)中都是以64～256字節(jié)左右的小包為主，在相同1G吞吐下，64字節(jié)數(shù)據(jù)包的數(shù)量是1518數(shù)據(jù)包數(shù)量的18倍。從國家互聯(lián)網(wǎng)應(yīng)急中心統(tǒng)計的數(shù)據(jù)看，2年來UDP15000和8000的比例明顯提高，這是迅雷、在線游戲和QQ等的應(yīng)用。而在國際權(quán)威組織IEEE的調(diào)查顯示，真實網(wǎng)絡(luò)環(huán)境中這一類的數(shù)據(jù)包也是最多的。能利落搞定小包的防火墻，才能稱的上一款高效實用的防火墻。

我們不妨來看看國內(nèi)一款叫“小包王”的千兆安全網(wǎng)關(guān)，從名字就能看出來這款產(chǎn)品的優(yōu)勢所在。他們?yōu)楹螌ψ约哼@款產(chǎn)品有這樣的自信？網(wǎng)御神州的技術(shù)人員隨即為筆者解開了疑惑：

一、網(wǎng)神的小包王是以”多核并行安全操作系統(tǒng)SECOS”為基礎(chǔ)的，結(jié)合以上“諾亞方舟”的說法，它具有良好的操作系統(tǒng)（精密的全船控制系統(tǒng)）。

二、基于大容量可編程ASIC的多核加速引擎，可以很好的處理防火墻、VPN、QOS等網(wǎng)絡(luò)層數(shù)據(jù)，大幅提升產(chǎn)品的處理性能（大容量的船內(nèi)空間）。

三、基于硬件實現(xiàn)的多核負載均衡技術(shù)，能夠?qū)⑿枰獞?yīng)用層處理的流量按照比例分配到不同的CPU核上，最大程度的做到了多核間的并行處理，大幅提升了設(shè)備的應(yīng)用層處理性能（優(yōu)秀的船體設(shè)計）。

四、多核與加速引擎，核心處理分離，提高了系統(tǒng)穩(wěn)定性，并且多核之間相互監(jiān)控，一旦有一個核出現(xiàn)故障，業(yè)務(wù)可迅速切換到其他核（堅固的船體）。

符合以上四點，一艘可以拯救網(wǎng)絡(luò)災(zāi)難的“諾亞方舟”就可以造出來了。

不過簡單瀏覽以上四點，可能會覺得別的防火墻廠商也有類似的架構(gòu)和技術(shù)。那我們再深究一下，一款防火墻要在網(wǎng)絡(luò)層小包處理方面領(lǐng)先對手，關(guān)鍵在哪里？

網(wǎng)御神州安全網(wǎng)關(guān)事業(yè)部副總經(jīng)理王如章指出，處理網(wǎng)絡(luò)層數(shù)據(jù)的關(guān)鍵就是在第二點——大容量可編程ASIC的多核加速引擎。換言之，要體現(xiàn)防火墻小包處理優(yōu)勢 ASIC利用率是關(guān)鍵。

他給筆者看了兩張圖，一張是目前業(yè)界主流的網(wǎng)絡(luò)產(chǎn)品架構(gòu)（增加HASH算法的樹型搜索算法），如圖1所示。

圖1

它的優(yōu)點是相對單樹結(jié)構(gòu)，樹的個數(shù)增加，規(guī)模減小，可以大幅提升查找效率，缺點是對于表項規(guī)模更大的情況，樹的規(guī)模大，查找效率相對較低。適用于表項較少的搜索，一般在50萬以下的表項規(guī)模。

第二張是二維矩陣的樹型搜索算法樹形結(jié)構(gòu)，如圖2所示。

圖2

這類算法結(jié)構(gòu)目前為一些廠商所專有，優(yōu)點是樹的個數(shù)成指數(shù)增加，可以大幅提升查找效率，相對增加HASH算法的樹型搜索算法樹形結(jié)構(gòu)，搜索效率提升10倍以上。缺點是邏輯設(shè)計復(fù)雜，硬件實現(xiàn)難度大。適用于表項規(guī)模更大的搜索，一般在50萬以上的表項規(guī)模設(shè)計。比如網(wǎng)神的小包王系列就是用的這類架構(gòu)。

只有用強大的算法將ASIC的性能發(fā)揮到極致，一個防火墻才有處理好小包的底氣！希望國內(nèi)的防火墻廠商都能建造出這樣不懼“小包”壓力的“方舟”，讓大家的網(wǎng)絡(luò)遠離災(zāi)患。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】 

【編輯推薦】

1. FreeBSD 7.1到8.0皆有漏洞 可獲root權(quán)限堪稱圣誕禮物
2. 應(yīng)用防火墻的下一代
3. 如何自己打造高性能寬帶路由防火墻
4. 提高管理與維護水平 企業(yè)網(wǎng)絡(luò)防火墻管理經(jīng)驗談
5. 合理設(shè)置Vista系統(tǒng)防火墻讓其獨當一面
6. 簡單三步幫助企業(yè)解決Web業(yè)務(wù)安全防護問題
7. 如何選擇合適的Web安全網(wǎng)關(guān)
8. Web準入認證—破除802.1x部署之爭
9. Web應(yīng)用安全技巧