回顧網(wǎng)絡與安全的發(fā)展歷程，不難發(fā)現(xiàn)網(wǎng)絡發(fā)展總是巧合的成為了安全發(fā)展的風向標，其中有兩個主要原因。一方面，安全防護手段針對的網(wǎng)絡攻擊與威脅往往出現(xiàn)在網(wǎng)絡建設成熟之后；另一方面，安全設備往往被視為網(wǎng)絡傳輸設備的有益補充。網(wǎng)絡設備的設計原則是快速的進行數(shù)據(jù)交換傳輸，即效率優(yōu)先，而安全設備不僅需要對數(shù)據(jù)報文的合法性、威脅性進行判斷識別，還要分析處理報文載荷部分，因此，安全設備則是安全優(yōu)先，效率其次。

隨著"三網(wǎng)合一"、 "P2P視頻"、"高清寬帶"、"云時代"等逐漸成為人們關注的焦點，網(wǎng)絡帶寬的需求產(chǎn)生了幾何級別的增長。目前，"千兆到桌面、萬兆做骨干"對于交換機和路由器都已基本實現(xiàn)，在這種趨勢下，傳統(tǒng)千兆防火墻不可避免地成為了網(wǎng)絡的瓶頸，無法真正適用于高速網(wǎng)絡中。因此，在萬兆網(wǎng)絡大規(guī)模普及的今天，萬兆安全時代也真正來臨了。

盡管各大廠商都意識到萬兆安全設備的推出勢在必行，然而基于對市場的理解和技術儲備的不同，目前市場上的萬兆防火墻產(chǎn)品也是參差不齊。面對市場萬兆防火墻魚龍混雜的情況，作為用戶，如何分辨真?zhèn)?，選擇最為合適的產(chǎn)品呢？接下來，我們將從四個角度來探討一下。

其一，平滑擴容十分重要

迅速發(fā)展的應用推動著網(wǎng)絡帶寬不斷拓寬，從56K modem到ISDN、ADSL、EPON等百兆千兆入戶都已經(jīng)實現(xiàn)；同樣的，隨著大規(guī)模數(shù)據(jù)中心建設、移動互聯(lián)網(wǎng)、云計算的到來，業(yè)務系統(tǒng)數(shù)據(jù)量也急劇發(fā)展，交換路由設備的性能都是業(yè)務系統(tǒng)實際性能幾十倍甚至更多，足可以滿足未來3～5年的發(fā)展，而安全設備的選擇，我們以業(yè)務系統(tǒng)之間萬兆互聯(lián)為例，在兩個業(yè)務系統(tǒng)中部署防火墻至少應該是萬兆級別，而這遠遠不夠，因為當前選擇的萬兆防火墻性能可能會在業(yè)務擴容之后成為業(yè)務瓶頸。如果該防火墻不具備性能擴容能力，就可能會造成投資的浪費。因此建議選擇具備性能可平滑擴容能力的萬兆防火墻。

市場上大多萬兆防火墻宣稱最大性能為20G。而此類防火墻不僅不能從性能上擴容，而且實際性能更達不到宣稱的數(shù)值，如一些防火墻所謂的20G的性能是在Jumbo幀的情況下得來的，而Jumbo幀作為非標準化格式的報文，一般在互聯(lián)網(wǎng)上是不可能傳輸?shù)?。目前在市面上實際性能可達到20G的防火墻主要是一些網(wǎng)絡類廠商所推出的，借鑒交換路由設備，采用分布式轉(zhuǎn)發(fā)架構(gòu)設計，一般可達到真正的萬兆限速轉(zhuǎn)發(fā)。如H3C的超萬兆防火墻F5000就借助中高端交換機采用的Crossbar架構(gòu)，增加一塊防火墻業(yè)務接口板，實現(xiàn)性能平滑擴容的。

其二，功能可擴展性不容忽視

對于萬兆防火墻而言，不僅性能要可以平滑擴容，而且其抵御攻擊威脅功能應該也可不斷跟進。對采用普通處理器的防火墻而言，增加功能則意味著性能的下降，因為對普通CPU而言，每增加一行代碼，其性能就會下降一點。對萬兆防火墻的部署場景，這是不允許的。因此業(yè)內(nèi)許多廠商就考慮通過其他手段從防火墻主處理器上卸載防火墻功能，如下圖所示：

首先，把處理相對比較簡單，但是流量很大的"快速路徑"從處理器上"卸載（offlaod）"，把"寶貴"的處理器資源留給復雜的協(xié)議處理和報文的深度檢測。另外一方面，本身具有高帶寬的外部接口專用芯片如FPGA/ASIC、NPU等等，具有很強的報文處理能力。讓這些芯片去承擔大吞吐量的快速路徑處理，充分發(fā)揮其硬件加速的特點。

而對于采用何種專用芯片來處理從處理器卸載下來的業(yè)務呢？我們來看一下幾種常見芯片的優(yōu)劣對比。#p#

從上表中可以看到，無論采用上述何種模式的硬件協(xié)處理器，在性能上的差別不大，唯一的差別，就是功能是否可擴展，對于層出不窮的安全威脅，功能能否擴展就顯得尤為重要。在H3C SecPath F5000-A5中，采用的是FPGA來作為防火墻業(yè)務的協(xié)處理器，而主處理器則采用多核處理器，來實現(xiàn)控制層面與轉(zhuǎn)發(fā)層面分離、并行處理器多種業(yè)務等。

其三，能否與網(wǎng)絡設備實現(xiàn)無縫對接

高端防火墻與低端防火墻相比，在網(wǎng)絡中部署的位置更核心、可靠性要求跟苛刻，除了實現(xiàn)安全域劃分、抗攻擊外，還要無縫地與其他網(wǎng)絡設備對接，如將防火墻部署在使用OSPF、MPLS VPN、IPv6網(wǎng)絡中，對防火墻的網(wǎng)絡特性要求非常高，這也限制了許多信息安全類廠商在防火墻領域的發(fā)展。而網(wǎng)絡類廠商則具有得天獨厚的優(yōu)勢。例如H3C的防火墻和網(wǎng)絡設備都基于同一套Comware軟件平臺，這樣二者之間的對接就不存在問題，而且防火墻可以借助這一平臺很容易地支持IPv6、OSPF、RIP、BGP等路由協(xié)議。

同時，在大型網(wǎng)絡出口、數(shù)據(jù)中心，對組網(wǎng)的可靠性也提出了非常高的要求，網(wǎng)絡的任何一個設備、鏈路出現(xiàn)故障后都需要快速的切換、收斂。這要求防火墻必須能支持接口組聯(lián)動、NQA、BFD等從物理接口到設備狀態(tài)等不同層面的可靠性機制，從而保障網(wǎng)絡出現(xiàn)故障時可以快速的切換和收斂。

其四，性能不受海量安全策略影響

對于高端防火墻本身產(chǎn)品定位與部署位置而言，都決定了在其實際運行時，會開啟海量的安全策略。而1條安全策略與10000條安全策略，對于防火墻的性能要求完全是不一樣的概念。在每年的運營商集采測試過程中，許多廠家的防火墻性能都會隨著策略的增加而迅速下降。因此，高端防火墻必須有效地解決這個問題。H3C的F5000-A5是通過一個特有的ACL加速功能來實現(xiàn)這一點的，開啟該功能后，即使開啟上萬條安全策略，防火墻性能變化都不大，能充分滿足在高端場合的應用。

結(jié)束語

我們都知道，防火墻與交換路由在性能上始終存在差距，未來網(wǎng)絡性能技術會隨著用戶需求、芯片技術的發(fā)展呈幾何級發(fā)展，防火墻技術需要快速發(fā)展才能真正網(wǎng)絡發(fā)展的腳步。

在選擇萬兆防火墻來對業(yè)務系統(tǒng)進行防護時，高性能、高穩(wěn)定性、豐富的網(wǎng)絡特性都是用戶需要考慮的因素。我們欣喜的看到H3C等廠商，依據(jù)積累的各行業(yè)網(wǎng)絡應用經(jīng)驗，針對用戶網(wǎng)絡的脆弱之處，不斷的將高端交換路由技術移植到防火墻上，使得防火墻技術不斷推陳出新，防火墻性能上會不斷縮短與高端交換路由的差距，使得網(wǎng)絡安全均衡發(fā)展，為用戶構(gòu)建真正的安全網(wǎng)絡。

【編輯推薦】

1. 應運而生 下一代防火墻“給力”
2. 看防火墻進化 論次世代防火墻技術
3. Web應用層防火墻真的像宣傳的那般好用嗎？
4. 變廢為寶：將舊電腦改造成強勁的防火墻和路由器