下一代防火墻自問世以來，即以“邊界安全專家-應(yīng)用層深度防護(hù)”的身份示人，從其安全角色定位不難看出，在秉承傳統(tǒng)防火墻基礎(chǔ)控制的前提下，尤其強(qiáng)調(diào)對(duì)高層應(yīng)用安全的深度探查和防護(hù)。

這就鮮明地涉及到下一代防火墻中一個(gè)非常關(guān)鍵的雙層結(jié)構(gòu)：基礎(chǔ)訪問控制層和高層一體化安全層，且每一層分別對(duì)應(yīng)一個(gè)引擎實(shí)現(xiàn)，它們是數(shù)通引擎和一體化安全引擎。雙引擎高效協(xié)作，在保障性能及穩(wěn)定性的同時(shí)提供專業(yè)級(jí)的應(yīng)用層安全防護(hù)。他們是下一代防火墻中的雙引擎，兩顆真正強(qiáng)健的“芯”。

本文將就下一代防火墻中的雙層結(jié)構(gòu)及其雙引擎實(shí)現(xiàn)給出一個(gè)詳細(xì)的解釋和介紹，從而使讀者對(duì)如何選擇、辨識(shí)出具有高性能、高穩(wěn)定、高安全的下一代防火墻產(chǎn)品做到心中有數(shù)。

下一代防火墻的雙層結(jié)構(gòu)

任何網(wǎng)絡(luò)安全設(shè)備的安全處理歸根到底都是對(duì)一個(gè)個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的分析和處理，國際標(biāo)準(zhǔn)化組織將網(wǎng)絡(luò)數(shù)據(jù)包劃分為七層模型，根據(jù)用戶安全防護(hù)力度要求的不同，防火墻安全控制和掃描的層數(shù)也就不同。

用戶熟悉的基于IP地址、安全區(qū)、服務(wù)類型/端口號(hào)的訪問控制，就是通過對(duì)數(shù)據(jù)包進(jìn)行四層以下的解碼和過濾來實(shí)現(xiàn)的，這部分安全功能是最基礎(chǔ)，也是最常用到的防火墻功能，在完全兼容傳統(tǒng)防火墻功能特性的下一代防火墻中，這部分安全特性由數(shù)通引擎來獨(dú)立完成。

除了訪問控制，數(shù)通引擎處理網(wǎng)絡(luò)基礎(chǔ)通信相關(guān)的所有工作，包括路由、交換、VLAN、NAT、VPN以及冗余備份等。數(shù)通引擎作為安全服務(wù)的基礎(chǔ)層，保障著用戶網(wǎng)絡(luò)環(huán)境的基礎(chǔ)安全。

下一代防火墻誕生的背景和使命是識(shí)別和防護(hù)高層應(yīng)用安全，也就是四層至七層的內(nèi)容解碼、威脅識(shí)別和威脅掃描，如入侵防護(hù)、防病毒、URL過濾和內(nèi)容關(guān)鍵字過濾等。涉及到的攻擊類型涵蓋木馬、蠕蟲、SQL注入、DoS攻擊、惡意站點(diǎn)訪問、文件/郵件病毒、即時(shí)通信/論壇不良信息等等。由于高層解碼本身的技術(shù)難度，再加上攻擊類型的復(fù)雜多樣，必須有別于數(shù)通引擎，從整體角度上優(yōu)化設(shè)計(jì)出專供保障高層應(yīng)用安全的安全引擎，即一體化安全引擎。

經(jīng)過架構(gòu)優(yōu)化設(shè)計(jì)的一體化安全引擎對(duì)數(shù)據(jù)包只需一次解碼即可完成四至七層全部安全掃描，從根本上改進(jìn)了傳統(tǒng)UTM設(shè)備將各安全模塊串行過濾、重復(fù)解碼的掃描模式，極大的提升了安全性能。專屬優(yōu)化的一體化安全引擎做為安全服務(wù)的高層，保障著用戶網(wǎng)絡(luò)環(huán)境的應(yīng)用安全。

單引擎 VS雙引擎

無論是作為基礎(chǔ)層的數(shù)據(jù)通信處理，還是高層的安全掃描處理都是任何一款下一代防火墻產(chǎn)品都必須具備的基本功能要素。所不同的是，通過一個(gè)大而雜的引擎實(shí)現(xiàn)，還是通過兩個(gè)各司其職，性能卓越的專屬引擎經(jīng)過緊密配合協(xié)作實(shí)現(xiàn)。按照Gartner定義的線速級(jí)實(shí)時(shí)安全防護(hù)設(shè)備，下一代防火墻無疑應(yīng)該是后一種選擇。

雙引擎設(shè)計(jì)可以克服諸多單引擎與生俱來無法逾越的缺陷和障礙：

第一、性能問題。

顧名思義，單引擎就是既要完成基礎(chǔ)層數(shù)通處理，又要完成高層安全處理，并且其先天結(jié)構(gòu)決定了只能串行依次的完成以上任務(wù)，又由于安全處理本身的復(fù)雜性和耗時(shí)性，其會(huì)成為整個(gè)引擎的性能瓶頸，影響整體性能的提升。

這就如同兩個(gè)工人合作蓋房，遞磚的工人很快將磚傳送到砌墻工手里，但由于砌墻工序復(fù)雜耗時(shí)，成為整個(gè)合作流程的速度瓶頸，同時(shí)另一方面遞磚工只能閑置等待，造成了資源浪費(fèi)。

雙引擎正是為解決以上性能瓶頸問題而設(shè)計(jì)產(chǎn)生。數(shù)通處理與安全處理分別由專屬的數(shù)通引擎和一體化安全引擎獨(dú)立實(shí)現(xiàn)，異步且并發(fā)執(zhí)行，處理流水線數(shù)目按需分配，有效的解決了性能瓶頸。

雙引擎設(shè)計(jì)如同一個(gè)遞磚工人與多個(gè)砌墻工合作，遞磚工將磚傳送到第一個(gè)砌墻工手里后并不停歇，馬上又去傳送給第二個(gè)砌墻工，等到給最后一個(gè)砌墻工傳送完畢后，第一個(gè)砌墻工的任務(wù)已完成，又可馬上接收新傳送?？梢姶朔N異步并發(fā)設(shè)計(jì)不僅有效利用資源，更消除了性能瓶頸。

第二、穩(wěn)定性問題。

單引擎由于涵蓋數(shù)通和安全雙重處理，兩方面任何一個(gè)環(huán)節(jié)出問題都會(huì)導(dǎo)致整個(gè)引擎異常、崩潰，而使整個(gè)數(shù)據(jù)流處理中斷、用戶業(yè)務(wù)中斷。雙引擎將兩種處理分開，任何一方任何環(huán)節(jié)出問題都不會(huì)影響另一方繼續(xù)正常運(yùn)作，保證數(shù)據(jù)處理不中斷，用戶業(yè)務(wù)不中斷。同時(shí)，由于技術(shù)復(fù)雜度，對(duì)容易出問題的安全引擎進(jìn)行全天24小時(shí)穩(wěn)定性健康監(jiān)測(cè)，第一時(shí)間發(fā)現(xiàn)并恢復(fù)異常。極大的保障了用戶網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性。

綜上所述，下一代防火墻產(chǎn)品秉承基礎(chǔ)和應(yīng)用雙層安全，采用雙引擎架構(gòu)的設(shè)計(jì)模式，我們了解到，以綠盟科技為代表的安全廠商在其推出的下一代防火墻產(chǎn)品中，在兼顧高穩(wěn)定性的基礎(chǔ)上，確保安全吞吐高性能，很好地體現(xiàn)了讓用戶安心、放心使用安全功能的客戶價(jià)值，并期待和接受著市場(chǎng)和用戶的檢驗(yàn)。