论千兆防火墙

　　随着Internet的迅速普及，全球范围内的计算机病毒、操作系统漏洞、垃圾邮件等网络安全问题也层出不穷，网络安全产品和解决方案越来越成为网络用户和厂商们关注的热点。在众多的安全产品中，防火墙无疑是保障网络安全的第一道防线，很多企业为了保障自身服务器或数据安全都使用了防火墙。随着千兆网络技术开始大规模应用，宽带网络迅速普及，形成了又一次的宽带风暴：骨干网开始大规模采用千兆结构，百兆网络正逐渐从骨干网络退到边缘网络，并逐步进行千兆网改造。这意味着防火墙要能够以非常高的速度处理数据，于是千兆防火墙开始崭露头角，更多地被运用在金融、电信、教育、气象等大型行业和机构以及对安全要求极高的大型企业用户的网络中，其市场占有份额已经超过50。带宽的增长促使千兆防火墙产品应运而生，下面笔者试就千兆防火墙的技术参数、技术架构、发展瓶颈及防火墙的选购进行论述。
　　一、百兆防火墙的不足
　　在百兆防火墙时代，国内防火墙厂商普遍采用的是通用CPU配合软件的技术方案。虽然很多厂家也称之为硬件防火墙，但实际上都是基于X86架构的服务器或工控机。这类防火墙一般运行在经过裁减的操作系统上（通常是Linux或BSD），所有的数据包解析和审查工作都由软件来完成。虽然这种技术方案在百兆防火墙市场取得了很大的成功，但由于CPU处理能力和PCI总线速度的制约，在实际应用尤其在小包情况下，这种结构的千兆防火墙远远达不到千兆的转发速度，双向转发速率一般为20以下，难以满足千兆骨干网络的应用要求。
　　二、千兆防火墙的技术实现
　　从千兆防火墙硬件实现技术看，主要有3大体系结构：
　　1。IA架构
　　IntelX86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐。国内防火墙厂商普遍采用的是基于X86架构的服务器或工控机，运行经过裁减的操作系统（通常是Linux或FreeBSD），并对操作系统的协议栈进行修改以加强其防火墙功能，所有的数据包处理都是由软件完成的。
　　这种架构由于研发成本低，在百兆防火墙获得了很大成功。很多厂商认为只要通过提高CPU主频扩大内存就能直接满足千兆环境的需求，但实际情况却并非如此。由于CPU处理能力和PCI总线速度的制约，在实际应用中远远不能满足千兆环境的需求（64字节包长时，双向转发速率一般为20以下），这种局限在小包情况下尤其突出，所以这种架构难以满足千兆骨干网络的应用要求。
　　2。ASIC架构
　　ASIC（ApplicationSpecificIntegratedCircuit）技术是目前网络设备的主流处理核心技术，它通过把指令或计算逻辑固化到硬件中获得很高的处理速度，因而能够很好地满足网络设备对性能的要求，适应了网络带宽不断增长的发展趋势。
　　国外有部分厂商的防火墙产品采用了ASIC专用硬件加速。然而ASIC最大的缺点是缺乏灵活性，一旦指令或计算逻辑固化到硬件中，就很难修改升级、增加新的功能。由于目前网络环境中的攻击手段不断翻新，因此需要不断地对防火墙进行升级来检测和阻断对用户网络的攻击，保护用户的投资。
　　另外，设计和制作复杂的ASIC的开发费用高、周期长，一般需要两年以上的时间，不利于快速推出能够满足用户不断变化的需求。
　　3。NP架构
　　NP（NetworkProcessor，网络处理器）结合了通用处理器可编程和ASIC线速的优点，是专门为处理数据包而设计的可编程处理器，在处理2到4层的分组数据上比通用处理器具有更明显的优势。
　　与ASIC相比，NP由于可编程而具有软件升级能力，满足了网络安全和用户硬件投资保护需求。同时又不需要具备开发基于ASIC技术的防火墙所需要的大量资金和技术积累，成为开发高端千兆防火墙的最佳选择。
　　三、千兆防火墙的根本指标参数
　　对于千兆防火墙而言，性能是很重要的指标。千兆网络环境下，速度往往会成为防火墙技术发展的瓶颈。但是现在标准的千兆防火墙真正达到标准线速的非常少，而对于线速的高要求，又是千兆防火墙的必备指标之一。
　　吞吐量测试数据、丢包率测试数据和延迟测试数据，是衡量千兆防火墙性能的根本指标参数。以太网吞吐量最大理论值称为线速，即指网络设备有足够的能力全速处理最小的数据封包转发。因此一个千兆防火墙系统要达到千兆线速，必须在全速处理最小的数据封包（64字节）转发时达到100吞吐率。当前来看，真正达到线速的防火墙很少。
　　四、千兆防火墙的瓶颈
　　对于高速发展了一段时期的千兆防火墙来说，相对于百兆防火墙来说有三大优势，同时也是隐含的三个瓶颈。这就是：数据的线速处理能力（性能瓶颈）、深度过滤（安全瓶颈）以及网络统一资源管理和审计监控（管理瓶颈）。
　　1。线速处理能力
　　性能瓶颈归根到底是体系结构问题，也是最终考验厂商有没有板卡级、芯片级研发能力、资源投入和整合能力等核心能力的问题。以传统网络通讯设备的发展历程看，从传统PCI信息处理到专用芯片（ASIC）是任何网络设备发展的必经之路。而带宽和处理能力的提升最终将为用户带来100带宽利用率，从而提升用户网络投资价值。
　　2。深度过滤
　　深度过滤实际是考核厂商软、硬件综合研发实力，以及对安全的理解是否到位。随着各种病毒、入侵行为的泛滥，保障带宽前提下的深度内容过滤将是另外一个重要的发展方向。
　　3。网络统一资源管理和审计监控
　　网络统一资源管理和审计监控是对网络所有资源和设备的统一安全管理，包括资产管理、安全审计、安全威胁报警等一系列管理内容。
　　另外，防火墙产品的硬件化程度越高，它的网络处理能力就越强，就越不影响网络效率，越可能成为用户的首选。但是，在实际应用中却不是这样。硬件化程度越高的防火墙，价格也就越贵，纯硬件防火墙的高价格目前还不是每个千兆网络用户都能接受的。另外，基于NP技术和ASIC技术的硬件防火墙虽然是该技术的发展趋势，但目前还属于前沿技术，还需要不断完善。因此，用户在应用千兆防火墙的时候，应该根据自己的具体需求来酌情考虑。
　　五、千兆防火墙的选购
　　1。需要明确自己的需求
　　安全风险和网络应用决定了用户需求，每个网络的层次、作用、大小和结构各不相同，致使这些网络所面临的安全风险也不相同，安全需求自然也不一样。没有重要资产的网络没有必要选择高端防火墙，高安全需求的网络不能选择低安全性的防火墙，这是很浅显的道理。同样，只有10M带宽接入互联网的办公机构也没有必要去选择千兆防火墙。
　　2。在防火墙的安全功能与性能之间折衷
　　防火墙存在着功能与性能的矛盾，根据预定的安全策略，防火墙在协议栈的不同层次对流量进行检查，决定对流量的控制措施，即允许通过或丢弃。检查的层次越高，防火墙消耗的资源越多，花费的时间越长，性能就会越低。在应用环境时要考虑网络拓扑、用户规模、流量带宽、通信类型和环境的复杂恶劣程度等。
　　3。技术支持与服务
　　在选择安全产品的时候，厂家或商家的技术支持与服务能力也应该是重要的考虑因素。