論千兆防火墻

梁柳瑩

隨著Internet的迅速普及，全球范圍內的計算機病毒、操作系統漏洞、垃圾郵件等網絡安全問題也層出不窮，網絡安全產品和解決方案越來越成為網絡用戶和廠商們關注的熱點。在眾多的安全產品中，防火墻無疑是保障網絡安全的第一道防線，很多企業為了保障自身服務器或數據安全都使用了防火墻。隨著千兆網絡技術開始大規模應用，寬帶網絡迅速普及，形成了又一次的寬帶風暴：骨干網開始大規模采用千兆結構，百兆網絡正逐漸從骨干網絡退到邊緣網絡，并逐步進行千兆網改造。這意味著防火墻要能夠以非常高的速度處理數據，于是千兆防火墻開始嶄露頭角，更多地被運用在金融、電信、教育、氣象等大型行業和機構以及對安全要求極高的大型企業用戶的網絡中，其市場占有份額已經超過50％。帶寬的增長促使千兆防火墻產品應運而生，下面筆者試就千兆防火墻的技術參數、技術架構、發展瓶頸及防火墻的選購進行論述。

一、百兆防火墻的不足

在百兆防火墻時代，國內防火墻廠商普遍采用的是通用CPU配合軟件的技術方案。雖然很多廠家也稱之為硬件防火墻，但實際上都是基于X86架構的服務器或工控機。這類防火墻一般運行在經過裁減的操作系統上（通常是Linux或BSD），所有的數據包解析和審查工作都由軟件來完成。雖然這種技術方案在百兆防火墻市場取得了很大的成功，但由于CPU處理能力和PCI總線速度的制約，在實際應用尤其在小包情況下，這種結構的千兆防火墻遠遠達不到千兆的轉發速度，雙向轉發速率一般為20%以下，難以滿足千兆骨干網絡的應用要求。

二、千兆防火墻的技術實現

從千兆防火墻硬件實現技術看，主要有3大體系結構：

1.IA架構

Intel X86架構的硬件以其高靈活性和擴展性一直受到防火墻廠商的青睞。國內防火墻廠商普遍采用的是基于X86架構的服務器或工控機，運行經過裁減的操作系統（通常是Linux或Free BSD），并對操作系統的協議棧進行修改以加強其防火墻功能，所有的數據包處理都是由軟件完成的。

這種架構由于研發成本低，在百兆防火墻獲得了很大成功。很多廠商認為只要通過提高CPU主頻擴大內存就能直接滿足千兆環境的需求，但實際情況卻并非如此。由于CPU處理能力和PCI總線速度的制約，在實際應用中遠遠不能滿足千兆環境的需求（64字節包長時，雙向轉發速率一般為20%以下），這種局限在小包情況下尤其突出，所以這種架構難以滿足千兆骨干網絡的應用要求。

2.ASIC架構

ASIC（Application Specific Integrated Circuit）技術是目前網絡設備的主流處理核心技術，它通過把指令或計算邏輯固化到硬件中獲得很高的處理速度，因而能夠很好地滿足網絡設備對性能的要求，適應了網絡帶寬不斷增長的發展趨勢。

國外有部分廠商的防火墻產品采用了ASIC專用硬件加速。 然而ASIC最大的缺點是缺乏靈活性，一旦指令或計算邏輯固化到硬件中，就很難修改升級、增加新的功能。由于目前網絡環境中的攻擊手段不斷翻新，因此需要不斷地對防火墻進行升級來檢測和阻斷對用戶網絡的攻擊，保護用戶的投資。

另外,設計和制作復雜的ASIC的開發費用高、周期長，一般需要兩年以上的時間，不利于快速推出能夠滿足用戶不斷變化的需求。

3.NP架構

NP(Network Processor，網絡處理器)結合了通用處理器可編程和ASIC線速的優點，是專門為處理數據包而設計的可編程處理器，在處理2到4層的分組數據上比通用處理器具有更明顯的優勢。

與ASIC相比，NP由于可編程而具有軟件升級能力，滿足了網絡安全和用戶硬件投資保護需求。同時又不需要具備開發基于ASIC技術的防火墻所需要的大量資金和技術積累，成為開發高端千兆防火墻的最佳選擇。

三、千兆防火墻的根本指標參數

對于千兆防火墻而言，性能是很重要的指標。千兆網絡環境下，速度往往會成為防火墻技術發展的瓶頸。但是現在標準的千兆防火墻真正達到標準線速的非常少，而對于線速的高要求，又是千兆防火墻的必備指標之一。

吞吐量測試數據、丟包率測試數據和延遲測試數據，是衡量千兆防火墻性能的根本指標參數。以太網吞吐量最大理論值稱為線速，即指網絡設備有足夠的能力全速處理最小的數據封包轉發。因此一個千兆防火墻系統要達到千兆線速，必須在全速處理最小的數據封包（64字節）轉發時達到100%吞吐率。當前來看，真正達到線速的防火墻很少。

四、千兆防火墻的瓶頸

對于高速發展了一段時期的千兆防火墻來說，相對于百兆防火墻來說有三大優勢，同時也是隱含的三個瓶頸。這就是：數據的線速處理能力（性能瓶頸）、深度過濾（安全瓶頸）以及網絡統一資源管理和審計監控（管理瓶頸）。

1.線速處理能力

性能瓶頸歸根到底是體系結構問題，也是最終考驗廠商有沒有板卡級、芯片級研發能力、資源投入和整合能力等核心能力的問題。以傳統網絡通訊設備的發展歷程看，從傳統PCI信息處理到專用芯片(ASIC)是任何網絡設備發展的必經之路。而帶寬和處理能力的提升最終將為用戶帶來100%帶寬利用率，從而提升用戶網絡投資價值。

2.深度過濾

深度過濾實際是考核廠商軟、硬件綜合研發實力，以及對安全的理解是否到位。隨著各種病毒、入侵行為的泛濫，保障帶寬前提下的深度內容過濾將是另外一個重要的發展方向。

3. 網絡統一資源管理和審計監控

網絡統一資源管理和審計監控是對網絡所有資源和設備的統一安全管理，包括資產管理、安全審計、安全威脅報警等一系列管理內容。

另外，防火墻產品的硬件化程度越高，它的網絡處理能力就越強，就越不影響網絡效率，越可能成為用戶的首選。但是，在實際應用中卻不是這樣。硬件化程度越高的防火墻，價格也就越貴，純硬件防火墻的高價格目前還不是每個千兆網絡用戶都能接受的。另外，基于NP技術和ASIC技術的硬件防火墻雖然是該技術的發展趨勢，但目前還屬于前沿技術，還需要不斷完善。因此，用戶在應用千兆防火墻的時候，應該根據自己的具體需求來酌情考慮。

五、千兆防火墻的選購

1.需要明確自己的需求

安全風險和網絡應用決定了用戶需求，每個網絡的層次、作用、大小和結構各不相同，致使這些網絡所面臨的安全風險也不相同，安全需求自然也不一樣。沒有重要資產的網絡沒有必要選擇高端防火墻，高安全需求的網絡不能選擇低安全性的防火墻，這是很淺顯的道理。同樣，只有10M 帶寬接入互聯網的辦公機構也沒有必要去選擇千兆防火墻。

2.在防火墻的安全功能與性能之間折衷

防火墻存在著功能與性能的矛盾，根據預定的安全策略，防火墻在協議棧的不同層次對流量進行檢查，決定對流量的控制措施，即允許通過或丟棄。檢查的層次越高，防火墻消耗的資源越多，花費的時間越長，性能就會越低。在應用環境時要考慮網絡拓撲、用戶規模、流量帶寬、通信類型和環境的復雜惡劣程度等。

3.技術支持與服務

在選擇安全產品的時候，廠家或商家的技術支持與服務能力也應該是重要的考慮因素。

（作者單位：廣東肇慶高級技工學校）