梁柳瑩

隨著Internet的迅速普及，全球范圍內(nèi)的計(jì)算機(jī)病毒、操作系統(tǒng)漏洞、垃圾郵件等網(wǎng)絡(luò)安全問題也層出不窮，網(wǎng)絡(luò)安全產(chǎn)品和解決方案越來越成為網(wǎng)絡(luò)用戶和廠商們關(guān)注的熱點(diǎn)。在眾多的安全產(chǎn)品中，防火墻無疑是保障網(wǎng)絡(luò)安全的第一道防線，很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都使用了防火墻。隨著千兆網(wǎng)絡(luò)技術(shù)開始大規(guī)模應(yīng)用，寬帶網(wǎng)絡(luò)迅速普及，形成了又一次的寬帶風(fēng)暴：骨干網(wǎng)開始大規(guī)模采用千兆結(jié)構(gòu)，百兆網(wǎng)絡(luò)正逐漸從骨干網(wǎng)絡(luò)退到邊緣網(wǎng)絡(luò)，并逐步進(jìn)行千兆網(wǎng)改造。這意味著防火墻要能夠以非常高的速度處理數(shù)據(jù)，于是千兆防火墻開始嶄露頭角，更多地被運(yùn)用在金融、電信、教育、氣象等大型行業(yè)和機(jī)構(gòu)以及對安全要求極高的大型企業(yè)用戶的網(wǎng)絡(luò)中，其市場占有份額已經(jīng)超過50％。帶寬的增長促使千兆防火墻產(chǎn)品應(yīng)運(yùn)而生，下面筆者試就千兆防火墻的技術(shù)參數(shù)、技術(shù)架構(gòu)、發(fā)展瓶頸及防火墻的選購進(jìn)行論述。

一、百兆防火墻的不足

在百兆防火墻時代，國內(nèi)防火墻廠商普遍采用的是通用CPU配合軟件的技術(shù)方案。雖然很多廠家也稱之為硬件防火墻，但實(shí)際上都是基于X86架構(gòu)的服務(wù)器或工控機(jī)。這類防火墻一般運(yùn)行在經(jīng)過裁減的操作系統(tǒng)上（通常是Linux或BSD），所有的數(shù)據(jù)包解析和審查工作都由軟件來完成。雖然這種技術(shù)方案在百兆防火墻市場取得了很大的成功，但由于CPU處理能力和PCI總線速度的制約，在實(shí)際應(yīng)用尤其在小包情況下，這種結(jié)構(gòu)的千兆防火墻遠(yuǎn)遠(yuǎn)達(dá)不到千兆的轉(zhuǎn)發(fā)速度，雙向轉(zhuǎn)發(fā)速率一般為20%以下，難以滿足千兆骨干網(wǎng)絡(luò)的應(yīng)用要求。

二、千兆防火墻的技術(shù)實(shí)現(xiàn)

從千兆防火墻硬件實(shí)現(xiàn)技術(shù)看，主要有3大體系結(jié)構(gòu)：

1.IA架構(gòu)

Intel X86架構(gòu)的硬件以其高靈活性和擴(kuò)展性一直受到防火墻廠商的青睞。國內(nèi)防火墻廠商普遍采用的是基于X86架構(gòu)的服務(wù)器或工控機(jī)，運(yùn)行經(jīng)過裁減的操作系統(tǒng)（通常是Linux或Free BSD），并對操作系統(tǒng)的協(xié)議棧進(jìn)行修改以加強(qiáng)其防火墻功能，所有的數(shù)據(jù)包處理都是由軟件完成的。

這種架構(gòu)由于研發(fā)成本低，在百兆防火墻獲得了很大成功。很多廠商認(rèn)為只要通過提高CPU主頻擴(kuò)大內(nèi)存就能直接滿足千兆環(huán)境的需求，但實(shí)際情況卻并非如此。由于CPU處理能力和PCI總線速度的制約，在實(shí)際應(yīng)用中遠(yuǎn)遠(yuǎn)不能滿足千兆環(huán)境的需求（64字節(jié)包長時，雙向轉(zhuǎn)發(fā)速率一般為20%以下），這種局限在小包情況下尤其突出，所以這種架構(gòu)難以滿足千兆骨干網(wǎng)絡(luò)的應(yīng)用要求。

2.ASIC架構(gòu)

ASIC（Application Specific Integrated Circuit）技術(shù)是目前網(wǎng)絡(luò)設(shè)備的主流處理核心技術(shù)，它通過把指令或計(jì)算邏輯固化到硬件中獲得很高的處理速度，因而能夠很好地滿足網(wǎng)絡(luò)設(shè)備對性能的要求，適應(yīng)了網(wǎng)絡(luò)帶寬不斷增長的發(fā)展趨勢。

國外有部分廠商的防火墻產(chǎn)品采用了ASIC專用硬件加速。 然而ASIC最大的缺點(diǎn)是缺乏靈活性，一旦指令或計(jì)算邏輯固化到硬件中，就很難修改升級、增加新的功能。由于目前網(wǎng)絡(luò)環(huán)境中的攻擊手段不斷翻新，因此需要不斷地對防火墻進(jìn)行升級來檢測和阻斷對用戶網(wǎng)絡(luò)的攻擊，保護(hù)用戶的投資。

另外,設(shè)計(jì)和制作復(fù)雜的ASIC的開發(fā)費(fèi)用高、周期長，一般需要兩年以上的時間，不利于快速推出能夠滿足用戶不斷變化的需求。

3.NP架構(gòu)

NP(Network Processor，網(wǎng)絡(luò)處理器)結(jié)合了通用處理器可編程和ASIC線速的優(yōu)點(diǎn)，是專門為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器，在處理2到4層的分組數(shù)據(jù)上比通用處理器具有更明顯的優(yōu)勢。

與ASIC相比，NP由于可編程而具有軟件升級能力，滿足了網(wǎng)絡(luò)安全和用戶硬件投資保護(hù)需求。同時又不需要具備開發(fā)基于ASIC技術(shù)的防火墻所需要的大量資金和技術(shù)積累，成為開發(fā)高端千兆防火墻的最佳選擇。

三、千兆防火墻的根本指標(biāo)參數(shù)

對于千兆防火墻而言，性能是很重要的指標(biāo)。千兆網(wǎng)絡(luò)環(huán)境下，速度往往會成為防火墻技術(shù)發(fā)展的瓶頸。但是現(xiàn)在標(biāo)準(zhǔn)的千兆防火墻真正達(dá)到標(biāo)準(zhǔn)線速的非常少，而對于線速的高要求，又是千兆防火墻的必備指標(biāo)之一。

吞吐量測試數(shù)據(jù)、丟包率測試數(shù)據(jù)和延遲測試數(shù)據(jù)，是衡量千兆防火墻性能的根本指標(biāo)參數(shù)。以太網(wǎng)吞吐量最大理論值稱為線速，即指網(wǎng)絡(luò)設(shè)備有足夠的能力全速處理最小的數(shù)據(jù)封包轉(zhuǎn)發(fā)。因此一個千兆防火墻系統(tǒng)要達(dá)到千兆線速，必須在全速處理最小的數(shù)據(jù)封包（64字節(jié)）轉(zhuǎn)發(fā)時達(dá)到100%吞吐率。當(dāng)前來看，真正達(dá)到線速的防火墻很少。

四、千兆防火墻的瓶頸

對于高速發(fā)展了一段時期的千兆防火墻來說，相對于百兆防火墻來說有三大優(yōu)勢，同時也是隱含的三個瓶頸。這就是：數(shù)據(jù)的線速處理能力（性能瓶頸）、深度過濾（安全瓶頸）以及網(wǎng)絡(luò)統(tǒng)一資源管理和審計(jì)監(jiān)控（管理瓶頸）。

1.線速處理能力

性能瓶頸歸根到底是體系結(jié)構(gòu)問題，也是最終考驗(yàn)廠商有沒有板卡級、芯片級研發(fā)能力、資源投入和整合能力等核心能力的問題。以傳統(tǒng)網(wǎng)絡(luò)通訊設(shè)備的發(fā)展歷程看，從傳統(tǒng)PCI信息處理到專用芯片(ASIC)是任何網(wǎng)絡(luò)設(shè)備發(fā)展的必經(jīng)之路。而帶寬和處理能力的提升最終將為用戶帶來100%帶寬利用率，從而提升用戶網(wǎng)絡(luò)投資價值。

2.深度過濾

深度過濾實(shí)際是考核廠商軟、硬件綜合研發(fā)實(shí)力，以及對安全的理解是否到位。隨著各種病毒、入侵行為的泛濫，保障帶寬前提下的深度內(nèi)容過濾將是另外一個重要的發(fā)展方向。

3. 網(wǎng)絡(luò)統(tǒng)一資源管理和審計(jì)監(jiān)控

網(wǎng)絡(luò)統(tǒng)一資源管理和審計(jì)監(jiān)控是對網(wǎng)絡(luò)所有資源和設(shè)備的統(tǒng)一安全管理，包括資產(chǎn)管理、安全審計(jì)、安全威脅報警等一系列管理內(nèi)容。

另外，防火墻產(chǎn)品的硬件化程度越高，它的網(wǎng)絡(luò)處理能力就越強(qiáng)，就越不影響網(wǎng)絡(luò)效率，越可能成為用戶的首選。但是，在實(shí)際應(yīng)用中卻不是這樣。硬件化程度越高的防火墻，價格也就越貴，純硬件防火墻的高價格目前還不是每個千兆網(wǎng)絡(luò)用戶都能接受的。另外，基于NP技術(shù)和ASIC技術(shù)的硬件防火墻雖然是該技術(shù)的發(fā)展趨勢，但目前還屬于前沿技術(shù)，還需要不斷完善。因此，用戶在應(yīng)用千兆防火墻的時候，應(yīng)該根據(jù)自己的具體需求來酌情考慮。

五、千兆防火墻的選購

1.需要明確自己的需求

安全風(fēng)險和網(wǎng)絡(luò)應(yīng)用決定了用戶需求，每個網(wǎng)絡(luò)的層次、作用、大小和結(jié)構(gòu)各不相同，致使這些網(wǎng)絡(luò)所面臨的安全風(fēng)險也不相同，安全需求自然也不一樣。沒有重要資產(chǎn)的網(wǎng)絡(luò)沒有必要選擇高端防火墻，高安全需求的網(wǎng)絡(luò)不能選擇低安全性的防火墻，這是很淺顯的道理。同樣，只有10M 帶寬接入互聯(lián)網(wǎng)的辦公機(jī)構(gòu)也沒有必要去選擇千兆防火墻。

2.在防火墻的安全功能與性能之間折衷

防火墻存在著功能與性能的矛盾，根據(jù)預(yù)定的安全策略，防火墻在協(xié)議棧的不同層次對流量進(jìn)行檢查，決定對流量的控制措施，即允許通過或丟棄。檢查的層次越高，防火墻消耗的資源越多，花費(fèi)的時間越長，性能就會越低。在應(yīng)用環(huán)境時要考慮網(wǎng)絡(luò)拓?fù)?、用戶?guī)模、流量帶寬、通信類型和環(huán)境的復(fù)雜惡劣程度等。

3.技術(shù)支持與服務(wù)

在選擇安全產(chǎn)品的時候，廠家或商家的技術(shù)支持與服務(wù)能力也應(yīng)該是重要的考慮因素。

（作者單位：廣東肇慶高級技工學(xué)校）