千兆万兆或更高？防火墙的带宽迷局

防火墙的带宽迷局（1）

    难道防火墙中也有摩尔定律吗？想必不是的，但防火墙的演化到今天看来似乎就是带宽的发展，100MB、1000MB、10000MB……这是一个怪圈还是另有所为，我们也不得而知，但肯定的是，防火墙未来的发展绝对不能局限在带宽这一项。

    所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

    应该说这4部分构成了防火墙的基本要素。而我们看到这里面是不包含防火墙带宽的。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

    防火墙的规则更注重表现了其核心价值，没有规则的防火墙是没有任何意义的。现金防火墙的规则全部集中在人为管理上，设备内置的规则不能体现其自身的功能优势，而于此，硬件的指标貌似只有最大连接数和标称的带宽能够量化产品的性能了，于是才有了带宽之争。

    对于百兆防火墙来说，很多厂商都采用通用CPU配合软件的技术方案。虽然很多厂商也把它称之为硬件防火墙，但实际上都是基于X86架构的服务器或工控机。这类防火墙一般运行在经过裁减的操作系统上，所有的数据包解析和审查工作都由软件来完成。再加上其转发速度就只有百兆，因此用它来作为千兆内外网之间的安全“关口”，自然会影响整个网络的速度。

防火墙的带宽迷局（2）

    对于千兆防火墙而言，性能是很重要的一个指标。千兆网络环境下，速度往往会成为防火墙的瓶颈。但是现在标称的千兆防火墙，真正可以达到标准线速的非常少，而对于线速的要求，又是千兆防火墙的必备指标之一。 带宽提高的意义对于一些企业来说并不大，但目前带宽却成为防火墙更新换代的重要指标。

    吞吐量测试数据、丢包率测试数据和延迟测试数据，是衡量千兆防火墙性能的根本指标参数。以太网吞吐量最大理论值称为线速，即指网络设备有足够的能力以全速处理最小的数据封包转发。因此一个千兆防火墙系统要达到千兆线速，必须在全速处理最小的数据封包（64字节）转发时可达到100%吞吐率。当前来看，真正达到线速的防火墙很少。

    我们曾经对龙芯防火墙进行过一次评测，标称千兆带宽的防火墙，却有着很多不尽如人意的地方，主要是在千兆下的应用模式里很多数据没有实际意义。当然不知道以后出现万兆防火墙又能怎样，但我们不得不说的是，与其一位的飙升带宽，不如实在的增强防火墙的综合性能，当然厂商的做法也可以理解，毕竟在激烈竞争的市场中，是需要数据的！

    性能绝不是一些数字就能简单体现的，尤其是防火墙这类人工干预明显的产品，我们除了知道产品的硬性指标外，还应该了解其综合性能。并不是带宽越高产品越好，如果能把剩余的带宽应用到其它部分，提高综合水平是最好不过的，木桶原理想必大家都知道，希望广大采购者也不要被这些数值眯了眼睛，采购适合自己的产品才是最重要的。