2008网络关键词之：万兆防火墙

万兆迷局

    随着互联网应用越来越广泛，数据量越来越大，致使相应的网络产品规格也越来越高。防火墙这种作为企业网外部与内部连接的咽喉要道，自然需要承载更多的任务，于是从百兆到千兆，再到我们看到的万兆防火墙产品纷至沓来。万兆防火墙的出现不仅仅是带宽上的简单变化，更多的引起了人们的反思，防火墙的发展之路仅仅是带宽的攀升吗？

    并行计算、多核技术、云安全……所有的一切都在上演指标和高性能拼争，防火墙在步入万兆级别后，也应该让我们更多关注其它细节，构架？品质？综合性能？毕竟选择适合自己的产品，提高企业资金利用率才是企业主最想要的结果。

    今年在产品上，更多厂商更偏重于综合型万兆安全产品。迈克菲在4月份推出强大的万兆级网络安全平台提供强大的入侵防护、电子邮件和web安全保护，有效解决了现有产品面临的性能瓶颈，降低了复杂性。联想网御在6月份也发布了自己的万兆安全网关产品——金刚安全网关，通过Windrunner矩阵式并行计算系统，网络处理能力可达40Gbps。国内网络安全厂商新星Hillstone同样发布了自己的电信级万兆安全网关——Hillstone SA-5180。

万兆时代来临

    万兆产品接踵而来，更有厂商推出了其它类型的产品：H3C推出超万兆防火墙设备SecPath F5000-A5，联想网御推出多NP技术万兆级防火墙等等，一时间让整个安全产品市场繁荣起来，但对于采购者来说，却是遇到了很大的麻烦。

    实际上，如果仅仅从防火墙吞吐量性能提升的角度来看，万兆级的防火墙就是应用于电信、金融等高端领域的产品。但是从另一个角度来看，由于安全环境的巨大变化，性能对于安全的意义已不再这么简单。我们应该把安全防护的重点放到应用层与内容安全上，由于攻击的方式越来越变化多样化，相应的防护也日趋复杂。所以才有越来越多的厂商将安全产品集成更多的功能，帮助企业提供切实的解决方案。

未来走向

    目前很多厂商都以万兆作为宣传点，事实上未来防火墙发展的确是走向高性能，但绝非带宽的攀升这么简单。突破高性能的极限就是对防火墙硬件结构的调整。现今防火墙主要分为三种方式：基于通用处理器、基于NP、基于ASIC芯片。很显然，传统的通用处理器架构的产品在遇到重复性的大量数据处理的工作时会显得捉襟见肘。NP技术虽然有所好转，但如果要实现安全策略的控制和审核，特别是对于应用层的深度控制方面还需要大量的研发工作。ASIC技术是一种很好的方式，但目前开发难度还比较大，但未来会成为防火墙提高性能的一个新起点。

    后两种方式可谓在扶持中相互前进，从性能、功能、技术成熟度方面考虑，ASIC芯片较好，从进入门槛、研发成本和灵活性考虑则NP占优。除了高性能，就是应用层面的多功能，这些系列功能可以最大限度的解放管理员，让企业内外网连接更加顺畅。其实对于用户来说肯定希望防火墙有更多的功能，如果仅仅有更高的带宽就能吸引住用户，不如让那些“剩余”带宽转化为其它功能，用户可以更乐意接受。

基于ASIC芯片架构的某款产品示意图

    ASIC芯片架构还有一个得天独厚的优势，就是针对Dos攻击有很好的抵抗力，大家都知道，目前防火墙性能无论高低，对于Dos攻击都会显得捉襟见肘，利用ASIC芯片架构的防火墙，可以利用自身处理网络流量速度快的能力，解决存在于这个问题上的攻击事件。但是，解决这个问题并不是单单靠ASIC芯片架构就可以的，更多的还是面向对应用层攻击的问题，有待于新技术的出现。

    可见，在所有人都把焦点聚焦到“万兆”关键词的同时，也在扭曲防火墙的未来发展方向，而采购者也越来越趋于理性，不会被简单的数字所迷惑，尤其是在当前金融危机的背景下，各企业采购变得小心谨慎。相信随着技术的不断完善，防火墙从底层到应用层会有一个新的跨越，而万兆——不过是发展史中的一座里程碑。