梁柳瑩

隨著Internet的迅速普及，全球范圍內(nèi)的計(jì)算機(jī)病毒、操作系統(tǒng)漏洞、垃圾郵件等網(wǎng)絡(luò)安全問(wèn)題也層出不窮，網(wǎng)絡(luò)安全產(chǎn)品和解決方案越來(lái)越成為網(wǎng)絡(luò)用戶和廠商們關(guān)注的熱點(diǎn)。在眾多的安全產(chǎn)品中，防火墻無(wú)疑是保障網(wǎng)絡(luò)安全的第一道防線，很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都使用了防火墻。隨著千兆網(wǎng)絡(luò)技術(shù)開(kāi)始大規(guī)模應(yīng)用，寬帶網(wǎng)絡(luò)迅速普及，形成了又一次的寬帶風(fēng)暴：骨干網(wǎng)開(kāi)始大規(guī)模采用千兆結(jié)構(gòu)，百兆網(wǎng)絡(luò)正逐漸從骨干網(wǎng)絡(luò)退到邊緣網(wǎng)絡(luò)，并逐步進(jìn)行千兆網(wǎng)改造。這意味著防火墻要能夠以非常高的速度處理數(shù)據(jù)，于是千兆防火墻開(kāi)始嶄露頭角，更多地被運(yùn)用在金融、電信、教育、氣象等大型行業(yè)和機(jī)構(gòu)以及對(duì)安全要求極高的大型企業(yè)用戶的網(wǎng)絡(luò)中，其市場(chǎng)占有份額已經(jīng)超過(guò)50％。帶寬的增長(zhǎng)促使千兆防火墻產(chǎn)品應(yīng)運(yùn)而生，下面筆者試就千兆防火墻的技術(shù)參數(shù)、技術(shù)架構(gòu)、發(fā)展瓶頸及防火墻的選購(gòu)進(jìn)行論述。

一、百兆防火墻的不足

在百兆防火墻時(shí)代，國(guó)內(nèi)防火墻廠商普遍采用的是通用CPU配合軟件的技術(shù)方案。雖然很多廠家也稱之為硬件防火墻，但實(shí)際上都是基于X86架構(gòu)的服務(wù)器或工控機(jī)。這類防火墻一般運(yùn)行在經(jīng)過(guò)裁減的操作系統(tǒng)上（通常是Linux或BSD），所有的數(shù)據(jù)包解析和審查工作都由軟件來(lái)完成。雖然這種技術(shù)方案在百兆防火墻市場(chǎng)取得了很大的成功，但由于CPU處理能力和PCI總線速度的制約，在實(shí)際應(yīng)用尤其在小包情況下，這種結(jié)構(gòu)的千兆防火墻遠(yuǎn)遠(yuǎn)達(dá)不到千兆的轉(zhuǎn)發(fā)速度，雙向轉(zhuǎn)發(fā)速率一般為20%以下，難以滿足千兆骨干網(wǎng)絡(luò)的應(yīng)用要求。

二、千兆防火墻的技術(shù)實(shí)現(xiàn)

從千兆防火墻硬件實(shí)現(xiàn)技術(shù)看，主要有3大體系結(jié)構(gòu)：

1.IA架構(gòu)

Intel X86架構(gòu)的硬件以其高靈活性和擴(kuò)展性一直受到防火墻廠商的青睞。國(guó)內(nèi)防火墻廠商普遍采用的是基于X86架構(gòu)的服務(wù)器或工控機(jī)，運(yùn)行經(jīng)過(guò)裁減的操作系統(tǒng)（通常是Linux或Free BSD），并對(duì)操作系統(tǒng)的協(xié)議棧進(jìn)行修改以加強(qiáng)其防火墻功能，所有的數(shù)據(jù)包處理都是由軟件完成的。

這種架構(gòu)由于研發(fā)成本低，在百兆防火墻獲得了很大成功。很多廠商認(rèn)為只要通過(guò)提高CPU主頻擴(kuò)大內(nèi)存就能直接滿足千兆環(huán)境的需求，但實(shí)際情況卻并非如此。由于CPU處理能力和PCI總線速度的制約，在實(shí)際應(yīng)用中遠(yuǎn)遠(yuǎn)不能滿足千兆環(huán)境的需求（64字節(jié)包長(zhǎng)時(shí)，雙向轉(zhuǎn)發(fā)速率一般為20%以下），這種局限在小包情況下尤其突出，所以這種架構(gòu)難以滿足千兆骨干網(wǎng)絡(luò)的應(yīng)用要求。

2.ASIC架構(gòu)

ASIC（Application Specific Integrated Circuit）技術(shù)是目前網(wǎng)絡(luò)設(shè)備的主流處理核心技術(shù)，它通過(guò)把指令或計(jì)算邏輯固化到硬件中獲得很高的處理速度，因而能夠很好地滿足網(wǎng)絡(luò)設(shè)備對(duì)性能的要求，適應(yīng)了網(wǎng)絡(luò)帶寬不斷增長(zhǎng)的發(fā)展趨勢(shì)。

國(guó)外有部分廠商的防火墻產(chǎn)品采用了ASIC專用硬件加速。 然而ASIC最大的缺點(diǎn)是缺乏靈活性，一旦指令或計(jì)算邏輯固化到硬件中，就很難修改升級(jí)、增加新的功能。由于目前網(wǎng)絡(luò)環(huán)境中的攻擊手段不斷翻新，因此需要不斷地對(duì)防火墻進(jìn)行升級(jí)來(lái)檢測(cè)和阻斷對(duì)用戶網(wǎng)絡(luò)的攻擊，保護(hù)用戶的投資。

另外,設(shè)計(jì)和制作復(fù)雜的ASIC的開(kāi)發(fā)費(fèi)用高、周期長(zhǎng)，一般需要兩年以上的時(shí)間，不利于快速推出能夠滿足用戶不斷變化的需求。

3.NP架構(gòu)

NP(Network Processor，網(wǎng)絡(luò)處理器)結(jié)合了通用處理器可編程和ASIC線速的優(yōu)點(diǎn)，是專門為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器，在處理2到4層的分組數(shù)據(jù)上比通用處理器具有更明顯的優(yōu)勢(shì)。

與ASIC相比，NP由于可編程而具有軟件升級(jí)能力，滿足了網(wǎng)絡(luò)安全和用戶硬件投資保護(hù)需求。同時(shí)又不需要具備開(kāi)發(fā)基于ASIC技術(shù)的防火墻所需要的大量資金和技術(shù)積累，成為開(kāi)發(fā)高端千兆防火墻的最佳選擇。

三、千兆防火墻的根本指標(biāo)參數(shù)

對(duì)于千兆防火墻而言，性能是很重要的指標(biāo)。千兆網(wǎng)絡(luò)環(huán)境下，速度往往會(huì)成為防火墻技術(shù)發(fā)展的瓶頸。但是現(xiàn)在標(biāo)準(zhǔn)的千兆防火墻真正達(dá)到標(biāo)準(zhǔn)線速的非常少，而對(duì)于線速的高要求，又是千兆防火墻的必備指標(biāo)之一。

吞吐量測(cè)試數(shù)據(jù)、丟包率測(cè)試數(shù)據(jù)和延遲測(cè)試數(shù)據(jù)，是衡量千兆防火墻性能的根本指標(biāo)參數(shù)。以太網(wǎng)吞吐量最大理論值稱為線速，即指網(wǎng)絡(luò)設(shè)備有足夠的能力全速處理最小的數(shù)據(jù)封包轉(zhuǎn)發(fā)。因此一個(gè)千兆防火墻系統(tǒng)要達(dá)到千兆線速，必須在全速處理最小的數(shù)據(jù)封包（64字節(jié)）轉(zhuǎn)發(fā)時(shí)達(dá)到100%吞吐率。當(dāng)前來(lái)看，真正達(dá)到線速的防火墻很少。

四、千兆防火墻的瓶頸

對(duì)于高速發(fā)展了一段時(shí)期的千兆防火墻來(lái)說(shuō)，相對(duì)于百兆防火墻來(lái)說(shuō)有三大優(yōu)勢(shì)，同時(shí)也是隱含的三個(gè)瓶頸。這就是：數(shù)據(jù)的線速處理能力（性能瓶頸）、深度過(guò)濾（安全瓶頸）以及網(wǎng)絡(luò)統(tǒng)一資源管理和審計(jì)監(jiān)控（管理瓶頸）。

1.線速處理能力

性能瓶頸歸根到底是體系結(jié)構(gòu)問(wèn)題，也是最終考驗(yàn)廠商有沒(méi)有板卡級(jí)、芯片級(jí)研發(fā)能力、資源投入和整合能力等核心能力的問(wèn)題。以傳統(tǒng)網(wǎng)絡(luò)通訊設(shè)備的發(fā)展歷程看，從傳統(tǒng)PCI信息處理到專用芯片(ASIC)是任何網(wǎng)絡(luò)設(shè)備發(fā)展的必經(jīng)之路。而帶寬和處理能力的提升最終將為用戶帶來(lái)100%帶寬利用率，從而提升用戶網(wǎng)絡(luò)投資價(jià)值。

2.深度過(guò)濾

深度過(guò)濾實(shí)際是考核廠商軟、硬件綜合研發(fā)實(shí)力，以及對(duì)安全的理解是否到位。隨著各種病毒、入侵行為的泛濫，保障帶寬前提下的深度內(nèi)容過(guò)濾將是另外一個(gè)重要的發(fā)展方向。

3. 網(wǎng)絡(luò)統(tǒng)一資源管理和審計(jì)監(jiān)控

網(wǎng)絡(luò)統(tǒng)一資源管理和審計(jì)監(jiān)控是對(duì)網(wǎng)絡(luò)所有資源和設(shè)備的統(tǒng)一安全管理，包括資產(chǎn)管理、安全審計(jì)、安全威脅報(bào)警等一系列管理內(nèi)容。

另外，防火墻產(chǎn)品的硬件化程度越高，它的網(wǎng)絡(luò)處理能力就越強(qiáng)，就越不影響網(wǎng)絡(luò)效率，越可能成為用戶的首選。但是，在實(shí)際應(yīng)用中卻不是這樣。硬件化程度越高的防火墻，價(jià)格也就越貴，純硬件防火墻的高價(jià)格目前還不是每個(gè)千兆網(wǎng)絡(luò)用戶都能接受的。另外，基于NP技術(shù)和ASIC技術(shù)的硬件防火墻雖然是該技術(shù)的發(fā)展趨勢(shì)，但目前還屬于前沿技術(shù)，還需要不斷完善。因此，用戶在應(yīng)用千兆防火墻的時(shí)候，應(yīng)該根據(jù)自己的具體需求來(lái)酌情考慮。

五、千兆防火墻的選購(gòu)

1.需要明確自己的需求

安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)應(yīng)用決定了用戶需求，每個(gè)網(wǎng)絡(luò)的層次、作用、大小和結(jié)構(gòu)各不相同，致使這些網(wǎng)絡(luò)所面臨的安全風(fēng)險(xiǎn)也不相同，安全需求自然也不一樣。沒(méi)有重要資產(chǎn)的網(wǎng)絡(luò)沒(méi)有必要選擇高端防火墻，高安全需求的網(wǎng)絡(luò)不能選擇低安全性的防火墻，這是很淺顯的道理。同樣，只有10M 帶寬接入互聯(lián)網(wǎng)的辦公機(jī)構(gòu)也沒(méi)有必要去選擇千兆防火墻。

2.在防火墻的安全功能與性能之間折衷

防火墻存在著功能與性能的矛盾，根據(jù)預(yù)定的安全策略，防火墻在協(xié)議棧的不同層次對(duì)流量進(jìn)行檢查，決定對(duì)流量的控制措施，即允許通過(guò)或丟棄。檢查的層次越高，防火墻消耗的資源越多，花費(fèi)的時(shí)間越長(zhǎng)，性能就會(huì)越低。在應(yīng)用環(huán)境時(shí)要考慮網(wǎng)絡(luò)拓?fù)?、用戶?guī)模、流量帶寬、通信類型和環(huán)境的復(fù)雜惡劣程度等。

3.技術(shù)支持與服務(wù)

在選擇安全產(chǎn)品的時(shí)候，廠家或商家的技術(shù)支持與服務(wù)能力也應(yīng)該是重要的考慮因素。

（作者單位：廣東肇慶高級(jí)技工學(xué)校）