什么情況下用萬兆防火墻？隨著“三網(wǎng)融合”、“P2P視頻”、“高清寬帶”、“云時代”逐漸成為人們關(guān)注的焦點，對網(wǎng)絡(luò)帶寬的需求呈幾何級數(shù)增長。目前，交換機和路由器基本實現(xiàn)了“千兆到桌面，萬兆為骨干”。在這

什么情況下用萬兆防火墻？

隨著“三網(wǎng)融合”、“P2P視頻”、“高清寬帶”、“云時代”逐漸成為人們關(guān)注的焦點，對網(wǎng)絡(luò)帶寬的需求呈幾何級數(shù)增長。目前，交換機和路由器基本實現(xiàn)了“千兆到桌面，萬兆為骨干”。在這種趨勢下，傳統(tǒng)的千兆防火墻不可避免地成為網(wǎng)絡(luò)的瓶頸，無法真正應(yīng)用于高速網(wǎng)絡(luò)。因此，隨著萬兆網(wǎng)絡(luò)的大規(guī)模普及，萬兆安全時代已經(jīng)真正到來。

雖然各大廠商都意識到萬兆安全設(shè)備的推出勢在必行，但基于對市場的不同理解和技術(shù)儲備，目前市場上的萬兆防火墻產(chǎn)品也參差不齊。面對市場上十萬億防火墻魚龍混雜的局面，作為用戶，如何辨別真?zhèn)危x擇最合適的產(chǎn)品？接下來我們從四個角度來討論。

第一，順利擴張很重要。

快速的應(yīng)用促進了網(wǎng)絡(luò)帶寬的不斷拓寬。從56K調(diào)制解調(diào)器到ISDN、ADSL、EPON和其他100千兆家庭也實現(xiàn)了同樣的目標。隨著大規(guī)模數(shù)據(jù)中心建設(shè)、移動互聯(lián)網(wǎng)和云計算的到來，業(yè)務(wù)系統(tǒng)的數(shù)據(jù)量也飛速發(fā)展。交換和路由設(shè)備的性能是業(yè)務(wù)系統(tǒng)實際性能的數(shù)倍甚至更多，足以滿足未來3 ~ 5年的發(fā)展。但是，安全設(shè)備的選擇，以業(yè)務(wù)系統(tǒng)之間的萬兆互聯(lián)為例。兩個業(yè)務(wù)系統(tǒng)部署的防火墻至少要10千兆級別，這遠遠不夠，因為目前選擇的10千兆防火墻的性能可能會成為業(yè)務(wù)擴展后的業(yè)務(wù)瓶頸。如果防火墻不具備性能擴展的能力，可能會造成投資的浪費。所以建議選擇擴容平滑的萬兆防火墻。

市面上大部分萬兆防火墻都宣稱最大性能是20G。但這種防火墻不僅在性能上無法擴容，實際性能也達不到宣稱的數(shù)值。比如某些防火墻所謂的20G性能就來自于巨型幀，而巨型幀作為非標準化的消息，一般是不可能在互聯(lián)網(wǎng)上傳輸?shù)?。目前市場上實際性能為20G的防火墻主要是一些網(wǎng)絡(luò)廠商推出的。借鑒交換機路由設(shè)備，采用分布式轉(zhuǎn)發(fā)架構(gòu)設(shè)計，一般可以實現(xiàn)真正的萬兆限速轉(zhuǎn)發(fā)。

第二，功能可擴展性不容忽視。

對于萬兆防火墻來說，不僅性能要能夠平滑擴展，抵御* * *威脅的功能也要不斷跟進。對于普通處理器的防火墻來說，增加功能就意味著性能下降，因為對于普通CPU來說，每增加一行代碼，其性能都會下降一點。這對于萬兆防火墻的部署場景是不允許的。所以業(yè)內(nèi)很多廠商考慮通過其他方式從防火墻的主處理器上卸載防火墻功能。首先，處理相對簡單但流量大的“快速路徑”從處理器“卸載”，將“寶貴的”處理器資源留給復(fù)雜的協(xié)議處理和消息的深入檢測。另一方面，高帶寬的專用外部接口芯片，如FPGA/ASIC、NPU等。有很強的消息處理能力。讓這些芯片承擔(dān)大吞吐量的快速路徑處理，充分發(fā)揮硬件加速的特點。

以及用什么樣的專用芯片來處理從處理器上卸載下來的業(yè)務(wù)？下面我們來看看幾種常見芯片的優(yōu)缺點。

從上表可以看出，無論采用哪種模式的硬件協(xié)處理器，性能差別都不大。唯一不同的是功能是否可以擴展，這對于層出不窮的安全威脅尤為重要。

第三，能否與網(wǎng)絡(luò)設(shè)備無縫連接？

與低端防火墻相比，高端防火墻部署在核心地位更高、可靠性要求更嚴格的網(wǎng)絡(luò)中。除了實現(xiàn)安全域劃分和反* *，還需要與其他網(wǎng)絡(luò)設(shè)備無縫連接。比如在OSPF、MPLS 、IPv6網(wǎng)絡(luò)中部署防火墻，對網(wǎng)絡(luò)特性要求非常高，這也限制了很多信息安全廠商在防火墻領(lǐng)域的發(fā)展

同時，在大型網(wǎng)絡(luò)網(wǎng)點和數(shù)據(jù)中心，對組網(wǎng)的可靠性也要求非常高，網(wǎng)絡(luò)中的任何設(shè)備或鏈路出現(xiàn)故障后都需要快速切換和收斂。這就要求防火墻必須能夠支持從物理接口到設(shè)備狀態(tài)不同層次的接口組聯(lián)動、NQA、BFD等可靠性機制，以保證網(wǎng)絡(luò)在發(fā)生故障時能夠快速切換和收斂。

第四，性能不受大量安全策略的影響。

就高端防火墻本身的產(chǎn)品定位和部署位置而言，決定了它實際運行時，會開啟大量的安全策略。但是，一個安全策略和10000個安全策略對防火墻的性能要求是完全不同的概念。每年在運營商的集中采集測試中，很多廠商的防火墻性能都會隨著策略的增加而迅速下降。因此，高端防火墻必須有效解決這一問題。

結(jié)束語

眾所周知，防火墻和交換路由在性能上總是有差距的。未來網(wǎng)絡(luò)性能技術(shù)將隨著用戶的需求和芯片技術(shù)的發(fā)展呈幾何級數(shù)發(fā)展。防火墻技術(shù)需要快速發(fā)展，才能真正發(fā)展網(wǎng)絡(luò)。

在選擇萬兆防火墻保護業(yè)務(wù)系統(tǒng)時，高性能、高穩(wěn)定性、豐富的網(wǎng)絡(luò)特性都是用戶需要考慮的因素。