防火墙作为信息安全领域最成熟的产品之一，其应用已经延伸到社会生活的各个领域。随着千兆以太网的普及以及蠕虫和DDoS攻击的泛滥，用户对于具有高性能和高可靠性的防火墙需求越来越强烈。但目前市场上的高端防火墙产品种类繁多，质量良莠不齐，用户选择起来非常头疼。笔者根据多年在信息安全领域的从业经验，着眼高端防火墙的技术发展趋势，总结出以下几条选择高端防火墙需要考虑的方面，以期望帮助用户买到称心如意的产品。
     硬件架构设计
1. 核心处理器架构
防火墙的核心处理器架构可以分为通用处理器架构、NPU、FPGA、ASIC以及多核的MIPS架构等。通用处理器架构的产品开发门槛低，性能基本能满足中低端用户的需求，产品功能的扩展也比较便利。主要缺点是成本高、功耗大、硬件不够稳定，对于高可靠性和高性能的要求力不从“芯”，不适合担当高端网络安全产品的角色。部分国外厂商以ASIC架构的专用硬件设备为主，以高性能和高可靠性著称，但由于ASIC芯片设计的复杂性和高成本，产品升级换代的时间较长，扩展性差，远远不能跟上日益纷繁复杂的安全需求变化的脚步。FPGA是一种对数据进行高速并行处理的理想器件，具有极强的灵活性和扩展性，它是实现网络数据的二三层转发和高速处理安全业务(如安全协处理器)的最佳选择。通过高速的硬件流水并发处理技术，FPGA可提供高性能的数据和控制处理功能。多核MIPS处理器将多个通用的CPU以及一些功能部件集成到一块芯片中形成的一个片上系统，它良好的继承了通用处理器高灵活性和高可扩展性的特点，同时具备强劲的性能，不失为一种高性能处理器的选择。
总的来说对于高性能的要求以FPGA、多核架构表现最为突出。另外，多种架构混合的产品形态也越来越常见，不同架构之间可以优势互补，以达到最佳效果。
2. 硬件总线设计
纯集中式产品在提升性能方面存在明显的不足，接口板是通过共享PCI/PCI-X总线的方式挂接在主控板上，由于受PCI/PCI-X总线自身技术限制，接口板的数量仅仅是为了提升端口密度，而性能则得不到有效的提升。因此，只用通过先进的硬件总线技术，提高Switch Fabric的容量以及背板的容量，从而提升分布式设备的整机性能和吞吐量。
3. 硬件设计方面的可靠性保证
高端防火墙设备一般部署在关键的网关位置，对稳定性的要求极高，这就需要在硬件设计方面进行充分的可靠性保证，应该包含以下几个方面：
1) 物理通道需要保持多路，部分物理通道的损坏不会影响其他通路
2) 重要物理部件实时监控，出现故障可以实时报警，支持风扇、电源等重要特理部件的热插拔
3) 业务模块都支持热插拔，单个业务模块出现硬件故障，不会影响其他业务模块
4) 具备冗余电源等
安全特性和抗攻击能力
      高端防火墙应该具有更专业的防火墙特性，除了常见的会话层状态过滤和IPSec VPN外，应该能够对L2-L7的数据包进行精确控制。同时提供负载均衡、虚拟设备以及P2P等应用协议的流量控制这些高级功能也是必需的。系统的可靠性方面要支持双机热备、端口聚合等功能。
      一旦发生争用带宽和大流量攻击事件后，往往最先失去抵抗能力的就是防火墙本身。而提高防火墙抗击DDoS能力的技术问题，也一直是难解之题，多数的厂家目前还停留在软件解决技术上，但效果欠佳。从实际效果来看，FPGA或ASIC芯片架构的防火墙，可以利用自身处理网络流量速度快的能力，来解决会话层以下的攻击问题，但更多的面向应用层攻击的问题，ASIC局限于扩展性，目前也无能为力，只有FPGA可以通过功能的升级，应对不断变化的应用层攻击。
随着网络安全事件的频繁发生，高端防火墙在网络安全解决方案中充当着越来越重要的角色。只有高端防火墙技术的不断发展，才能更好的去适应这个角色。H3C公司推出的SecPath F5000-A5核心防火墙综合了多项业界领先的技术：如多核CPU、无阻塞交换网、业务处理高速硬件（FPGA）化、分布式架构等，使该产品具有业务高性能，系统高可靠性等特点。目前SePath F5000-A5核心防火墙从64~1518字节的防火墙处理能力都能达到线速，整机的吞吐量高达40G。可以满足大型园区出口、ICP/ISP、数据中心以及MSSP运营商组网环境，并提供全面的安全防护。
      通过以上介绍，笔者希望能为用户选择“称职”的高端防火墙起一定的参考作用，也希望业界多推出一些高端产品，满足业务不断发展的需求。

• 上一篇:全面提升BIND DNS服务器安全
• 下一篇:配置Apache James邮件服务