雾里看花，如何选择真正的万兆防火墙

　　回顾网络与安全的发展历程，不难发现网络发展总是巧合的成为了安全发展的风向标，其中有两个主要原因。一方面，安全防护手段针对的网络攻击与威胁往往出现在网络建设成熟之后;另一方面，安全设备往往被视为网络传输设备的有益补充。网络设备的设计原则是快速的进行数据交换传输，即效率优先，而安全设备不仅需要对数据报文的合法性、威胁性进行判断识别，还要分析处理报文载荷部分，因此，安全设备则是安全优先，效率其次。

　　随着“三网合一”、 “P2P视频”、“高清宽带”、“云时代”等逐渐成为人们关注的焦点，网络带宽的需求产生了几何级别的增长。目前，“千兆到桌面、万兆做骨干”对于交换机和路由器都已基本实现，在这种趋势下，传统千兆防火墙不可避免地成为了网络的瓶颈，无法真正适用于高速网络中。因此，在万兆网络大规模普及的今天，万兆安全时代也真正来临了。

　　尽管各大厂商都意识到万兆安全设备的推出势在必行，然而基于对市场的理解和技术储备的不同，目前市场上的万兆防火墙产品也是参差不齐。面对市场万兆防火墙鱼龙混杂的情况，作为用户，如何分辨真伪，选择最为合适的产品呢?接下来，我们将从四个角度来探讨一下。

　　其一，平滑扩容十分重要

　　迅速发展的应用推动着网络带宽不断拓宽，从56K modem到ISDN、ADSL、EPON等百兆千兆入户都已经实现;同样的，随着大规模数据中心建设、移动互联网、云计算的到来，业务系统数据量也急剧发展，交换路由设备的性能都是业务系统实际性能几十倍甚至更多，足可以满足未来3～5年的发展，而安全设备的选择，我们以业务系统之间万兆互联为例，在两个业务系统中部署防火墙至少应该是万兆级别，而这远远不够，因为当前选择的万兆防火墙性能可能会在业务扩容之后成为业务瓶颈。如果该防火墙不具备性能扩容能力，就可能会造成投资的浪费。因此建议选择具备性能可平滑扩容能力的万兆防火墙。

　　市场上大多万兆防火墙宣称最大性能为20G。而此类防火墙不仅不能从性能上扩容，而且实际性能更达不到宣称的数值，如一些防火墙所谓的20G的性能是在Jumbo帧的情况下得来的，而Jumbo帧作为非标准化格式的报文，一般在互联网上是不可能传输的。目前在市面上实际性能可达到20G的防火墙主要是一些网络类厂商所推出的，借鉴交换路由设备，采用分布式转发架构设计，一般可达到真正的万兆限速转发。如H3C的超万兆防火墙F5000就借助中高端交换机采用的Crossbar架构，增加一块防火墙业务接口板，实现性能平滑扩容的。

　　其二，功能可扩展性不容忽视

　　对于万兆防火墙而言，不仅性能要可以平滑扩容，而且其抵御攻击威胁功能应该也可不断跟进。对采用普通处理器的防火墙而言，增加功能则意味着性能的下降，因为对普通CPU而言，每增加一行代码，其性能就会下降一点。对万兆防火墙的部署场景，这是不允许的。因此业内许多厂商就考虑通过其他手段从防火墙主处理器上卸载防火墙功能，如下图所示：

　　图 1 基于硬件加速的架构

　　首先，把处理相对比较简单，但是流量很大的“快速路径”从处理器上“卸载(offlaod)”，把“宝贵”的处理器资源留给复杂的协议处理和报文的深度检测。另外一方面，本身具有高带宽的外部接口专用芯片如FPGA/ASIC、NPU等等，具有很强的报文处理能力。让这些芯片去承担大吞吐量的快速路径处理，充分发挥其硬件加速的特点。

　　而对于采用何种专用芯片来处理从处理器卸载下来的业务呢?我们来看一下几种常见芯片的优劣对比。

　　从上表中可以看到，无论采用上述何种模式的硬件协处理器，在性能上的差别不大，唯一的差别，就是功能是否可扩展，对于层出不穷的安全威胁，功能能否扩展就显得尤为重要。在H3C SecPath F5000-A5中，采用的是FPGA来作为防火墙业务的协处理器，而主处理器则采用多核处理器，来实现控制层面与转发层面分离、并行处理器多种业务等。