雾里看花，如何选择真正的万兆防火墙

　　其三，能否与网络设备实现无缝对接

　　高端防火墙与低端防火墙相比，在网络中部署的位置更核心、可靠性要求跟苛刻，除了实现安全域划分、抗攻击外，还要无缝地与其他网络设备对接，如将防火墙部署在使用OSPF、MPLS VPN、IPv6网络中，对防火墙的网络特性要求非常高，这也限制了许多信息安全类厂商在防火墙领域的发展。而网络类厂商则具有得天独厚的优势。例如H3C的防火墙和网络设备都基于同一套Comware软件平台，这样二者之间的对接就不存在问题，而且防火墙可以借助这一平台很容易地支持IPv6、OSPF、RIP、BGP等路由协议。

　　同时，在大型网络出口、数据中心，对组网的可靠性也提出了非常高的要求，网络的任何一个设备、链路出现故障后都需要快速的切换、收敛。这要求防火墙必须能支持接口组联动、NQA、BFD等从物理接口到设备状态等不同层面的可靠性机制，从而保障网络出现故障时可以快速的切换和收敛。

　　其四，性能不受海量安全策略影响

　　对于高端防火墙本身产品定位与部署位置而言，都决定了在其实际运行时，会开启海量的安全策略。而1条安全策略与10000条安全策略，对于防火墙的性能要求完全是不一样的概念。在每年的运营商集采测试过程中，许多厂家的防火墙性能都会随着策略的增加而迅速下降。因此，高端防火墙必须有效地解决这个问题。H3C的F5000-A5是通过一个特有的ACL加速功能来实现这一点的，开启该功能后，即使开启上万条安全策略，防火墙性能变化都不大，能充分满足在高端场合的应用。

　　结束语

　　我们都知道，防火墙与交换路由在性能上始终存在差距，未来网络性能技术会随着用户需求、芯片技术的发展呈几何级发展，防火墙技术需要快速发展才能真正网络发展的脚步。

　　在选择万兆防火墙来对业务系统进行防护时，高性能、高稳定性、丰富的网络特性都是用户需要考虑的因素。我们欣喜的看到H3C等厂商，依据积累的各行业网络应用经验，针对用户网络的脆弱之处，不断的将高端交换路由技术移植到防火墙上，使得防火墙技术不断推陈出新，防火墙性能上会不断缩短与高端交换路由的差距，使得网络安全均衡发展，为用户构建真正的安全网络。