华为T级防火墙——是1台墙 而不是拼凑

　　ZDNET安全频道 10月12日 报道（文/陈广成）：在云计算的落地实施过程中，安全挑战日益显现。我们考虑的重点不是“把数据和程序都放到云中，是否有安全问题?”，而是“在虚拟化和云计算时代，安全防护技术有什么新的挑战和创新?”

　　以“虚拟化技术”和“高速网络”为基石的云计算，被视为未来互联网时代发展的重要变革。如何应对云时代下的海量访问挑战，如何保障云数据中心的边界安全，如何满足云环境下的动态虚拟化安全需求引发企业更多的关注。

　　华为SecoSpace产品线Marketing部长武鹏在接受ZDNet采访时表示，“面向未来数据中心和云计算架构下防火墙产品的演进，华为聚焦三个方向，第一是所有数据中心必需的更高的性能，第二是适应云计算下虚拟化弹性部署的要求，第三是满足未来面向应用的弹性交互和高质量交互的要求。”

　　华为在2012 HCC大会期间推出USG9500系列T级防火墙新品，再次升级了高端产品线。USG9500最高端型号为US9580，可支持16个扩展槽位为接口板和业务板使用。由于单块业务板支持160G吞吐量，USG9580凭借高可扩展性，突破T级记录。

　　华为SecoSpace产品线Marketing部产品管理部部长张强表示，T级对于云计算未来两到三年的发展是一个必要的门槛，但除了这个，并发连接数也是值得关注的特性。拿华为的T级防火墙来举例，1G流量100万连接，1T的防火墙就是10亿条连接。如此庞大的表，查表的效率延迟是最关键的。华为在这方面是软硬结合，开发了一个正在申请专利的算法，专门用于海量表查找。这个专利算法跟增加内存两个结合起来，才真正支持10亿规模的并发连接能力。

　　软硬结合还有虚拟化能力的提升，张强指出，它的最大的变化就是硬件的虚拟化。和以往只做转发表、路由表、安全策略、NAT表不同，现在需要把CPU虚拟化，同时分配相应的存储资源和内存资源。另外，在面向内部的虚拟机迁移方面做到自动调度和弹性计算。

　　企业同样关注防火墙的可靠性，张强指出华为防火墙在可靠性方面给用户提供四个层次的保护。首先在硬件资源上，CPU是多核多线程的架构。每个内核承担了一个小的业务模块，不同的业务模块之间相互影响非常小。即使一个模块有故障，整机的运行则完全不受影响。第二是板间的备份，华为T级防火墙采用分布式架构，做到了业务板之间的负载均衡。用户可以对同一个业务配置两块业务板，如果第一块业务板出现故障，系统会自动无缝的切换到第二个业务板上，而且这个切换过程是毫秒级的。第三是双主控，高端设备的主控板一般用来处理交互式业务，相对于业务和接口更易于出现故障，如果一个主控出问题的话，备用主控会自动切换为主用主控。第四是对整个主机的保护，就是主备和双主部署，除了基本的路由转发外，防火墙还要对VPN、NAT、状态过滤转发等。需要把所有这些业务的状态信息两边同步的备份起来，如果主机发生故障，切到备机之后用户的业务完全不中断。

　　基于应用的管控方面，华为T级防火墙超过1000种的应用程序识别能力，可以帮助云计算数据中心客户清晰地了解进出流量的成本和比例，为调整流量策略提供参考。用户可以对一个应用做限速、提供QOS保障、进行板间的负载分担等，而不是像以前对一个IP地址进行管控。这里的关键技术在于应用的识别和更新效率，张强强调，华为在全球维护应用识别的云，现在完全靠云端的库自动来提供新应用的识别。

　　我们看到华为在设备高性能的超前性，武鹏强调，这里的关键不是总吞吐有多大，因为对于分布式设计的设备或者架构而言，如果有足够的扩展空间，这个数字是可以累积上去的。它的核心技术难点是在整个分布式架构扩展到1T的时候，怎么保证这个架构还能让业务分担得开，而且在相互交换的时候有足够的空间和容量。武鹏告诉记者，因为华为在高性能路由器和其他的高性能分布式架构上面已经有过这方面的突破，所以在整机的技术、交换的技术和背板的技术都不成问题。华为在这个领域里面都有比较专长的积累，并在这个基础之上应用到防火墙的产品领域。

　　武鹏指出，业界有非常多的防火墙厂商，号称几百G或者T级，经过测试会发现它是堆叠出来的。对华为来讲，更高性能的分布式架构的硬件技术和软件平台技术都已经有突破，应用到华为防火墙达到1T级是一台墙，而不是多个墙的拼凑。