百兆防火墻的不足

　　在百兆防火墻時代，國內防火墻廠商普遍采用的是通用CPU配合軟件的技術方案。雖然很多廠家也把它稱之為硬件防火墻，但實際上都是基于X86架構的服務器或工控機。這類防火墻一般運行在經(jīng)過裁減的操作系統(tǒng)上（通常是Linux或BSD），所有的數(shù)據(jù)包解析和審查工作都由軟件來完成。雖然這種技術方案在百兆防火墻市場取得了很大的成功，但由于CPU處理能力和PCI總線速度的制約，在實際應用中，尤其在小包情況下，這種結構的千兆防火墻遠遠達不到千兆的轉發(fā)速度（64字節(jié)包長時，雙向轉發(fā)速率一般為百分之二十以下），難以滿足千兆骨干網(wǎng)絡的應用要求。

　　千兆防火墻的兩種技術實現(xiàn)

　　要實現(xiàn)真正的千兆防火墻，目前的技術途徑基本上有兩條：一種是采用網(wǎng)絡處理器，另一種是采用ASIC。下面我們來分析一下這兩種技術架構各自的特點。

　　網(wǎng)絡處理器是專門為處理數(shù)據(jù)包而設計的可編程處理器，它的特點是內含了多個數(shù)據(jù)處理引擎，這些引擎可以并發(fā)進行數(shù)據(jù)處理工作，在處理2到4層的分組數(shù)據(jù)上比通用處理器具有明顯的優(yōu)勢。網(wǎng)絡處理器對數(shù)據(jù)包處理的一般性任務進行了優(yōu)化，如TCP/IP數(shù)據(jù)的校驗和計算、包分類、路由查找等。同時硬件體系結構的設計也大多采用高速的接口技術和總線規(guī)范，具有較高的I/O能力。這樣基于網(wǎng)絡處理器的網(wǎng)絡設備的包處理能力得到了很大的提升。它具有以下幾個方面的特性：完全的可編程性、簡單的編程模式、最大化系統(tǒng)靈活性、高處理能力、高度功能集成、開放的編程接口、第三方支持能力?；诰W(wǎng)絡處理器架構的防火墻與基于通用CPU架構的防火墻相比，在性能上可以得到很大的提高。網(wǎng)絡處理器能彌補通用CPU架構性能的不足，同時又不需要具備開發(fā)基于ASIC技術的防火墻所需要的大量資金和技術積累，最近在國內信息安全廠商中備受關注，成為國內廠商實現(xiàn)高端千兆防火墻的熱門選擇。

　　第二種方案是采用基于ASIC技術的架構。Netscreen是采用該技術的代表廠家。采用ASIC技術可以為防火墻應用設計專門的數(shù)據(jù)包處理流水線，優(yōu)化存儲器等資源的利用，是公認的使防火墻達到線速千兆，滿足千兆環(huán)境骨干級應用的技術方案。Netscreen公司也因此取得了令人矚目的成功。但ASIC技術開發(fā)成本高、開發(fā)周期長且難度大，一般的防火墻廠商難以具備相應的技術和資金實力。

　　哪種方案更適合用戶應用

　　網(wǎng)絡處理器與ASIC方案哪種更適合千兆防火墻的應用是目前爭論的一個熱點。用戶可以從性能、靈活性、功能完備性、成本、開發(fā)難度、技術成熟性等方面來進行比較。從性能上說，由于基于網(wǎng)絡處理器的防火墻本質是基于軟件的解決方案，它在很大的程度上依賴于軟件設計的性能，而ASIC由于是將算法固化在硬件中，因而在性能上有比較明顯的優(yōu)勢。

　　目前國內基于ASIC技術的首信防火墻已可達到4個千兆網(wǎng)口的全線速包轉發(fā)速率，而一般基于網(wǎng)絡處理器的防火墻在小包情況下還不能完全作到2網(wǎng)口的千兆線速轉發(fā)。反過來說，網(wǎng)絡處理器的軟件色彩使它具有更好的靈活性，在升級維護方面有較大的優(yōu)勢。純硬件的ASIC防火墻缺乏可編程性，這使得它缺乏靈活性從而跟不上防火墻功能的快速發(fā)展。

　　現(xiàn)代的ASIC技術通過增加ASIC芯片的可編程性，使其與軟件更好地配合，從而同時滿足來自靈活性和運行性能的要求。從實現(xiàn)功能方面看，ASIC技術可以比較容易地集成IDS、VPN等功能，也有產(chǎn)品已經(jīng)實現(xiàn)了內容過濾和防病毒功能，而網(wǎng)絡處理器受限于它的計算能力，這些功能一般只能靠協(xié)處理器來實現(xiàn)。從今后產(chǎn)品的成本上看，一片網(wǎng)絡處理器的價格在三、四百美金左右，如果需要協(xié)處理器，還要加上協(xié)處理器的成本。ASIC技術前期如果使用FPGA（Field Programmable Gate Arrays，現(xiàn)場可編程門陣列）來實現(xiàn)，兩者價格大致相當。不過如果量產(chǎn)投片以后，ASIC的價格可以降低一個量級，因而長遠來看ASIC技術更有潛力。

　　在開發(fā)難度、開發(fā)成本和開發(fā)周期方面，網(wǎng)絡處理器技術有比較明顯的優(yōu)勢，畢竟網(wǎng)絡處理器產(chǎn)生的一大原因就是降低這方面的門檻，這也是國內很多防火墻企業(yè)選中網(wǎng)絡處理器的原因。不過從技術成熟度方面來看，相比ASIC這樣已經(jīng)為實踐證明了的成熟技術，網(wǎng)絡處理器用于防火墻其實是近一年多才出現(xiàn)的。在此之前網(wǎng)絡處理器在市場上的表現(xiàn)并不理想，一般只被用于低端路由器、交換機等數(shù)據(jù)通信產(chǎn)品。究其原因，主要是網(wǎng)絡處理器開發(fā)需要的編程技術比預期的復雜困難，而且在實際應用中的性能往往并不理想，遠低于其廠家的標稱性能。這種技術應用在防火墻這樣的復雜網(wǎng)絡設備上究竟能否在不影響功能的前提下達到預期的性能還有待檢驗。

　　目前防火墻的體系結構已經(jīng)處于一個更新?lián)Q代的門檻上，未來的發(fā)展趨勢基本上是網(wǎng)絡處理器與ASIC兩條道路。從性能、功能、技術成熟度方面考慮，ASIC方案較好，從進入門檻、研發(fā)成本和靈活性考慮則網(wǎng)絡處理器占優(yōu)。

　　從目前的情況來看，國外的高端防火墻大部分采用的是ASIC技術，國內廠商則選用網(wǎng)路處理器的居多。今后高端防火墻的技術將是ASIC和網(wǎng)絡處理器這兩種主流技術并存，它們各自都會繼續(xù)向前發(fā)展，在速度、功能方面都還有很大的發(fā)展空間。究竟誰將成為最后的贏家，只能有待時間的檢驗了。而用戶在選擇千兆防火墻產(chǎn)品時也要綜合考慮廠商實力、實際應用需求、采購成本、防火墻技術與產(chǎn)品的成熟度等多種因素全盤考慮為宜。

　　相關資料：防火墻的三大發(fā)展趨勢

　　未來防火墻的發(fā)展趨勢是朝高速、多功能化、更安全的方向發(fā)展。

　　1、高速。目前防火墻一個很大的局限性是速度不夠，真正達到線速的防火墻少之又少。防范DoS (拒絕服務)是防火墻一個很重要的任務，防火墻往往用在網(wǎng)絡出口，如造成網(wǎng)絡堵塞，再安全的防火墻也無法應用。應用ASIC、FPGA和網(wǎng)絡處理器是實現(xiàn)高速防火墻的主要方法，但尤以采用網(wǎng)絡處理器最優(yōu)，因為網(wǎng)絡處理器采用微碼編程，可以根據(jù)需要隨時升級，甚至可以支持IPv6，而采用其他方法就不那么靈活。實現(xiàn)高速防火墻，算法也是一個關鍵，因為網(wǎng)絡處理器中集成了很多硬件協(xié)處理單元，因此比較容易實現(xiàn)高速。對于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。

　　2、多功能化。多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價格都比較高，組網(wǎng)環(huán)境也越來越復雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺路由器，支持部分路由器協(xié)議，如路由、撥號等，可以更好地滿足組網(wǎng)需要；支持IPSec VPN，可以利用因特網(wǎng)組建安全的專用通道，既安全又節(jié)省了專線投資。據(jù)IDC統(tǒng)計，國外90%的加密VPN都是通過防火墻實現(xiàn)的。

　　3、安全。未來防火墻的操作系統(tǒng)會更安全。隨著算法和芯片技術的發(fā)展，防火墻會更多地參與應用層分析，為應用提供更安全的保障。在信息安全的發(fā)展與對抗過程中，防火墻的技術一定會不斷更新、日新月異，在信息安全的防御體系中，起到堡壘的作用。