隨著“三網合一”、 “P2P影片”、“高畫質寬頻”、“雲時代”等逐漸成為人們關注的焦點,網路頻寬的需求產生了幾何級別的增長。目前,“千兆到桌面、萬兆做骨幹”對於交換機和路由器都已基本實現,在這種趨勢下,傳統千兆防火牆不可避免地成為了網路的瓶頸,無法真正適用於高速網路中。因此,在萬兆網路大規模普及的今天,萬兆安全時代也真正來臨了。
儘管各大廠商都意識到萬兆安全裝置的推出勢在必行,然而基於對市場的理解和技術儲備的不同,目前市場上的萬兆防火牆產品也是參差不齊。面對市場萬兆防火牆魚龍混雜的情況,作為使用者,如何分辨真偽,選擇最為合適的產品呢?接下來,我們將從四個角度來探討一下。
其一,平滑擴容十分重要
迅速發展的應用推動著網路頻寬不斷拓寬,從56K modem到ISDN、ADSL、EPON等百兆千兆入戶都已經實現;同樣的,隨著大規模資料中心建設、移動網際網路、雲計算的到來,業務系統資料量也急劇發展,交換路由裝置的效能都是業務系統實際效能幾十倍甚至更多,足可以滿足未來3~5年的發展,而安全裝置的選擇,我們以業務系統之間萬兆互聯為例,在兩個業務系統中部署防火牆至少應該是萬兆級別,而這遠遠不夠,因為當前選擇的萬兆防火牆效能可能會在業務擴容之後成為業務瓶頸。如果該防火牆不具備效能擴容能力,就可能會造成投資的浪費。因此建議選擇具備效能可平滑擴容能力的萬兆防火牆。
市場上大多萬兆防火牆宣稱最大效能為20G。而此類防火牆不僅不能從效能上擴容,而且實際效能更達不到宣稱的數值,如一些防火牆所謂的20G的效能是在Jumbo幀的情況下得來的,而Jumbo幀作為非標準化格式的報文,一般在網際網路上是不可能傳輸的。目前在市面上實際效能可達到20G的防火牆主要是一些網路類廠商所推出的,借鑑交換路由裝置,採用分散式轉發架構設計,一般可達到真正的萬兆限速轉發。
其二,功能可擴充套件性不容忽視
對於萬兆防火牆而言,不僅效能要可以平滑擴容,而且其抵禦***威脅功能應該也可不斷跟進。對採用普通處理器的防火牆而言,增加功能則意味著效能的下降,因為對普通CPU而言,每增加一行程式碼,其效能就會下降一點。對萬兆防火牆的部署場景,這是不允許的。因此業內許多廠商就考慮透過其他手段從防火牆主處理器上解除安裝防火牆功能,首先,把處理相對比較簡單,但是流量很大的“快速路徑”從處理器上“解除安裝(offlaod)”,把“寶貴”的處理器資源留給複雜的協議處理和報文的深度檢測。另外一方面,本身具有高頻寬的外部介面專用晶片如FPGA/ASIC、NPU等等,具有很強的報文處理能力。讓這些晶片去承擔大吞吐量的快速路徑處理,充分發揮其硬體加速的特點。
而對於採用何種專用晶片來處理從處理器解除安裝下來的業務呢?我們來看一下幾種常見晶片的優劣對比。
從上表中可以看到,無論採用上述何種模式的硬體協處理器,在效能上的差別不大,唯一的差別,就是功能是否可擴充套件,對於層出不窮的安全威脅,功能能否擴充套件就顯得尤為重要。
其三,能否與網路裝置實現無縫對接
高階防火牆與低端防火牆相比,在網路中部署的位置更核心、可靠性要求跟苛刻,除了實現安全域劃分、抗***外,還要無縫地與其他網路裝置對接,如將防火牆部署在使用OSPF、MPLS ×××、IPv6網路中,對防火牆的網路特性要求非常高,這也限制了許多資訊保安類廠商在防火牆領域的發展。而網路類廠商則具有得天獨厚的優勢。
同時,在大型網路出口、資料中心,對組網的可靠性也提出了非常高的要求,網路的任何一個裝置、鏈路出現故障後都需要快速的切換、收斂。這要求防火牆必須能支援介面組聯動、NQA、BFD等從物理介面到裝置狀態等不同層面的可靠性機制,從而保障網路出現故障時可以快速的切換和收斂。
其四,效能不受海量安全策略影響
對於高階防火牆本身產品定位與部署位置而言,都決定了在其實際執行時,會開啟海量的安全策略。而1條安全策略與10000條安全策略,對於防火牆的效能要求完全是不一樣的概念。在每年的運營商集採測試過程中,許多廠家的防火牆效能都會隨著策略的增加而迅速下降。因此,高階防火牆必須有效地解決這個問題。
結束語
我們都知道,防火牆與交換路由在效能上始終存在差距,未來網路效能技術會隨著使用者需求、晶片技術的發展呈幾何級發展,防火牆技術需要快速發展才能真正網路發展的腳步。
在選擇萬兆防火牆來對業務系統進行防護時,高效能、高穩定性、豐富的網路特性都是使用者需要考慮的因素。
隨著“三網合一”、 “P2P影片”、“高畫質寬頻”、“雲時代”等逐漸成為人們關注的焦點,網路頻寬的需求產生了幾何級別的增長。目前,“千兆到桌面、萬兆做骨幹”對於交換機和路由器都已基本實現,在這種趨勢下,傳統千兆防火牆不可避免地成為了網路的瓶頸,無法真正適用於高速網路中。因此,在萬兆網路大規模普及的今天,萬兆安全時代也真正來臨了。
儘管各大廠商都意識到萬兆安全裝置的推出勢在必行,然而基於對市場的理解和技術儲備的不同,目前市場上的萬兆防火牆產品也是參差不齊。面對市場萬兆防火牆魚龍混雜的情況,作為使用者,如何分辨真偽,選擇最為合適的產品呢?接下來,我們將從四個角度來探討一下。
其一,平滑擴容十分重要
迅速發展的應用推動著網路頻寬不斷拓寬,從56K modem到ISDN、ADSL、EPON等百兆千兆入戶都已經實現;同樣的,隨著大規模資料中心建設、移動網際網路、雲計算的到來,業務系統資料量也急劇發展,交換路由裝置的效能都是業務系統實際效能幾十倍甚至更多,足可以滿足未來3~5年的發展,而安全裝置的選擇,我們以業務系統之間萬兆互聯為例,在兩個業務系統中部署防火牆至少應該是萬兆級別,而這遠遠不夠,因為當前選擇的萬兆防火牆效能可能會在業務擴容之後成為業務瓶頸。如果該防火牆不具備效能擴容能力,就可能會造成投資的浪費。因此建議選擇具備效能可平滑擴容能力的萬兆防火牆。
市場上大多萬兆防火牆宣稱最大效能為20G。而此類防火牆不僅不能從效能上擴容,而且實際效能更達不到宣稱的數值,如一些防火牆所謂的20G的效能是在Jumbo幀的情況下得來的,而Jumbo幀作為非標準化格式的報文,一般在網際網路上是不可能傳輸的。目前在市面上實際效能可達到20G的防火牆主要是一些網路類廠商所推出的,借鑑交換路由裝置,採用分散式轉發架構設計,一般可達到真正的萬兆限速轉發。
其二,功能可擴充套件性不容忽視
對於萬兆防火牆而言,不僅效能要可以平滑擴容,而且其抵禦***威脅功能應該也可不斷跟進。對採用普通處理器的防火牆而言,增加功能則意味著效能的下降,因為對普通CPU而言,每增加一行程式碼,其效能就會下降一點。對萬兆防火牆的部署場景,這是不允許的。因此業內許多廠商就考慮透過其他手段從防火牆主處理器上解除安裝防火牆功能,首先,把處理相對比較簡單,但是流量很大的“快速路徑”從處理器上“解除安裝(offlaod)”,把“寶貴”的處理器資源留給複雜的協議處理和報文的深度檢測。另外一方面,本身具有高頻寬的外部介面專用晶片如FPGA/ASIC、NPU等等,具有很強的報文處理能力。讓這些晶片去承擔大吞吐量的快速路徑處理,充分發揮其硬體加速的特點。
而對於採用何種專用晶片來處理從處理器解除安裝下來的業務呢?我們來看一下幾種常見晶片的優劣對比。
從上表中可以看到,無論採用上述何種模式的硬體協處理器,在效能上的差別不大,唯一的差別,就是功能是否可擴充套件,對於層出不窮的安全威脅,功能能否擴充套件就顯得尤為重要。
其三,能否與網路裝置實現無縫對接
高階防火牆與低端防火牆相比,在網路中部署的位置更核心、可靠性要求跟苛刻,除了實現安全域劃分、抗***外,還要無縫地與其他網路裝置對接,如將防火牆部署在使用OSPF、MPLS ×××、IPv6網路中,對防火牆的網路特性要求非常高,這也限制了許多資訊保安類廠商在防火牆領域的發展。而網路類廠商則具有得天獨厚的優勢。
同時,在大型網路出口、資料中心,對組網的可靠性也提出了非常高的要求,網路的任何一個裝置、鏈路出現故障後都需要快速的切換、收斂。這要求防火牆必須能支援介面組聯動、NQA、BFD等從物理介面到裝置狀態等不同層面的可靠性機制,從而保障網路出現故障時可以快速的切換和收斂。
其四,效能不受海量安全策略影響
對於高階防火牆本身產品定位與部署位置而言,都決定了在其實際執行時,會開啟海量的安全策略。而1條安全策略與10000條安全策略,對於防火牆的效能要求完全是不一樣的概念。在每年的運營商集採測試過程中,許多廠家的防火牆效能都會隨著策略的增加而迅速下降。因此,高階防火牆必須有效地解決這個問題。
結束語
我們都知道,防火牆與交換路由在效能上始終存在差距,未來網路效能技術會隨著使用者需求、晶片技術的發展呈幾何級發展,防火牆技術需要快速發展才能真正網路發展的腳步。
在選擇萬兆防火牆來對業務系統進行防護時,高效能、高穩定性、豐富的網路特性都是使用者需要考慮的因素。