如何选购硬件防火墙?

文:王军民

    随着信息技术的飞速发展,国家对包括政府、军队、企业等行业的网络安全建设极为关注,目前,等级保护工作已经在全国如火如荼的大规模展开,网络安全建设也如箭在弦,一触即发。防火墙,是网络安全建设中最为基础的安全产品,是网络安全建设必备的安全防护基础设施,国内诸如东软、天融信、启明星辰等很多知名厂商也都在致力于防火墙技术的研究与发展。
    对于防火墙来讲,抛除软件系统架构不说,防火墙的硬件架构一直是为广大用户所关注的。我们说,好的软件系统架构可以保证系统具有很优秀的扩展性,同时能够使防火墙性能的有所提升,但归根结底,防火墙整体性能的提升,还是离不开其硬件基础架构的。总结来讲,防火墙硬件架构基本上包括三种,即如下图所示的ASIC架构、混合架构、X86架构。


    传统的防火墙是工作在链路层到传输层上的,网络吞吐量、每秒新建连接数是其最为核心的性能指标。首先我们要明确这两个概念。
什么是网络吞吐量?

    网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。防火墙在不丢包情况下能转发的最大网络数据包数量。网络吞吐量指标将直接影响网络整体性能。

什么是新建连接速率?

    防火墙在单位时间内所能建立的TCP/HTTP连接数量。 MySQL 电信级数据库己经达到了每分钟百万级事务处理能力(每秒16666个事务),防火墙的TCP/HTTP连接处理能力需要与应用系统相适应。以此推算,TCP每秒新建连接数应达到2万以上才能够满足关键业务系统的事务处理要求。
    针对防火墙的两大性能指标,我们对三种不同架构的系统做分析如下:

1
基于ASIC架构防火墙的分析

    该类防火墙优点非常明显,其网络层面数据包转发能力非常强,此类产品最初是以Juniper产品为代表,其高端产品的网络吞吐量值确实较高,但其低端芯片处理能力并未令人满意。
    此类产品缺点也是非常明显的,硬件芯片不可更新是其先天的不足,另外,ASIC运算能力差是众所周知的,而新建连接数率、防火墙连接表的维护、策略匹配是依赖于此的,所以我们一般看到的Juniper产品每秒新建连接数相对其它产品要低很多。

2
基于X86架构防火墙的分析

    该类防火墙与基于ASIC架构的防火墙相反,其优点在于有很强的运算能力,能够快速处理网络中新建连接的请求,同时快速维护防火墙的状态表,能够有效的抵御CC类的网络攻击。当然,缺点也非常明显,依赖总线架构使其整体网络处理能力差。目前流行的MIPSARM都属于RISC技术,从防火墙层面看是类似“X86”技术的替代品,RISC采用并行的处理方式,它使得防火墙的运算能力会有大幅的提升,在网络吞吐量层面也会有一定的提升。但总体主板系统结构大致类似X86架构,所以我还是把基于RISC的防火墙归类与“X86”架构的防火墙产品。

3
基于混合架构的防火墙产品

    混合架构是指通过“传统CPU+网络处理芯片”相结合的方式,提升防火墙的运算及整机吞吐量,这种先进的架构也是网络安全业界所公认的。其最大的好处就是规避了X86ASIC的不足,充分集合了两者的优势。
    随着RISC技术的快速发展,我们大胆预测,不久的未来“RISC+网络处理芯片”的防火墙将会以全新的面孔出现在网络安全市场中。
    对于以上三点分析,需要强调一点的就是,过去的ASIC是属于不可更改的芯片,而新一代的ASIC芯片都属于可以更改,重新烧录的芯片,流行的新一代ASIC芯片普遍是基于FPGA(现场可编程门阵列),未来的万兆防火墙将会以上千万等效门组合形成,这是防火墙硬件架构未来发展很好的方向。
    防火墙不同的硬件架构均有其不同的优缺点,但笔者认为,各类技术很难在短期内出现彼此取代的现象,毕竟X86架构防火墙是经过市场考验的,相对稳定的产品,而其它RISCFPGA都属于新型硬件架构,在市场占有率上还远不及X86架构得产品,所以对于防火墙的选购,我们用户需要根据自有网络状况进行实际的分析,理性选择防火墙产品。

联系我们

欢迎致电4006556789,或通过在线方式与我们联系

close

关闭