随着Internet的迅速普及,全球范围内的计算机网络病毒、操作系统漏洞、垃圾邮件等网络安全问题也是层出不穷,网络安全产品和解决方案越来越成为各类网络用户和厂商们的聚焦点,在众多的安全产品中,防火墙产品无疑是保障网络安全的第一道防线,很多企业为了保障自身服务器或数据安全都采用了防火墙。随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据,于是千兆防火墙逐步崭露头角,频频被运用在金融、电信、教育、气象等大型的行业和机构,以及对安全要求极高的大型企业用户,其市场占有份额已经超过50%;下面就让我们来了解一下千兆防火墙的相关的产品、技术及选购方面的一些知识。
不同构架各具特色
从百兆到千兆,最初只是量变。千兆防火墙在2000年前后就进入了我国市场。由于百兆网络接口与千兆网络接口的成本相差不大,早期的千兆防火墙仅仅是将百兆接口替换为千兆接口而已。这种基于X86体系结构的千兆防火墙主体仍然是软件,其性能受到很大制约,无法达到千兆的处理速度。因此,这些防火墙只是具有千兆接入能力的防火墙,而不是真正具有千兆处理能力的防火墙因此可以说是一种“换汤不换药”的形式改变。随后几年,随着千兆网络在企业和行业用户中的不断普及,以及用户对性能需求的不断增加,千兆防火墙也逐发生了质变。
这种质的变化首先是人们把目光转移到了专用集成电路(ASIC)和网络处理器(NP)上。相对于X86架构,基于这些架构的千兆防火墙才是真正的硬件解决方案,能够实现千兆处理速度。在这里,我们不妨将X86架构、NP和ASIC放在一起进行技术比较,看看不同技术的优缺点。
X86架构
最初的千兆防火墙是基于X86架构。X86架构采用通用CPU和PCI总线接口,具有很高的灵活性和可扩展性,过去一直是防火墙开发的主要平台。其产品功能主要由软件实现,可以根据用户的实际需要而做相应调整,增加或减少功能模块,产品比较灵活,功能十分丰富。
但其性能发展却受到体系结构的制约,作为通用的计算平台,x86的结构层次较多,不易优化,且往往会受到PCI总线的带宽限制。虽然PCI总线接口理论上能达到接近2Gbps的吞吐量,但是通用CPU的处理能力有限,尽管防火墙软件部分可以尽可能地优化,很难达到千兆速率。同时很多X86架构的防火墙是基于定制的通用操作系统,安全性很大程度上取决于通用操作系统自身的安全性,可能会存在安全漏洞。
ASIC架构
相比之下,ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中,获得了很高的处理能力,因而明显提升了防火墙的性能。新一代的高可编程ASIC采用了更灵活的设计,能够通过软件改变应用逻辑,具有更广泛的适应能力。但是,ASIC的缺点也同样明显,它的灵活性和扩展性不够,开发费用高,开发周期太长,一般耗时接近2年。
虽然研发成本较高,灵活性受限制、无法支持太多的功能,但其性能具有先天的优势,非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。目前,NetScreen在ASIC防火墙领域占有优势地位,而我国的首信也推出了我国基于自主技术的ASIC千兆防火墙产品。
NP架构
NP可以说是介于两者之间的技术,NP是专门为网络设备处理网络流量而设计的处理器,其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化,可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线规范,具有较高的I/O能力。它可以构建一种硬件加速的完全可编程的架构,这种架构的软硬件都易于升级,软件可以支持新的标准和协议,硬件设计支持更高网络速度,从而使产品的生命周期更长。由于防火墙处理的就是网络数据包,所以基于NP架构的防火墙与X86架构的防火墙相比,性能得到了很大的提高。
NP通过专门的指令集和配套的软件开发系统,提供强大的编程能力,因而便于开发应用,支持可扩展的服务,而且研制周期短,成本较低。但是,相比于X86架构,由于应用开发、功能扩展受到NP的配套软件的限制,基于NP技术的防火墙的灵活性要差一些。由于依赖软件环境,所以在性能方面NP不如ASIC。NP开发的难度和灵活性都介于ASIC和x86构架之间,应该说,NP是X86架构和ASIC之间的一个折衷。目前NP的主要提供商是Intel和Motorola,国内基于NP技术开发千兆防火墙的厂商最多,联想、紫光比威等都有相关产品推出。
从上面可以看出,X86架构、NP和ASIC各有优缺点。X86架构灵活性最高,新功能、新模块扩展容易,但性能肯定满足不了千兆需要。ASIC性能最高,千兆、万兆吞吐速率均可实现,但灵活性最低,定型后再扩展十分困难。NP则介于两者之间,性能可满足千兆需要,同时也具有一定的灵活性。 三种架构综合比较
(图片)选购千兆防火墙需要考虑什么
在选购千兆防火墙时,用户首先需要明确自己的需求。安全风险和网络应用决定了用户需求,每个网络的层次、作用、大小和结构各不同,致使这些网络所面临的安全风险不相同,安全需求自然也不相同。没有重要资产的网络没有必要选择高端防火墙,高安全需求的网络不能选择低安全性的防火墙,这是很浅显的道理。同样地,只有10M带宽接入互联网的办公机构没有必要去选择千兆防火墙。
其次,在防火墙的安全功能与性能之间做出折衷。防火墙存在着功能与性能的矛盾,根据预定的安全策略,防火墙在协议栈的不同层次对流量进行检查,决定对流量的控制措施(允许通过或丢弃)。检查的层次越高,防火墙消耗的资源就越多,花费的时间就越长,性能就会越低。在应用环境时要考虑网络拓扑,用户规模,流量带宽,通信类型和环境的复杂恶劣程度等。
最后,技术支持与服务,在选择安全产品的时候,厂家或商家的技术支持与服务能力也应该是重要的考虑因素。
比性能 比平台 主流产品一览
诺基亚IP2250
诺基亚IP2250是一种基于新型无盘网络处理器(NP)的平台,为了保证高性能和网络正常运行时间,诺基亚IP2250使用诺基亚IPSO(如VRRP)以及嵌入式硬件冗余功能,提供冗余软件功能。诺基亚VPN软件技术与Check Point VPN-1/FireWall-1 SecureXL 2.x防火墙技术组合在一起,使诺基亚IP2250拥有7.5Gbps防火墙吞吐量和1.8Gbps VPN吞吐量,同时保证了用户所关心的安全性、完整性和可靠性。
诺基亚IP2250的价值还表现在其基本系统里的双电源、冷却扇和2GB内存。诺基亚IP2250具备优良的扩展性能,可为大型、不断增长的网络基础设施,提供最高36个10/100以太网端口,或为高速VPN吞吐量提供10/100与最高8个1000Mbps以太网端口,以及一个可选的VPN加速度卡组合,包含基于Web的Nokia Network Voyager或用于单个设备管理的CLI接口。
联想网御Super V-7400
联想网御Super V-7400基于NP架构,处理能力可达4G,是国内第一款无操作系统、多机集群且实现数据包内容过滤的防火墙产品。性能方面,网御FWG7000采用了NP(网络处理器)芯片架构,以联想独创的并流处理技术,实现了全双工状态下的4GB的吞吐率;安全方面,独创的防火墙IPF(Intrusion Protection Filter,入侵保护过滤)技术,可以提供基于状态的数据包内容深度检测,完整实现了二至七层全面的访问控制与防护。
网御FWG7000采用了多重电信级冗余配备标准,支持链路冗余、电源热插拔冗余,并提供完善的自愈功能。同时,它运用国内独创的防火墙HA集群技术,最多实现4个防火墙集群的主动负载均衡。网御FWG7000提供了基于硬件的带宽管理,充分保证了QoS的实现。
Symantec Gateway Security Appliance 5400系列
Gateway Security 5400系列是赛门铁克新推出的多功能网关防火墙产品,它整合了防火墙、入侵防护、入侵检测、防病毒、内容过滤、VPN及反垃圾邮件等多项技术于单一装置之内,并具备高度的可扩充性。Gateway Security Appliance 5400提供7种集成的安全技术,在最大化效率的同时,降低了安全管理的复杂性。该产品集成了全面检查防火墙技术、基于协议异常的入侵防护和入侵检测引擎、获奖的病毒防护、基于URL的内容过滤、反垃圾邮件技术、符合IPsec标准的虚拟专用网技术和硬件辅助高速加密。
通过赛门铁克企业信息安全架构下的Advanced Manager外挂程序,Gateway Security Appliance 5400系列可提供集中式的策略管理。此外挂程序能够在Web-based的管理接口下,安全地集中控管成百上千的安全硬件。此外,Advanced Manager外挂程序亦具备集中式的记录、预警与报告功能。同时通过Event Manager外挂程序,它还可与赛门铁克企业信息安全架构进行紧密的结合。
Cisco Secure PIX 535
Cisco Secure PIX 535是一款采用X86架构的防火墙产品,具有静态防火墙、IP安全(IPSec)、虚拟专网(VPN)功能,同时具有千兆位以太网吞吐量。PIX 535还是一种全功能VPN网关,能够通过公网安全传输数据,支持使用56位数据加密标准(DES)或168位3DES对VPN应用进行站点到站点和远程访问。PIX 535的集成VPN功能可以得到VPN加速卡(VAC)选件的支持,能够提供100 Mbps的吞吐量和2000个IPSec隧道。
通过部署冗余的热备用单元可以实现高可用性,即使是在系统故障情况下,也能够维持网络会话,并保证切换过程对网络用户透明地完成。另外,PIX 535还允许用户向交流或直流型号添加可选的冗余、热插拔电源,使其成为一种真正的容错安全设备。Cisco Secure PIX 535防火墙的操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统,核心是基于自适应安全算法(ASA)的一种保护机制,可以提供面向静态连接的防火墙功能,能够进行50万个同时连接,并同时防止常见的拒绝服务(DoS)攻击。
首信CF2000-CG600
首信CF2000-CG600是国内第一个拥有自主知识产权的基于ASIC技术的线速千兆防火墙。CF2000-CG600最大的优势就是技术上的优势,拥有自主知识产权的4个千兆端口的ASIC芯片,能同时处理50万个并发连接。同时支持交换机及路由器功能,具有很高的灵活性及可扩展性, 可以非常好地与路由器、高层交换机在一起协调工作,适合于各种复杂的网络。
除了拥有出众的性能以外,CF2000-CG600还搭载了功能强大的v2.1版CF2000防火墙操作系统,为用户提供了丰富完备的网络安全功能,包括:内置VLAN交换机、基于模板的便捷的访问控制管理以及IPSec和PPTP VPN支持、内核级内容过滤、完善的带宽管理,1000多种攻击模式检测和双机热备等,这些功能采用模块化设计,可以根据客户的需求来定制,从而能够满足多种用户的不同安全需求。
4/26/2005
|