《如何选择“称职”的高端防火墙》由会员分享,可在线阅读,更多相关《如何选择“称职”的高端防火墙(3页珍藏版)》请在金锄头文库上搜索。
1、如何选择如何选择“称职称职”的高端防火墙的高端防火墙如何选择“称职”的高端防火墙防火墙作为信息安全领域最成熟的产品之一,其应用已经延伸到社会生活的各个领域。随着千兆以太网的普及以及蠕虫和 DDoS 攻击的泛滥,用户对于具有高性能和高可靠性的防火墙需求越来越强烈。但目前市场上的高端防火墙产品种类繁多,质量良莠不齐,用户选择起来非常头疼。笔者根据多年在信息安全领域的从业经验,着眼高端防火墙的技术发展趋势,总结出以下几条选择高端防火墙需要考虑的方面,以期望帮助用户买到称心如意的产品。硬件架构设计1. 核心处理器架构防火墙的核心处理器架构可以分为通用处理器架构、NPU、FPGA、ASIC 以及多核的
2、MIPS 架构等。通用处理器架构的产品开发门槛低,性能基本能满足中低端用户的需求,产品功能的扩展也比较便利。主要缺点是成本高、功耗大、硬件不够稳定,对于高可靠性和高性能的要求力不从“芯” ,不适合担当高端网络安全产品的角色。部分国外厂商以 ASIC 架构的专用硬件设备为主,以高性能和高可靠性著称,但由于 ASIC 芯片设计的复杂性和高成本,产品升级换代的时间较长,扩展性差,远远不能跟上日益纷繁复杂的安全需求变化的脚步。FPGA 是一种对数据进行高速并行处理的理想器件,具有极强的灵活性和扩展性,它是实现网络数据的二三层转发和高速处理安全业务(如安全协处理器)的最佳选择。通过高速的硬件流水并发处理
3、技术,FPGA 可提供高性能的数据和控制处理功能。多核MIPS 处理器将多个通用的 CPU 以及一些功能部件集成到一块芯片中形成的一个片上系统,它良好的继承了通用处理器高灵活性和高可扩展性的特点,同时具备强劲的性能,不失为一种高性能处理器的选择。总的来说对于高性能的要求以 FPGA、多核架构表现最为突出。另外,多种架构混合的产品形态也越来越常见,不同架构之间可以优势互补,以达到最佳效果。2. 硬件总线设计纯集中式产品在提升性能方面存在明显的不足,接口板是通过共享PCI/PCI-X 总线的方式挂接在主控板上,由于受 PCI/PCI-X 总线自身技术限制,接口板的数量仅仅是为了提升端口密度,而性能
4、则得不到有效的提升。因此,只用通过先进的硬件总线技术,提高Switch Fabric 的容量以及背板的容量,从而提升分布式设备的整机性能和吞吐量。3. 硬件设计方面的可靠性保证高端防火墙设备一般部署在关键的网关位置,对稳定性的要求极高,这就需要在硬件设计方面进行充分的可靠性保证,应该包含以下几个方面:1) 物理通道需要保持多路,部分物理通道的损坏不会影响其他通路2) 重要物理部件实时监控,出现故障可以实时报警,支持风扇、电源等重要特理部件的热插拔3) 业务模块都支持热插拔,单个业务模块出现硬件故障,不会影响其他业务模块4) 具备冗余电源等安全特性和抗攻击能力高端防火墙应该具有更专业的防火墙特性
5、,除了常见的会话层状态过滤和 IPSec VPN 外,应该能够对 L2-L7 的数据包进行精确控制。同时提供负载均衡、虚拟设备以及 P2P 等应用协议的流量控制这些高级功能也是必需的。系统的可靠性方面要支持双机热备、端口聚合等功能。防火墙除了可以保护内部网络外,自身的抗攻击能力极为重要。以往很多事例都表明,一旦发生争用带宽和大流量攻击事件后,往往最先失去抵抗能力的就是防火墙本身。而提高防火墙抗击 DDoS 能力的技术问题,也一直是难解之题,多数的厂家目前还停留在软件解决技术上,但效果欠佳。从实际效果来看,FPGA 或 ASIC 芯片架构的防火墙,可以利用自身处理网络流量速度快的能力,来解决会话
6、层以下的攻击问题,但更多的面向应用层攻击的问题,ASIC 局限于扩展性,目前也无能为力,只有 FPGA 可以通过功能的升级,应对不断变化的应用层攻击。随着网络安全事件的频繁发生,高端防火墙在网络安全解决方案中充当着越来越重要的角色。只有高端防火墙技术的不断发展,才能更好的去适应这个角色。H3C 公司推出的 SecPath F5000-A5 核心防火墙综合了多项业界领先的技术:如多核 CPU、无阻塞交换网、业务处理高速硬件(FPGA)化、分布式架构等,使该产品具有业务高性能,系统高可靠性等特点。目前 SePath F5000-A5 核心防火墙从641518 字节的防火墙处理能力都能达到线速,整机的吞吐量高达40G。可以满足大型园区出口、ICP/ISP、数据中心以及 MSSP 运营商组网环境,并提供全面的安全防护。通过以上介绍,笔者希望能为用户选择“称职”的高端防火墙起一定的参考作用,也希望业界多推出一些高端产品,满足业务不断发展的需求。
