【51CTO.com獨家特稿】隨著各種變態的網絡應用的不斷推出，我們的網絡環境備受拷問。如果一個企業的內網的員工都在毫無限制的下著迅雷、玩著網游、聽著在線音樂、看著網絡視頻……那海量的數據會像電影“2012”中的滔天巨浪一樣將帶寬瞬間吞沒。

我們需要“諾亞方舟”那樣的防火墻來阻止這種災難！

一個優秀的“方舟”必須有精密的全船控制系統、堅固的船體、優秀的船體設計、大容量的船內空間……

一個優秀的防火墻必須擁有良好的操作系統、合理的技術架構，高效的處理芯片，優秀的算法、良好的抗攻擊特性……

經?？梢钥吹揭恍┡渲貌桓?，性能不佳的防火墻產品在大流量沖擊下死機或掛起，輕則造成網絡堵塞上網奇卡無比。重則導致網絡中斷、業務完全無法進行。

迅雷、網游、在線音樂、網絡視頻在網絡中都是以64～256字節左右的小包為主，在相同1G吞吐下，64字節數據包的數量是1518數據包數量的18倍。從國家互聯網應急中心統計的數據看，2年來UDP15000和8000的比例明顯提高，這是迅雷、在線游戲和QQ等的應用。而在國際權威組織IEEE的調查顯示，真實網絡環境中這一類的數據包也是最多的。能利落搞定小包的防火墻，才能稱的上一款高效實用的防火墻。

我們不妨來看看國內一款叫“小包王”的千兆安全網關，從名字就能看出來這款產品的優勢所在。他們為何對自己這款產品有這樣的自信？網御神州的技術人員隨即為筆者解開了疑惑：

一、網神的小包王是以”多核并行安全操作系統SECOS”為基礎的，結合以上“諾亞方舟”的說法，它具有良好的操作系統（精密的全船控制系統）。

二、基于大容量可編程ASIC的多核加速引擎，可以很好的處理防火墻、VPN、QOS等網絡層數據，大幅提升產品的處理性能（大容量的船內空間）。

三、基于硬件實現的多核負載均衡技術，能夠將需要應用層處理的流量按照比例分配到不同的CPU核上，最大程度的做到了多核間的并行處理，大幅提升了設備的應用層處理性能（優秀的船體設計）。

四、多核與加速引擎，核心處理分離，提高了系統穩定性，并且多核之間相互監控，一旦有一個核出現故障，業務可迅速切換到其他核（堅固的船體）。

符合以上四點，一艘可以拯救網絡災難的“諾亞方舟”就可以造出來了。

不過簡單瀏覽以上四點，可能會覺得別的防火墻廠商也有類似的架構和技術。那我們再深究一下，一款防火墻要在網絡層小包處理方面領先對手，關鍵在哪里？

網御神州安全網關事業部副總經理王如章指出，處理網絡層數據的關鍵就是在第二點——大容量可編程ASIC的多核加速引擎。換言之，要體現防火墻小包處理優勢 ASIC利用率是關鍵。

他給筆者看了兩張圖，一張是目前業界主流的網絡產品架構（增加HASH算法的樹型搜索算法），如圖1所示。

圖1

它的優點是相對單樹結構，樹的個數增加，規模減小，可以大幅提升查找效率，缺點是對于表項規模更大的情況，樹的規模大，查找效率相對較低。適用于表項較少的搜索，一般在50萬以下的表項規模。

第二張是二維矩陣的樹型搜索算法樹形結構，如圖2所示。

圖2

這類算法結構目前為一些廠商所專有，優點是樹的個數成指數增加，可以大幅提升查找效率，相對增加HASH算法的樹型搜索算法樹形結構，搜索效率提升10倍以上。缺點是邏輯設計復雜，硬件實現難度大。適用于表項規模更大的搜索，一般在50萬以上的表項規模設計。比如網神的小包王系列就是用的這類架構。

只有用強大的算法將ASIC的性能發揮到極致，一個防火墻才有處理好小包的底氣！希望國內的防火墻廠商都能建造出這樣不懼“小包”壓力的“方舟”，讓大家的網絡遠離災患。

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】 

【編輯推薦】

1. FreeBSD 7.1到8.0皆有漏洞 可獲root權限堪稱圣誕禮物
2. 應用防火墻的下一代
3. 如何自己打造高性能寬帶路由防火墻
4. 提高管理與維護水平 企業網絡防火墻管理經驗談
5. 合理設置Vista系統防火墻讓其獨當一面
6. 簡單三步幫助企業解決Web業務安全防護問題
7. 如何選擇合適的Web安全網關
8. Web準入認證—破除802.1x部署之爭
9. Web應用安全技巧