霧里看花 如何選擇真正的萬兆防火墻
回顧網絡與安全的發展歷程,不難發現網絡發展總是巧合的成為了安全發展的風向標,其中有兩個主要原因。一方面,安全防護手段針對的網絡攻擊與威脅往往出現在網絡建設成熟之后;另一方面,安全設備往往被視為網絡傳輸設備的有益補充。網絡設備的設計原則是快速的進行數據交換傳輸,即效率優先,而安全設備不僅需要對數據報文的合法性、威脅性進行判斷識別,還要分析處理報文載荷部分,因此,安全設備則是安全優先,效率其次。
隨著"三網合一"、 "P2P視頻"、"高清寬帶"、"云時代"等逐漸成為人們關注的焦點,網絡帶寬的需求產生了幾何級別的增長。目前,"千兆到桌面、萬兆做骨干"對于交換機和路由器都已基本實現,在這種趨勢下,傳統千兆防火墻不可避免地成為了網絡的瓶頸,無法真正適用于高速網絡中。因此,在萬兆網絡大規模普及的今天,萬兆安全時代也真正來臨了。
盡管各大廠商都意識到萬兆安全設備的推出勢在必行,然而基于對市場的理解和技術儲備的不同,目前市場上的萬兆防火墻產品也是參差不齊。面對市場萬兆防火墻魚龍混雜的情況,作為用戶,如何分辨真偽,選擇最為合適的產品呢?接下來,我們將從四個角度來探討一下。
其一,平滑擴容十分重要
迅速發展的應用推動著網絡帶寬不斷拓寬,從56K modem到ISDN、ADSL、EPON等百兆千兆入戶都已經實現;同樣的,隨著大規模數據中心建設、移動互聯網、云計算的到來,業務系統數據量也急劇發展,交換路由設備的性能都是業務系統實際性能幾十倍甚至更多,足可以滿足未來3~5年的發展,而安全設備的選擇,我們以業務系統之間萬兆互聯為例,在兩個業務系統中部署防火墻至少應該是萬兆級別,而這遠遠不夠,因為當前選擇的萬兆防火墻性能可能會在業務擴容之后成為業務瓶頸。如果該防火墻不具備性能擴容能力,就可能會造成投資的浪費。因此建議選擇具備性能可平滑擴容能力的萬兆防火墻。
市場上大多萬兆防火墻宣稱最大性能為20G。而此類防火墻不僅不能從性能上擴容,而且實際性能更達不到宣稱的數值,如一些防火墻所謂的20G的性能是在Jumbo幀的情況下得來的,而Jumbo幀作為非標準化格式的報文,一般在互聯網上是不可能傳輸的。目前在市面上實際性能可達到20G的防火墻主要是一些網絡類廠商所推出的,借鑒交換路由設備,采用分布式轉發架構設計,一般可達到真正的萬兆限速轉發。如H3C的超萬兆防火墻F5000就借助中高端交換機采用的Crossbar架構,增加一塊防火墻業務接口板,實現性能平滑擴容的。
其二,功能可擴展性不容忽視
對于萬兆防火墻而言,不僅性能要可以平滑擴容,而且其抵御攻擊威脅功能應該也可不斷跟進。對采用普通處理器的防火墻而言,增加功能則意味著性能的下降,因為對普通CPU而言,每增加一行代碼,其性能就會下降一點。對萬兆防火墻的部署場景,這是不允許的。因此業內許多廠商就考慮通過其他手段從防火墻主處理器上卸載防火墻功能,如下圖所示:
首先,把處理相對比較簡單,但是流量很大的"快速路徑"從處理器上"卸載(offlaod)",把"寶貴"的處理器資源留給復雜的協議處理和報文的深度檢測。另外一方面,本身具有高帶寬的外部接口專用芯片如FPGA/ASIC、NPU等等,具有很強的報文處理能力。讓這些芯片去承擔大吞吐量的快速路徑處理,充分發揮其硬件加速的特點。
而對于采用何種專用芯片來處理從處理器卸載下來的業務呢?我們來看一下幾種常見芯片的優劣對比。#p#
|
芯片類型
|
性能
|
擴展性
|
|
FPGA
|
性能高
★★★★☆
|
功能容易進行升級和擴展
★★★★★
|
|
ASIC
|
性能非常高
★★★★★
|
不能進行升級和擴展
★
|
|
NPU
|
性能較高,但隨著微碼的增加,性能下降較快
★★★★
|
功能容易進行升級和擴展,但要受到微碼空間的限制
★★★
|
從上表中可以看到,無論采用上述何種模式的硬件協處理器,在性能上的差別不大,唯一的差別,就是功能是否可擴展,對于層出不窮的安全威脅,功能能否擴展就顯得尤為重要。在H3C SecPath F5000-A5中,采用的是FPGA來作為防火墻業務的協處理器,而主處理器則采用多核處理器,來實現控制層面與轉發層面分離、并行處理器多種業務等。
其三,能否與網絡設備實現無縫對接
高端防火墻與低端防火墻相比,在網絡中部署的位置更核心、可靠性要求跟苛刻,除了實現安全域劃分、抗攻擊外,還要無縫地與其他網絡設備對接,如將防火墻部署在使用OSPF、MPLS VPN、IPv6網絡中,對防火墻的網絡特性要求非常高,這也限制了許多信息安全類廠商在防火墻領域的發展。而網絡類廠商則具有得天獨厚的優勢。例如H3C的防火墻和網絡設備都基于同一套Comware軟件平臺,這樣二者之間的對接就不存在問題,而且防火墻可以借助這一平臺很容易地支持IPv6、OSPF、RIP、BGP等路由協議。
同時,在大型網絡出口、數據中心,對組網的可靠性也提出了非常高的要求,網絡的任何一個設備、鏈路出現故障后都需要快速的切換、收斂。這要求防火墻必須能支持接口組聯動、NQA、BFD等從物理接口到設備狀態等不同層面的可靠性機制,從而保障網絡出現故障時可以快速的切換和收斂。
其四,性能不受海量安全策略影響
對于高端防火墻本身產品定位與部署位置而言,都決定了在其實際運行時,會開啟海量的安全策略。而1條安全策略與10000條安全策略,對于防火墻的性能要求完全是不一樣的概念。在每年的運營商集采測試過程中,許多廠家的防火墻性能都會隨著策略的增加而迅速下降。因此,高端防火墻必須有效地解決這個問題。H3C的F5000-A5是通過一個特有的ACL加速功能來實現這一點的,開啟該功能后,即使開啟上萬條安全策略,防火墻性能變化都不大,能充分滿足在高端場合的應用。
結束語
我們都知道,防火墻與交換路由在性能上始終存在差距,未來網絡性能技術會隨著用戶需求、芯片技術的發展呈幾何級發展,防火墻技術需要快速發展才能真正網絡發展的腳步。
在選擇萬兆防火墻來對業務系統進行防護時,高性能、高穩定性、豐富的網絡特性都是用戶需要考慮的因素。我們欣喜的看到H3C等廠商,依據積累的各行業網絡應用經驗,針對用戶網絡的脆弱之處,不斷的將高端交換路由技術移植到防火墻上,使得防火墻技術不斷推陳出新,防火墻性能上會不斷縮短與高端交換路由的差距,使得網絡安全均衡發展,為用戶構建真正的安全網絡。
【編輯推薦】
