| 出版日期:2004-09-06 总期号:626 本年期号:33 |
|
 |
让带宽和线速比翼齐飞
i博士 关键词 防火墙,千兆 进入秋高气爽的季节,欧主管的心情也格外“晴朗”。不为别的,公司网上业务越来越红火,原先的网络是不堪重负。于是,在烈日炎炎的盛夏,欧主管带领手下对单位的网络进行了改造。现在,欧主管所在的单位是通过一条千兆光纤接入Internet,单位内部局域网也实现了千兆。 “终于可以松口气了,这样的带宽应该可以撑两三年了。”欧主管喃喃自语说。不过,欧主管内心隐隐有些不安—网络改造完后,内部办公网的速度是明显加快了。但是也有一些员工抱怨上互联网的速度提高不多。 “究竟是怎么回事呢?两头都是千兆带宽,照理效果应该很明显才对。”欧主管百思不得其解。 一次周末的聚会,欧主管把自己的疑惑说给了i博士和钱经理听。看到欧主管有困难,i博士和钱经理都自告奋勇地放弃假日,陪欧主管一起去“会诊”。 三个臭皮匠,抵得上一个诸葛亮。问题的症结不到一个小时就查出来了—欧主管并没有将放在内外网之间的防火墙升级到千兆。“这就像修了两条高速公路,却没有将它们有效连接起来,车流一旦到了中间连接处,就不得不慢下来了。”i博士一针见血地指出了欧主管的失误。欧主管也恍然大悟:“怪不得上互联网,网速没有太大变化。” 问题既然发现了,当然要解决。于是,大家来到欧主管的办公室,开始把话题转向千兆防火墙。 千兆线速待细测 整合管理是趋势 在欧主管的要求下,i博士首先分析了为什么百兆防火墙无法快速连接两个千兆网络。 对于百兆防火墙来说,很多厂商都采用通用CPU配合软件的技术方案。虽然很多厂商也把它称之为硬件防火墙,但实际上都是基于X86架构的服务器或工控机。这类防火墙一般运行在经过裁减的操作系统上(通常是Linux或BSD),所有的数据包解析和审查工作都由软件来完成。再加上其转发速度就只有百兆,因此用它来作为千兆内外网之间的安全“关口”,自然会影响整个网络的速度。 对于千兆防火墙而言,性能是很重要的一个指标。千兆网络环境下,速度往往会成为防火墙的瓶颈。但是现在标称的千兆防火墙,真正可以达到标准线速的非常少,而对于线速的要求,又是千兆防火墙的必备指标之一。 “即使是千兆防火墙,要真正达到千兆转发速度,目前来说也并不容易。”i博士补充说。 “那怎样才能真正衡量千兆防火墙的性能呢?”欧主管开始刨根问底。于是,i博士继续解说下去。 吞吐量测试数据、丢包率测试数据和延迟测试数据,是衡量千兆防火墙性能的根本指标参数。以太网吞吐量最大理论值称为线速,即指网络设备有足够的能力以全速处理最小的数据封包转发。因此一个千兆防火墙系统要达到千兆线速,必须在全速处理最小的数据封包(64字节)转发时可达到100%吞吐率。当前来看,真正达到线速的防火墙很少。 “据我所知,千兆防火墙有三种不同的实现结构。i博士,你看哪种更有发展前途?”在一旁好久没有发言的钱经理突然插了进来,而且这也正是欧主管想了解的。 目前,千兆防火墙的硬件实现技术主要有三种:Intel X86架构工控机、ASIC硬件加速技术和网络处理器(NP)加速技术。从i博士掌握的情况来看,Intel X86架构以其高灵活性和扩展性一直受到国内防火墙厂商的青睐,特别是它在百兆防火墙上获得了巨大的成功。但由于X86 CPU考虑了各种应用的需要,所以处理速度相对较慢,难以满足网络高速发展的需求。而且其设备自身的安全性较低,很多网络攻击很容易实现。 ASIC专用硬件加速技术主要是部分国外厂商的防火墙产品采用。ASIC作为硬件集成电路,它是通过把指令或计算逻辑固化到硬件中,可以获得很高的处理能力,因而能够明显提升防火墙的吞吐性能。然而,ASIC最大的缺点是缺乏灵活性,只能支持有限的应用和服务。 网络处理器(NP)通过良好的体系结构设计和专门针对网络处理优化的部件,为上层提供了一个可编程控制的环境,可以很好地解决硬件加速和软件可扩展的折衷问题。 “NP架构的确有优势,但不同厂商的产品都各有千秋。姑且不论厂商采用哪种架构,强大的硬件结构、安全功能的整合、强化的周边防护和一个完善统一的管理平台,是厂商对千兆防火墙未来发展的基本共识。”i博士总结道。 技术观点 安氏产品经理 李世朋 防火墙技术的发展,应当随着网络安全威胁的演变及现代企业不断变化的安全需求而发展。同时,随着互联网应用的不断发展,企业的业务模式也在发生着变化,企业的内网已延伸到合作伙伴、大客户、供应商和顾问团的网络,内外网的概念及划分上已经变得很模糊了,这就给防火墙厂商带来了新的挑战。因此,市场迫切需要有一款防火墙的出现,能够全方位对企业资源进行更细粒度的安全防护。 联想信息安全服务事业部 防火墙产品经理 吕晓东 目前防火墙技术的发展有3个趋势,同时也是3个瓶颈:数据的线速处理能力(性能瓶颈)和深度过滤(安全瓶颈)以及网络统一资源管理和审计监控(管理瓶颈)。从联想产品的发展历程看,联想在性能方面已经从PCI总线信息传递,发展到了专用NP技术处理数据,打破了性能瓶颈这一关键技术门槛。同时,联想在深度过滤方面和协同管理方面也有了突破性的进展,并有相应产品问世。 赛门铁克中国区技术经理 郭训平 时至今日,千兆防火墙已经上升到了新的高度。仅从产品的发展趋势来看,增加更多的个性化功能成为千兆防火墙的发展趋势。这类功能将主要集中在以往防火墙的弱项,即内容过滤方面。随着内容过滤效率的提高,将IDS/IPS集成到防火墙中,提供网络防护的整体方案将成为趋势。 千兆已成主流 硬件还将增长 
“我记得前年的时候,市场上就开始大肆炒作千兆防火墙。时至今日,千兆防火墙的市场地位究竟如何呢?”钱经理经常做项目,对防火墙的市场还是有所了解。 “那不叫‘炒作’,而是市场的确需要千兆防火墙。这主要的原因是近年来,一些行业和大型企业用户相继将网络升级到千兆,所以防火墙的升级也是水到渠成的事。”i博士解释说。 随着企业越来越多地将核心业务放在网络运行,网络安全的重要性日益凸现。而且这几年来,病毒、黑客等对网络造成的危害越来越严重,使得网络安全成为近几年来增长最快的市场之一。 据CCID最新的数据显示,2004年上半年,中国网络安全产品市场中防杀毒软件和防火墙仍然占据主要市场份额,两者合计占总市场70.5%的份额。其中,防火墙产品的销售额为5.54亿元,比2003年上半年增长了1.75亿元,同比增长率46.2%。 “从这一点来看,防火墙仍然是网络安全领域重要的产品。”i博士评价道。i博士认为需要说明的是,即使同是千兆防火墙,其综合处理能力还是有差异的。如果是硬件式防火墙,处理能力就更强;而基于PC和软件的产品,其综合处理能力就弱。真正意义上的千兆防火墙,不仅要有高效的大包处理能力,而且在小包能力和会话能力上都要有突破。另外,是不是达到千兆的标准,还要看突发流量的处理能力。 因此,今后几年防火墙产品的市场状况是硬件防火墙将继续保持增长,而基于软件的防火墙市场份额将持续降低。 防火墙的发展,将继续在自适应状态型防火墙的基础上进一步发展。从防火墙发展走过的道路和经验来看,防火墙将继续是网络安全的支撑产品,市场的需求将继续保持稳定增长。 市场观点 JUNIPER网络公司高级技术顾问 赵彦利 随着网络的发展和延伸,以及对安全性能要求的提高,从百兆过渡到千兆已是必然趋势,高端市场将不断扩大。对一个公司来说,为满足市场和用户的需求,推出具有前瞻性的技术和产品,是赢得市场的关键。今后,随着网络应用的发展和客户需求的提高,对带宽和防火墙需求也不断提高,将会有更多厂商加入这一市场,从而使竞争更加激烈。 思科公司高新技术部门产品经理 喻超 思科将帮助用户逐步认识网络的安全,不是简单地部署防火墙就能解决的问题,而是一个系统工程。单纯地比较防火墙产品参数、性能的做法,已不适应当今复杂的网络,用户需要具有智能化自我保护的系统。满足用户需求,才能赢得市场。 北京天融信公司产品管理中心 段亚峰 目前,在网络安全的众多种类产品中,防火墙是竞争最激烈的产品之一。网络带宽的拓展、各种应用的增加,使千兆防火墙又成为其中的一个新焦点。但千兆防火墙对厂商的技术水平、硬件生产能力提出了严格要求,除非是有较强的研发和生产能力,否则很难进入这个领域,也很难研发生产出产品。 |
||||||||||||||||||||||
