更快更智能下一代防火墙新技术初探

2011/6/21 18:03:38

随着互联网的蓬勃发展，网络流量大幅提升，要求下一代防火墙必须具备更高性能、更低时延。

随着网络的发展，网络应用不断丰富。大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户，协议端口号不等于应用，数据包不等于行为。

最近几年，传统防火墙解决方案在应对当前大量的威胁以及不断变化的应用环境时已经显得力不从心。

首先，随着网络的发展，网络应用不断丰富。大量应用建立在HTTP等基础协议之上，或者随机产生端口号，或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户，协议端口号不等于应用，数据包不等于行为。如何“看清”应用中的内容并进行防御，这是对防火墙提出了新要求。其次，网络正在从千兆走向万兆甚至10万兆，网络带宽增长迅速，防火墙应有足够的性能和扩展性来应对这种变化。再次，随着远程办公的快速增长，要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，尤其重要的是能够识别加密过的数据。

显然，和其他网络设备一样，防火墙必须随需而变，升级到下一代防火墙，才能在变革的大潮中焕发新的生命力。

越“跑”越快

随着互联网的蓬勃发展，网络流量大幅提升，要求下一代防火墙必须具备更高性能、更低时延。Hillstone山石网科(以下简称山石网科)产品经理张龙勇向记者介绍，该公司的防火墙采用多核Plus G2架构和新一代的全并行流检测引擎技术，在同档的硬件配置下有多达5倍的性能提升。防火墙最高可达20万每秒新建连接、20Gbps吞吐量和1000万并发会话。

SonicWALL的下一代防火墙技术Project SuperMassive也采用大规模多核架构，运行于SonicWALL的多刀片机架之上。96核和384核的产品实施原型已经在Interop大会上展出。

SonicWALL首席技术官兼工程副总裁John Gmuender说：“面对不断增加的带宽速度以及互联网威胁的数量、频率及复杂性的不断上升，我们知道Project SuperMassive技术平台需要具备大规模的可扩展性。通过采用Cavium的卓越芯片技术，该平台可扩展到1024个核。同时，经安全与漏洞检测领先公司IXIA验证，其性能超过了40 Gbps。”

华为赛门铁克的高端安全网关设备则采用“NP +多核+分布式”架构，具备优异的防火墙性能，最多可支持8个业务处理模块，整机吞吐量可达到80Gbps，每秒新建连接数为160万，最大并发连接数为3200万。此外该系列产品还具备完善的VPN性能，目前业务处理模块并发隧道数量为4万，整机最高支持32万。

“性能与业务复杂度天生就是一对矛盾体，在一些要求较高的应用场合，就算是多核系统平台也很难做到功能、性能两全。”网御神州防火墙负责人王刚说。为了解决这个问题，网御神州的新一代防火墙基于“为多核加速”的设计理念，在多核架构上引入了可编程ASIC加速引擎技术和多核负载均衡技术。一方面，可编程ASIC加速引擎的引入，彻底解决了传统多核架构在网络层处理性能上的不足，尤其是“小包”处理性能的不足，可以达到64字节小包8G线速的处理性能; 另一方面，多核处理器计算性能优越、在应用层处理能力上的优势得到了很好的继承;而多核负载均衡技术，解决了传统多核架构下由于没有高效的调度技术导致多核的并行处理效能无法得到充分释放的难题。多核负载均衡技术能够将需要应用层处理的流量按照比例分配到不同的CPU核上，最大程度地做到了多核间的并行处理，大幅提升了设备的应用层处理性能，IPS吞吐可以轻松超过双向1Gbps线速。

看透应用

传统防火墙能够很好地防范网络层攻击。但是，随着富媒体应用的爆炸性增长，以及Web 2.0应用快速向业务环境渗透，隐藏在应用层中的恶意威胁越来越多，用户要求下一代防火墙必须能够检测出隐藏在应用层数据流中的攻击。

Check Point的工程师向记者介绍，Check Point防火墙软件刀片采用智能检查技术—INSPECT，将网络层和应用层保护集成在一起。INSPECT支持多种应用程序和应用协议，可以方便地扩展支持新的应用程序和应用协议。

在深度应用安全方面，山石网科的防火墙可对P2P、IM、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用进行控制。识别的应用多达几百种，而且随着应用的发展每天都在增加。应用特征库可独立升级，不影响系统的稳定性。而且，其采用交叉检测技术，不仅对协议进行深度的分析，还通过综合分析用户状态、应用状态和行为状态，来确认协议的真正含义，实现更精准和更快速的定位。

责编：刘书畅