随着“三网合一”、 “P2P视频”、“高清宽带”、“云时代”等逐渐成为人们关注的焦点，网络带宽的需求产生了几何级别的增长。目前，“千兆到桌面、万兆做骨干”对于交换机和路由器都已基本实现，在这种趋势下，传统千兆防火墙不可避免地成为了网络的瓶颈，无法真正适用于高速网络中。因此，在万兆网络大规模普及的今天，万兆安全时代也真正来临了。

　　尽管各大厂商都意识到万兆安全设备的推出势在必行，然而基于对市场的理解和技术储备的不同，目前市场上的万兆防火墙产品也是参差不齐。面对市场万兆防火墙鱼龙混杂的情况，作为用户，如何分辨真伪，选择最为合适的产品呢?接下来，我们将从四个角度来探讨一下。

　　其一，平滑扩容十分重要

　　迅速发展的应用推动着网络带宽不断拓宽，从56K modem到ISDN、ADSL、EPON等百兆千兆入户都已经实现;同样的，随着大规模数据中心建设、移动互联网、云计算的到来，业务系统数据量也急剧发展，交换路由设备的性能都是业务系统实际性能几十倍甚至更多，足可以满足未来3～5年的发展，而安全设备的选择，我们以业务系统之间万兆互联为例，在两个业务系统中部署防火墙至少应该是万兆级别，而这远远不够，因为当前选择的万兆防火墙性能可能会在业务扩容之后成为业务瓶颈。如果该防火墙不具备性能扩容能力，就可能会造成投资的浪费。因此建议选择具备性能可平滑扩容能力的万兆防火墙。

　　市场上大多万兆防火墙宣称最大性能为20G。而此类防火墙不仅不能从性能上扩容，而且实际性能更达不到宣称的数值，如一些防火墙所谓的20G的性能是在Jumbo帧的情况下得来的，而Jumbo帧作为非标准化格式的报文，一般在互联网上是不可能传输的。目前在市面上实际性能可达到20G的防火墙主要是一些网络类厂商所推出的，借鉴交换路由设备，采用分布式转发架构设计，一般可达到真正的万兆限速转发。如H3C的超万兆防火墙F5000就借助中高端交换机采用的Crossbar架构，增加一块防火墙业务接口板，实现性能平滑扩容的。

　　其二，功能可扩展性不容忽视

　　对于万兆防火墙而言，不仅性能要可以平滑扩容，而且其抵御攻击威胁功能应该也可不断跟进。对采用普通处理器的防火墙而言，增加功能则意味着性能的下降，因为对普通CPU而言，每增加一行代码，其性能就会下降一点。对万兆防火墙的部署场景，这是不允许的。因此业内许多厂商就考虑通过其他手段从防火墙主处理器上卸载防火墙功能，如下图所示：

　　FPGA/ASIC/NPU

　　通用处理器平台

　　MAC-PHY

　　slow path

　　fast path

　　图 1 基于硬件加速的架构

　　首先，把处理相对比较简单，但是流量很大的“快速路径”从处理器上“卸载(offlaod)”，把“宝贵”的处理器资源留给复杂的协议处理和报文的深度检测。另外一方面，本身具有高带宽的外部接口专用芯片如FPGA/ASIC、NPU等等，具有很强的报文处理能力。让这些芯片去承担大吞吐量的快速路径处理，充分发挥其硬件加速的特点。

　　而对于采用何种专用芯片来处理从处理器卸载下来的业务呢?我们来看一下几种常见芯片的优劣对比。

　　从上表中可以看到，无论采用上述何种模式的硬件协处理器，在性能上的差别不大，唯一的差别，就是功能是否可扩展，对于层出不穷的安全威胁，功能能否扩展就显得尤为重要。在H3C SecPath F5000-A5中，采用的是FPGA来作为防火墙业务的协处理器，而主处理器则采用多核处理器，来实现控制层面与转发层面分离、并行处理器多种业务等。

　　其三，能否与网络设备实现无缝对接

　　高端防火墙与低端防火墙相比，在网络中部署的位置更核心、可靠性要求跟苛刻，除了实现安全域划分、抗攻击外，还要无缝地与其他网络设备对接，如将防火墙部署在使用OSPF、MPLS VPN、IPv6网络中，对防火墙的网络特性要求非常高，这也限制了许多信息安全类厂商在防火墙领域的发展。而网络类厂商则具有得天独厚的优势。例如H3C的防火墙和网络设备都基于同一套Comware软件平台，这样二者之间的对接就不存在问题，而且防火墙可以借助这一平台很容易地支持IPv6、OSPF、RIP、BGP等路由协议。

　　同时，在大型网络出口、数据中心，对组网的可靠性也提出了非常高的要求，网络的任何一个设备、链路出现故障后都需要快速的切换、收敛。这要求防火墙必须能支持接口组联动、NQA、BFD等从物理接口到设备状态等不同层面的可靠性机制，从而保障网络出现故障时可以快速的切换和收敛。

　　其四，性能不受海量安全策略影响

　　对于高端防火墙本身产品定位与部署位置而言，都决定了在其实际运行时，会开启海量的安全策略。而1条安全策略与10000条安全策略，对于防火墙的性能要求完全是不一样的概念。在每年的运营商集采测试过程中，许多厂家的防火墙性能都会随着策略的增加而迅速下降。因此，高端防火墙必须有效地解决这个问题。H3C的F5000-A5是通过一个特有的ACL加速功能来实现这一点的，开启该功能后，即使开启上万条安全策略，防火墙性能变化都不大，能充分满足在高端场合的应用。

　　结束语

　　我们都知道，防火墙与交换路由在性能上始终存在差距，未来网络性能技术会随着用户需求、芯片技术的发展呈几何级发展，防火墙技术需要快速发展才能真正网络发展的脚步。

　　在选择万兆防火墙来对业务系统进行防护时，高性能、高稳定性、丰富的网络特性都是用户需要考虑的因素。我们欣喜的看到H3C等厂商，依据积累的各行业网络应用经验，针对用户网络的脆弱之处，不断的将高端交换路由技术移植到防火墙上，使得防火墙技术不断推陈出新，防火墙性能上会不断缩短与高端交换路由的差距，使得网络安全均衡发展，为用户构建真正的安全网络。