淺談防火牆產品的技術發展

防火牆做爲信息安全領域最成熟的產品之一，其應用已經延伸到社會生活的各個領域，所以防火牆產品已成爲國內安全產品競爭的焦點。時至今日，在防火牆產品競爭中，除了個別廠商強大的品牌和服務優點外, 產品功能方面同質化現象已經很是嚴重。咱們不由要問，防火牆的技術發展是否是已經停滯了？而筆者認爲偏偏相反，日益提升的安全需求對信息安全產品提出了愈來愈高的要求，防火牆也不例外，下面咱們就防火牆一些基本層面的問題來談談防火牆產品的主要發展趨勢。

 

 

 

一、卓越的性能:
性能問題首先要從防火牆的硬件架構上來分析，一般防火牆的硬件架構能夠分爲通用處理器架構、NP架構、ASIC（包括FPGA）架構以及多核的MIPS架構等。國內的大部分廠商目前仍是以X86架構的工控機產品爲主，此類產品的開發門檻低，性能基本能知足中低端用戶的需求，產品功能的擴展也比較便利。主要缺點是成本高、功耗大、硬件不夠穩定，對於高可靠性和高性能的要求力不從「芯」，不適合擔當中高端網絡安全產品的角色。國外的廠商主要以ASIC架構的專用硬件設備爲主，以高性能和高可靠性著稱，但因爲ASIC芯片設計的複雜性和高成本，產品升級換代的時間較長，擴展性差，遠遠不能跟上日益紛繁複雜的安全需求變化的腳步。不一樣架構之間具體的優劣勢比較咱們不在此具體描述，相關的文章已經不少了。下圖列舉了一下不一樣的系統架構可以達到的性能範圍。

 

由圖中能夠看出對於高性能的要求NP、MIPS和ASIC架構均可以達到，至於具體使用哪種，能夠根據廠商的研發實力、預計投入成本和開發週期等因素來抉擇。另外，多種架構混合的產品形態也愈來愈常見，不一樣架構之間能夠優點互補，以達到最佳效果。目前市場上對吞吐量大於10G的防火牆需求愈來愈多，只有攻佔了性能的至高點，才能樹立防火牆高端市場的旗幟。

 

二、強大的功能
目前防火牆向多功能安全網關的發展趨勢愈來愈顯著，用戶已經不只僅知足傳統的包過濾防火牆和IPSec ××× 的功能。他們對應用層協議的支持、過濾、控制以及對防火牆高可靠性和虛擬系統的需求日益迫切，這就出現了防火牆集成防病毒、***檢測、SSL ×××以及防垃圾郵件等功能的UTM產品。隨着網絡與安全的融合，許多網絡基礎設備的特性也會一步步融入到防火牆設備中，好比說支持多種接入方式、支持MPLS功能以及多鏈路等。

 

三、良好的可擴展性
對於一個好的防火牆系統而言，它的規模和功能應該可以適應內部網絡的規模和安全策略的變化。將來的防火牆系統應是一個可隨意伸縮的模塊化解決方案，從最爲基本的包過濾器到帶加密功能的×××型包過濾器，直至一個獨立的應用網關，使用戶有充分的餘地構建本身所須要的防火牆體系。

 

四、簡便的可管理性
防火牆能夠幫助管理員增強內部網絡的安全性。但一個不具體實施任何安全策略的防火牆無異於高級擺設。防火牆產品配置和管理的難易程度是防火牆可否達到目的的主要考慮因素之一。實踐證實許多防火牆產品並未起到預期做用的一個不容忽視的緣由在於配置和實現上的錯誤。同時，若防火牆的管理過於困難，則可能會形成設定上的錯誤，反而不能達到其功能。因些防火牆的集中管理和WEB配置的簡便化是發展的必然趨勢。

 

五、主動防護
隨着網絡***的日益猖獗，部分廠商提出了主動防護的概念。所謂的主動防護就是防火牆可以集成多種L2~L7層內容檢測的功能。例如：各類抗DDOS***以及許多防火牆內置的病毒掃描、內容過濾和URL過濾等功能，這樣就能夠在網絡******得逞前將其拒之於門外，固然前提條件是對已知病毒和惡意***，對於未知的***顯然是沒有效果的。雖然「主動防護」言過其實，但咱們仍是能夠從中看出防火牆的抗***能力從L2~L4層發展到L2~L7層的趨勢。

 

綜上所述，隨着網絡安全事件的頻繁發生，防火牆在網絡安全解決方案中充當着愈來愈重要的角色。只有防火牆技術的不斷髮展，才能更好的去適應這個角色。做爲國內領先的網絡安全服務提供商，H3C公司長期致力於網絡安全技術的研究和產品的開發，現已有針對不一樣用戶羣的系列防火牆產品，並提供完善的網絡安全解決方案。H3C 公司的SecPath系統防火牆產品 ，具備如下特色：

• 先進的硬件架構，NP、FPGA及多核MIPS應用盡有，提供高達10GE的網絡吞吐量，以及其餘優異的性能指標。
• 想你所想，提供極其豐富的功能，從L2~L7層的抗***到內容過濾、從虛擬系統到雙機熱備，再到獨有的MPLS支持等功能，徹底知足用戶對於網絡防禦的需求。
• 良好的可擴展性，提供硬件端口、軟件模塊的擴展，量身定作，隨客戶所需。
• 強大的集中管理器，操做美觀簡便的WEB配置界面，普通的網管員也很適用，不再用求助所謂的網絡安全專家了。

因此說選擇了H3C，就選擇了防火牆的發展趨勢，也就選擇了您的網絡安全。