千兆防火墙(什么情况下用万兆防火墙?)
什么情况下用万兆防火墙?
随着“三网融合”、“P2P视频”、“高清宽带”、“云时代”逐渐成为人们关注的焦点,对网络带宽的需求呈几何级数增长。目前,交换机和路由器基本实现了“千兆到桌面,万兆为骨干”。在这种趋势下,传统的千兆防火墙不可避免地成为网络的瓶颈,无法真正应用于高速网络。因此,随着万兆网络的大规模普及,万兆安全时代已经真正到来。
虽然各大厂商都意识到万兆安全设备的推出势在必行,但基于对市场的不同理解和技术储备,目前市场上的万兆防火墙产品也参差不齐。面对市场上十万亿防火墙鱼龙混杂的局面,作为用户,如何辨别真伪,选择最合适的产品?接下来我们从四个角度来讨论。
第一,顺利扩张很重要。
快速的应用促进了网络带宽的不断拓宽。从56K调制解调器到ISDN、ADSL、EPON和其他100千兆家庭也实现了同样的目标。随着大规模数据中心建设、移动互联网和云计算的到来,业务系统的数据量也飞速发展。交换和路由设备的性能是业务系统实际性能的数倍甚至更多,足以满足未来3 ~ 5年的发展。但是,安全设备的选择,以业务系统之间的万兆互联为例。两个业务系统部署的防火墙至少要10千兆级别,这远远不够,因为目前选择的10千兆防火墙的性能可能会成为业务扩展后的业务瓶颈。如果防火墙不具备性能扩展的能力,可能会造成投资的浪费。所以建议选择扩容平滑的万兆防火墙。
市面上大部分万兆防火墙都宣称最大性能是20G。但这种防火墙不仅在性能上无法扩容,实际性能也达不到宣称的数值。比如某些防火墙所谓的20G性能就来自于巨型帧,而巨型帧作为非标准化的消息,一般是不可能在互联网上传输的。目前市场上实际性能为20G的防火墙主要是一些网络厂商推出的。借鉴交换机路由设备,采用分布式转发架构设计,一般可以实现真正的万兆限速转发。
第二,功能可扩展性不容忽视。
对于万兆防火墙来说,不仅性能要能够平滑扩展,抵御* * *威胁的功能也要不断跟进。对于普通处理器的防火墙来说,增加功能就意味着性能下降,因为对于普通CPU来说,每增加一行代码,其性能都会下降一点。这对于万兆防火墙的部署场景是不允许的。所以业内很多厂商考虑通过其他方式从防火墙的主处理器上卸载防火墙功能。首先,处理相对简单但流量大的“快速路径”从处理器“卸载”,将“宝贵的”处理器资源留给复杂的协议处理和消息的深入检测。另一方面,高带宽的专用外部接口芯片,如FPGA/ASIC、NPU等。有很强的消息处理能力。让这些芯片承担大吞吐量的快速路径处理,充分发挥硬件加速的特点。
以及用什么样的专用芯片来处理从处理器上卸载下来的业务?下面我们来看看几种常见芯片的优缺点。
从上表可以看出,无论采用哪种模式的硬件协处理器,性能差别都不大。唯一不同的是功能是否可以扩展,这对于层出不穷的安全威胁尤为重要。
第三,能否与网络设备无缝连接?
与低端防火墙相比,高端防火墙部署在核心地位更高、可靠性要求更严格的网络中。除了实现安全域划分和反* *,还需要与其他网络设备无缝连接。比如在OSPF、MPLS 、IPv6网络部署防火墙,对网络特性要求非常高,这也限制了很多信息安全厂商在防火墙领域的发展。当n
同时,在大型网络网点和数据中心,对组网的可靠性也要求非常高,网络中的任何设备或链路出现故障后都需要快速切换和收敛。这就要求防火墙必须能够支持从物理接口到设备状态不同层次的接口组联动、NQA、BFD等可靠性机制,以保证网络在发生故障时能够快速切换和收敛。
第四,性能不受大量安全策略的影响。
就高端防火墙本身的产品定位和部署位置而言,决定了它实际运行时,会开启大量的安全策略。但是,一个安全策略和10000个安全策略对防火墙的性能要求是完全不同的概念。每年在运营商的集中采集测试中,很多厂商的防火墙性能都会随着策略的增加而迅速下降。因此,高端防火墙必须有效解决这一问题。
结束语
众所周知,防火墙和交换路由在性能上总是有差距的。未来网络性能技术将随着用户的需求和芯片技术的发展呈几何级数发展。防火墙技术需要快速发展,才能真正发展网络。
在选择万兆防火墙保护业务系统时,高性能、高稳定性、丰富的网络特性都是用户需要考虑的因素。
版权声明:本文内容由互联网用户自发贡献,本站不承担相关法律责任.如有侵权/违法内容,本站将立刻删除。