浅谈防火墙产品的技术发展

防火墙做为信息安全领域最成熟的产品之一，其应用已经延伸到社会生活的各个领域，所以防火墙产品已成为国内安全产品竞争的焦点。时至今日，在防火墙产品竞争中，除了个别厂商强大的品牌和服务优点外, 产品功能方面同质化现象已经很是严重。咱们不由要问，防火墙的技术发展是否是已经停滞了？而笔者认为偏偏相反，日益提升的安全需求对信息安全产品提出了愈来愈高的要求，防火墙也不例外，下面咱们就防火墙一些基本层面的问题来谈谈防火墙产品的主要发展趋势。

 

 

 

一、卓越的性能:
性能问题首先要从防火墙的硬件架构上来分析，一般防火墙的硬件架构能够分为通用处理器架构、NP架构、ASIC（包括FPGA）架构以及多核的MIPS架构等。国内的大部分厂商目前仍是以X86架构的工控机产品为主，此类产品的开发门槛低，性能基本能知足中低端用户的需求，产品功能的扩展也比较便利。主要缺点是成本高、功耗大、硬件不够稳定，对于高可靠性和高性能的要求力不从“芯”，不适合担当中高端网络安全产品的角色。国外的厂商主要以ASIC架构的专用硬件设备为主，以高性能和高可靠性著称，但因为ASIC芯片设计的复杂性和高成本，产品升级换代的时间较长，扩展性差，远远不能跟上日益纷繁复杂的安全需求变化的脚步。不一样架构之间具体的优劣势比较咱们不在此具体描述，相关的文章已经不少了。下图列举了一下不一样的系统架构可以达到的性能范围。

 

由图中能够看出对于高性能的要求NP、MIPS和ASIC架构均可以达到，至于具体使用哪种，能够根据厂商的研发实力、预计投入成本和开发周期等因素来抉择。另外，多种架构混合的产品形态也愈来愈常见，不一样架构之间能够优点互补，以达到最佳效果。目前市场上对吞吐量大于10G的防火墙需求愈来愈多，只有攻占了性能的至高点，才能树立防火墙高端市场的旗帜。

 

二、强大的功能
目前防火墙向多功能安全网关的发展趋势愈来愈显著，用户已经不只仅知足传统的包过滤防火墙和IPSec ××× 的功能。他们对应用层协议的支持、过滤、控制以及对防火墙高可靠性和虚拟系统的需求日益迫切，这就出现了防火墙集成防病毒、***检测、SSL ×××以及防垃圾邮件等功能的UTM产品。随着网络与安全的融合，许多网络基础设备的特性也会一步步融入到防火墙设备中，好比说支持多种接入方式、支持MPLS功能以及多链路等。

 

三、良好的可扩展性
对于一个好的防火墙系统而言，它的规模和功能应该可以适应内部网络的规模和安全策略的变化。将来的防火墙系统应是一个可随意伸缩的模块化解决方案，从最为基本的包过滤器到带加密功能的×××型包过滤器，直至一个独立的应用网关，使用户有充分的余地构建本身所须要的防火墙体系。

 

四、简便的可管理性
防火墙能够帮助管理员增强内部网络的安全性。但一个不具体实施任何安全策略的防火墙无异于高级摆设。防火墙产品配置和管理的难易程度是防火墙可否达到目的的主要考虑因素之一。实践证实许多防火墙产品并未起到预期做用的一个不容忽视的缘由在于配置和实现上的错误。同时，若防火墙的管理过于困难，则可能会形成设定上的错误，反而不能达到其功能。因些防火墙的集中管理和WEB配置的简便化是发展的必然趋势。

 

五、主动防护
随着网络***的日益猖獗，部分厂商提出了主动防护的概念。所谓的主动防护就是防火墙可以集成多种L2~L7层内容检测的功能。例如：各类抗DDOS***以及许多防火墙内置的病毒扫描、内容过滤和URL过滤等功能，这样就能够在网络******得逞前将其拒之于门外，固然前提条件是对已知病毒和恶意***，对于未知的***显然是没有效果的。虽然“主动防护”言过其实，但咱们仍是能够从中看出防火墙的抗***能力从L2~L4层发展到L2~L7层的趋势。

 

综上所述，随着网络安全事件的频繁发生，防火墙在网络安全解决方案中充当着愈来愈重要的角色。只有防火墙技术的不断发展，才能更好的去适应这个角色。做为国内领先的网络安全服务提供商，H3C公司长期致力于网络安全技术的研究和产品的开发，现已有针对不一样用户群的系列防火墙产品，并提供完善的网络安全解决方案。H3C 公司的SecPath系统防火墙产品 ，具备如下特色：

• 先进的硬件架构，NP、FPGA及多核MIPS应用尽有，提供高达10GE的网络吞吐量，以及其余优异的性能指标。
• 想你所想，提供极其丰富的功能，从L2~L7层的抗***到内容过滤、从虚拟系统到双机热备，再到独有的MPLS支持等功能，彻底知足用户对于网络防御的需求。
• 良好的可扩展性，提供硬件端口、软件模块的扩展，量身定作，随客户所需。
• 强大的集中管理器，操做美观简便的WEB配置界面，普通的网管员也很适用，不再用求助所谓的网络安全专家了。

因此说选择了H3C，就选择了防火墙的发展趋势，也就选择了您的网络安全。