防火牆新技術剖析

 　　長久以來，業界普遍把安全網關產品的安全防護能力和性能水平看作兩個不合的孿生兄弟，人們認為打開的安全防護功能多了性能勢必受影響，性能高的產品必然不會具有太多功能。各級廠商也不斷的在各種解決方案中游走，其中最著名的高性能方案可能是分布式交換和負載均衡，然而又會帶來網絡延遲大、系統臃腫、維護成本高的難題，那麼，安全和性能真的不能兼得了嗎?

　　當今10GE以太網絡已經成為大大小小的核心機房的標准配備，甚至40GE/100GE以太網也已漸成規模，大筆資金慷慨投入網絡建設的時候，與10GE網絡相匹配的網絡安全建設卻一直讓人耿耿於懷，因為安全設備多數並不能以10Gbps的速度完成防病毒、入侵防御、內容過濾等安全防護任務，用戶投資沒有發揮出其應有價值。

　　並且傳統安全過濾帶寬設計，很難達到80Gbps的線速處理能力，少數達到這種處理能力的方案基本都是采用分布式多業務板交換堆疊的方式，其帶來的體積大、功耗大、維護工作量大問題是令用戶異常頭疼的，有用戶發出感概“我的業務量增長了25%，我的機房設備維護人員也增加了25%，難道IT真的變成勞動密集型產業了嗎?”。思來想去，我們不禁要問，設備體積是否也應該成為衡量設備技術水平高低的指標呢?假如占一間屋子的小型機和一台英特爾超極本的性能相同，那小型機還值得購買嗎?

　　網御星雲做為業界領先廠商，多年來一直秉承技術創新宗旨，其“精五”、“強五”系列安全網關擁有廣泛的業界知名度，2013年網御星雲又推出 “威五”真萬兆線速安全網關(以下簡稱：網御威五)，該產品在64～1518字節多種數據包、TCP/UDP/HTTP多種協議混雜的網絡環境下，具有防火牆、防病毒、入侵防御、內容過濾等全功能打開時的10Gbps全時線速處理能力，實現了10Gbps的安全處理能力和10GE的網絡處理能力無縫對接，用戶在部署10GE網絡時不必再擔心投入和產出不成正比。那麼具體來說網御威五安全網關都有哪些特色呢?

　　全功能萬兆線速安全引擎

　　網御威五全威脅檢測10Gbps+線速處理能力

　　通過業務處理引擎的高效預檢機制和協議加速引擎的快速轉發設計，網御威五可以在混合攻擊包和病毒文件及多種應用特征的混合負載下，實現防火牆、防病毒、入侵防御、內容過濾等全功能打開時的萬兆全時線速處理能力。

　　但這還遠遠不能體現出網御威五的性能優勢，我們假設威脅特征的檢出率是70%(盡管業界一直在努力追求100%，多數時候這個假設仍是比較實際的)，在4G負載的情況下達到這個檢出率是正常水准，為了保持檢出率不下降有些產品采用了犧牲性能的辦法，就是當負載達到某個程度，比如4.5G的時候，系統吞吐量無法再繼續上升。相對的，得益於特征匹配優化算法，網御威五可以在保持威脅特征檢出率不變的情況下，支持達到萬兆的吞吐處理能力。

　　4G~80Gbps全天候線速防火牆吞吐

　　雙協議處理加速模塊級聯後網御威五可處理80Gbps線速吞吐

　　在某些情況下，我們可以忽略復雜、多變流量，把所有流量都看作簡單、重復流量來進行處理，就像通常在防火牆內所做的處理一樣，在某些應用場合這種使用方式是很普遍的。這些用戶通常都需要很強大的系統吞吐能力，他們只關心流量從哪裡來、到哪裡去，而不太關心流量的細節。

　　這時協議加速引擎就可以完全發揮出威力了，協議加速引擎從一開始就是為了處理簡單、重復流量而設計的，其核心部件協議處理加速模塊的設計吞吐能力最高40Gbps，最低也不低於4Gbps，並且不管流量是由什麼數據構成的均能實現全天候線速轉發。通過協議處理加速模塊的級聯，網御威五可為不同需求的用戶提供4Gbps線速、8Gbps線速、40Gbps線速、80Gpbs線速等多種不同線速吞吐能力組合，從而更好的讓先進技術為用戶提供量體裁衣式的服務。

　　3μs(微秒)最低轉發延遲

　　采用先進技術網御威五的低傳輸延遲

　　協議加速引擎使用相對獨立的系統資源，有專用的快速內存為其提供運算支持，業務處理引擎采用並行計算的方式同時進行多項特征匹配，這些設計導致一個必然的結果：系統處理數據的單位耗時降低了，更准確的說是延遲降低了。低延遲對復雜的應用系統來說是影響使用效果的關鍵因素，拿北京首都機場T3航站樓舉個例子，T3航站樓是目前世界第二大的單體航站樓，建築面積90多萬平方米，旅客容納能力可想而知，但即使容納旅客的數量非常多，如果不改變落後的手工更換登機牌操作，也只能是以隊伍冗長、擁擠不堪為T3航站樓的建設畫上一個不佳的句號。好在大量的登機牌自助更換設備解決了這一問題，在旅客容納能力大幅提升的同時，保證了更換登機牌操作的單位耗時維持在較低水平。

　　防病毒、入侵防御、內容過濾統一引擎

　　網御威五從研發之初即采用了構建在專用硬件平台和VSP實時操作系統上的高度模塊化的USE統一安全引擎。

　　USE統一安全引擎

　　網御威五不僅具有網絡入侵防御和網絡病毒防御功能，同時還具有豐富的應用監控功能。可以根據不同的時間、群組，來對即時聊天軟件、網游、P2P軟件等下達嚴格的管理策略。網御威五對應用的識別基於應用行為和數據特征，而不是基於端口號，有效地提升了應用的識別率，避免了誤判。尤其對P2P應用中的加密傳輸，網御威五基於應用行為識別與主動探測相結合的方式，有效地克服了加密後無法識別的業內難題。

　　網御威五系列具有多款型號，均可實現全時線速處理能力，網御威五的推出，開創了安全和性能、性能和體積、性能和功耗、投入和產出雙贏兼得的至臻安全時代，又將在業界掀起一股追逐技術創新的熱潮。