思科辅导：如何选择真正的万兆防火墙

会计考友 · 发表于 2012-8-3 20:03:30

　跟着“三网合一”、 “P2P视频”、“高清宽带”、“云时代”等逐渐成为人们关注的焦点，收集带宽的需求发生了几何级此外增添。今朝，“千兆到桌面、万兆做主干”对于交流机和路由器都已根基实现，在这种趋向下，传统千兆防火墙不成避免地成为了收集的瓶颈，无法真正合用于高速收集中。是以，在万兆收集年夜规模普及的今天，万兆平安时代也真正惠临了。　　尽管各年夜厂商都意识到万兆平安设备的推出势在必行，然而基于对市场的理解和手艺储蓄的分歧，今朝市场上的万兆防火墙产物也是参差不齐。面临市场万兆防火墙鱼龙混杂的情形，作为用户，若何分传神伪，选择最为合适的产物呢?接下来，我们将年夜四个角度来切磋一下。
其一，滑腻扩容十分主要
　　迅速成长的应用敦促着收集带宽不竭拓宽，年夜56K modem到ISDN、ADSL、EPON等百兆千兆入户都已经实现;同样的，跟着年夜规模数据中心培植、移动互联网、云计较的到来，营业系统数据量也急剧成长，交流路由设备的机能都是营业系统现实机能几十倍甚至更多，足可以知足未来3～5年的成长，而平安设备的选择，我们以营业系统之间万兆互联为例，在两个营业系统中部署防火墙至少应该是万兆级别，而这远远不够，因为当前选择的万兆防火墙机能可能会在营业扩容之后成为营业瓶颈。如不美观该防火墙不具备机能扩容能力，就可能会造成投资的华侈。是以建议选择具备机能可滑腻扩容能力的万兆防火墙。
　　市场上年夜多万兆防火墙传布鼓吹最年夜机能为20G。而此类防火墙不仅不能年夜机能上扩容，而且现实机能更达不到传布鼓吹的数值，如一些防火墙所谓的20G的机能是在Jumbo帧的情形下得来的，而Jumbo帧作为非尺度化名目的报文，一般在互联网上是不成能传输的。今朝在市道上现实机能可达到20G的防火墙主若是一些收集类厂商所推出的，借鉴交流路由设备，采用分布式转发架构设计，一般可达到真正的万兆限速转发。
其二，功能可扩展性不容轻忽
　　对于万兆防火墙而言，不仅机能要可以滑腻扩容，而且其抵御抨击袭击威胁功能应该也可不竭跟进。对采用通俗措置器的防火墙而言，增添功能则意味着机能的下降，因为对通俗CPU而言，每增添一行代码，其机能就会下降一点。对万兆防火墙的部署场景，这是不许可的。是以业内良多厂商就考虑经由过程其他手段年夜防火墙主措置器上卸载防火墙功能，
　　首先，把措置相对斗劲简单，可是流量很年夜的“快速路径”年夜措置器上“卸载(offlaod)”，把“珍贵”的措置器资本留给复杂的和谈措置和报文的深度检测。此外一方面，自己具有高带宽的外部接口专用芯片如FPGA/ASIC、NPU等等，具有很强的报文措置能力。让这些芯片去承担年夜吞吐量的快速路径措置，充实阐扬其硬件加速的特点。
　　而对于采用何种专用芯片来措置年夜措置器卸载下来的营业呢?我们来看一下几种常见芯片的口角对比。

　　年夜上表中可以看到，无论采用上述何种模式的硬件协措置器，在机能上的分歧不年夜，独一的分歧，就是功能是否可扩展，对于层出不穷的平安威胁，功能能否扩展就显得尤为主要。
其三，能否与收集设备实现无缝对接
　　高端防火墙与低端防火墙对比，在收集中部署的位置更焦点、靠得住性要求跟苛刻，除了实现平安域划分、抗抨击袭击外，还要无缝地与其他收集设备对接，如将防火墙部署在使用OSPF、MPLS VPN、IPv6收集中，对防火墙的收集特征要求很是高，这也限制了良多信息平安类厂商在防火墙规模的成长。而收集类厂商则具有得天独厚的优势。
　　同时，在年夜型收集出口、数据中心，对组网的靠得住性也提出了很是高的要求，收集的任何一个设备、链路呈现故障后都需要快速的切换、收敛。这要求防火墙必需能撑持接口组联动、NQA、BFD等年夜物理接口到设备状况等分歧层面的靠得住性机制，年夜而保障收集呈现故障时可以快速的切换和收敛。
其四，机能不受海量平安策略影响
　　对于高端防火墙自己产物定位与部署位置而言，都抉择了在其现实运行时，会开启海量的平安策略。而1条平安策略与10000条平安策略，对于防火墙的机能要求美全是纷歧样的概念。在每年的运营商集采测试过程中，良多厂家的防火墙机能城市跟着策略的增添而迅速下降。是以，高端防火墙必需有用地解决这个问题。
竣事语
　　我们都知道，防火墙与交流路由在机能上始终存在差距，未来收集机能手艺会跟着用户需求、芯片手艺的成长呈几何级成长，防火墙手艺需要快速成长才能真正收集成长的脚步。
　　在选择万兆防火墙来对营业系统进行防护时，高机能、高不变性、丰硕的收集特征都是用户需要考虑的身分。

		自动登录	找回密码
密码			立即注册

[综合] 思科辅导：如何选择真正的万兆防火墙