什么情況下用萬兆防火墻？隨著“三網融合”、“P2P視頻”、“高清寬帶”、“云時代”逐漸成為人們關注的焦點，對網絡帶寬的需求呈幾何級數增長。目前，交換機和路由器基本實現了“千兆到桌面，萬兆為骨干”。在這

什么情況下用萬兆防火墻？

隨著“三網融合”、“P2P視頻”、“高清寬帶”、“云時代”逐漸成為人們關注的焦點，對網絡帶寬的需求呈幾何級數增長。目前，交換機和路由器基本實現了“千兆到桌面，萬兆為骨干”。在這種趨勢下，傳統的千兆防火墻不可避免地成為網絡的瓶頸，無法真正應用于高速網絡。因此，隨著萬兆網絡的大規模普及，萬兆安全時代已經真正到來。

雖然各大廠商都意識到萬兆安全設備的推出勢在必行，但基于對市場的不同理解和技術儲備，目前市場上的萬兆防火墻產品也參差不齊。面對市場上十萬億防火墻魚龍混雜的局面，作為用戶，如何辨別真偽，選擇最合適的產品？接下來我們從四個角度來討論。

第一，順利擴張很重要。

快速的應用促進了網絡帶寬的不斷拓寬。從56K調制解調器到ISDN、ADSL、EPON和其他100千兆家庭也實現了同樣的目標。隨著大規模數據中心建設、移動互聯網和云計算的到來，業務系統的數據量也飛速發展。交換和路由設備的性能是業務系統實際性能的數倍甚至更多，足以滿足未來3 ~ 5年的發展。但是，安全設備的選擇，以業務系統之間的萬兆互聯為例。兩個業務系統部署的防火墻至少要10千兆級別，這遠遠不夠，因為目前選擇的10千兆防火墻的性能可能會成為業務擴展后的業務瓶頸。如果防火墻不具備性能擴展的能力，可能會造成投資的浪費。所以建議選擇擴容平滑的萬兆防火墻。

市面上大部分萬兆防火墻都宣稱最大性能是20G。但這種防火墻不僅在性能上無法擴容，實際性能也達不到宣稱的數值。比如某些防火墻所謂的20G性能就來自于巨型幀，而巨型幀作為非標準化的消息，一般是不可能在互聯網上傳輸的。目前市場上實際性能為20G的防火墻主要是一些網絡廠商推出的。借鑒交換機路由設備，采用分布式轉發架構設計，一般可以實現真正的萬兆限速轉發。

第二，功能可擴展性不容忽視。

對于萬兆防火墻來說，不僅性能要能夠平滑擴展，抵御* * *威脅的功能也要不斷跟進。對于普通處理器的防火墻來說，增加功能就意味著性能下降，因為對于普通CPU來說，每增加一行代碼，其性能都會下降一點。這對于萬兆防火墻的部署場景是不允許的。所以業內很多廠商考慮通過其他方式從防火墻的主處理器上卸載防火墻功能。首先，處理相對簡單但流量大的“快速路徑”從處理器“卸載”，將“寶貴的”處理器資源留給復雜的協議處理和消息的深入檢測。另一方面，高帶寬的專用外部接口芯片，如FPGA/ASIC、NPU等。有很強的消息處理能力。讓這些芯片承擔大吞吐量的快速路徑處理，充分發揮硬件加速的特點。

以及用什么樣的專用芯片來處理從處理器上卸載下來的業務？下面我們來看看幾種常見芯片的優缺點。

從上表可以看出，無論采用哪種模式的硬件協處理器，性能差別都不大。唯一不同的是功能是否可以擴展，這對于層出不窮的安全威脅尤為重要。

第三，能否與網絡設備無縫連接？

與低端防火墻相比，高端防火墻部署在核心地位更高、可靠性要求更嚴格的網絡中。除了實現安全域劃分和反* *，還需要與其他網絡設備無縫連接。比如在OSPF、MPLS 、IPv6網絡中部署防火墻，對網絡特性要求非常高，這也限制了很多信息安全廠商在防火墻領域的發展

同時，在大型網絡網點和數據中心，對組網的可靠性也要求非常高，網絡中的任何設備或鏈路出現故障后都需要快速切換和收斂。這就要求防火墻必須能夠支持從物理接口到設備狀態不同層次的接口組聯動、NQA、BFD等可靠性機制，以保證網絡在發生故障時能夠快速切換和收斂。

第四，性能不受大量安全策略的影響。

就高端防火墻本身的產品定位和部署位置而言，決定了它實際運行時，會開啟大量的安全策略。但是，一個安全策略和10000個安全策略對防火墻的性能要求是完全不同的概念。每年在運營商的集中采集測試中，很多廠商的防火墻性能都會隨著策略的增加而迅速下降。因此，高端防火墻必須有效解決這一問題。

結束語

眾所周知，防火墻和交換路由在性能上總是有差距的。未來網絡性能技術將隨著用戶的需求和芯片技術的發展呈幾何級數發展。防火墻技術需要快速發展，才能真正發展網絡。

在選擇萬兆防火墻保護業務系統時，高性能、高穩定性、豐富的網絡特性都是用戶需要考慮的因素。