浅谈防火墙产品的技术发展

防火墙作为信息安全领域最成熟的产品之一，其应用已经延伸到社会生活的各个领域，因此防火墙产品已成为国内安全产品竞争的焦点。时至今日，在防火墙产品竞争中，除了个别厂商强大的品牌和服务优势外, 产品功能方面同质化现象已经非常严重。我们不禁要问，防火墙的技术发展是不是已经停滞了？而笔者认为恰恰相反，日益提高的安全需求对信息安全产品提出了越来越高的要求，防火墙也不例外，下面我们就防火墙一些基本层面的问题来谈谈防火墙产品的主要发展趋势。

1、卓越的性能:
性能问题首先要从防火墙的硬件架构上来分析，通常防火墙的硬件架构可以分为通用处理器架构、NP架构、ASIC（包括FPGA）架构以及多核的MIPS架构等。国内的大部分厂商目前还是以X86架构的工控机产品为主，此类产品的开发门槛低，性能基本能满足中低端用户的需求，产品功能的扩展也比较便利。主要缺点是成本高、功耗大、硬件不够稳定，对于高可靠性和高性能的要求力不从“芯”，不适合担当中高端网络安全产品的角色。国外的厂商主要以ASIC架构的专用硬件设备为主，以高性能和高可靠性著称，但由于ASIC芯片设计的复杂性和高成本，产品升级换代的时间较长，扩展性差，远远不能跟上日益纷繁复杂的安全需求变化的脚步。不同架构之间具体的优劣势比较我们不在此具体描述，相关的文章已经很多了。下图列举了一下不同的系统架构能够达到的性能范围。

由图中可以看出对于高性能的要求NP、MIPS和ASIC架构都可以达到，至于具体使用哪一种，可以根据厂商的研发实力、预计投入成本和开发周期等因素来抉择。另外，多种架构混合的产品形态也越来越常见，不同架构之间可以优势互补，以达到最佳效果。目前市场上对吞吐量大于10G的防火墙需求越来越多，只有攻占了性能的至高点，才能树立防火墙高端市场的旗帜。

2、强大的功能
目前防火墙向多功能安全网关的发展趋势越来越显著，用户已经不仅仅满足传统的包过滤防火墙和IPSEC VPN的功能。他们对应用层协议的支持、过滤、控制以及对防火墙高可靠性和虚拟系统的需求日益迫切，这就出现了防火墙集成防病毒、入侵检测、SSL VPN以及防垃圾邮件等功能的UTM产品。随着网络与安全的融合，许多网络基础设备的特性也会一步步融入到防火墙设备中，比如说支持多种接入方式、支持MPLS功能以及多链路等。

3、良好的可扩展性
对于一个好的防火墙系统而言，它的规模和功能应该能够适应内部网络的规模和安全策略的变化。未来的防火墙系统应是一个可随意伸缩的模块化解决方案，从最为基本的包过滤器到带加密功能的VPN型包过滤器，直至一个独立的应用网关，使用户有充分的余地构建自己所需要的防火墙体系。

4、简便的可管理性
防火墙可以帮助管理员加强内部网络的安全性。但一个不具体实施任何安全策略的防火墙无异于高级摆设。防火墙产品配置和管理的难易程度是防火墙能否达到目的的主要考虑因素之一。实践证明许多防火墙产品并未起到预期作用的一个不容忽视的原因在于配置和实现上的错误。同时，若防火墙的管理过于困难，则可能会造成设定上的错误，反而不能达到其功能。因些防火墙的集中管理和WEB配置的简便化是发展的必然趋势。

5、主动防御
随着网络攻击的日益猖獗，部分厂商提出了主动防御的概念。所谓的主动防御就是防火墙能够集成多种L2~L7层内容检测的功能。例如：各种抗DDOS攻击以及许多防火墙内置的病毒扫描、内容过滤和URL过滤等功能，这样就可以在网络攻击入侵得逞前将其拒之于门外，当然前提条件是对已知病毒和恶意攻击，对于未知的攻击显然是没有效果的。虽然“主动防御”言过其实，但我们还是可以从中看出防火墙的抗攻击能力从L2~L4层发展到L2~L7层的趋势。

综上所述，随着网络安全事件的频繁发生，防火墙在网络安全解决方案中充当着越来越重要的角色。只有防火墙技术的不断发展，才能更好的去适应这个角色。作为国内领先的网络安全服务提供商，H3C公司长期致力于网络安全技术的研究和产品的开发，现已有针对不同用户群的系列防火墙产品，并提供完善的网络安全解决方案。H3C公司的SecPath系统防火墙产品，具有以下特点：