文/王峰 张蓁

    高端安全产品种类繁多，质量参差不齐，用户选择起来有一定困难。本文从系统的硬件架构、可靠性保证、性能及关键功能等几个方面介绍如何选择合适的高端安全产品。

先进的硬件架构

    发动机是车的心脏，选车最主要是看发动机。选择高端安全产品同样要看他有没有一颗奔腾的“心”。不过此奔腾非PC上的Intel Pentium，作为通用处理器的Intel Pentium在处理日常业务时功能比较强劲，但在网络数据包的处理上却力不从“芯”，所以使用通用处理器架构的设备已不能满足高端安全产品的需求。综合目前已有的核心网络处理器技术，对于单纯高性能的要求以FPGA/ASIC架构表现最为突出，对于灵活性和高性能兼顾的需求以多核MIPS架构/FPGA为优，具体比较请参考图1。另外，多种架构混合的产品形态也越来越常见，不同架构之间可以优势互补，以达到最佳效果。

http://www.h3c.com.cn/res/200904/15/20090415_748727_image001_631266_30008_0.jpg

    光有好的发动机，没有强劲的传动装置，发动机的威力也发挥不出来。总线结构对于高端安全产品来说就象汽车的传动装置。以往的集中式产品因为总线结构的限制在提升性能方面存在明显不足，集中式产品的接口板是通过共享PCI/PCI-X总线的方式挂接在主控板上，由于受PCI/PCI-X总线带宽的限制，接口板的数量仅仅能够提升端口密度，而无法有效提升性能。对于分布式设备，由于采用Switch Fabric的交换总线结构，不仅提升了总线带宽，且任何端口的输入到任何端口的输出之间都有独立通道，通过控制矩阵控制每个通道的通断，任意通道之间的带宽都相互独立，这样通过接口板的扩展就能有效提高整机的吞吐量。Crossbar被称为交叉开关矩阵或纵横式交换矩阵，是构建大容量系统首选的Switch Fabric技术，而Crossbar交换网也是高端安全产品的首要选择。

设备的高可靠性

    高端安全设备一般布署在关键的网关位置，对可靠性要求极高，这就需要在软硬件设计方面进行充分的可靠性保证，主要可以从以下几方面考量：

    1) 软件对网络处理单元需要做好充分保护，单个处理单元出现问题，不能影响到其他处理单元的正常工作；

    2) 网络数据通道需要保持多路，部分物理通道的损坏不会影响其他通路；

    3) 重要物理部件（如CPU、内存、存储装置以及风扇、电源）做到实时监控，出现故障可以实时报警，软件故障能够自动恢复。支持风扇、电源等重要物理部件的热插拔；

    4) 业务模块都支持热插拔，单个业务模块出现硬件故障，不会影响其他业务模块；

    5) 具备冗余电源；

    6) 支持虚拟系统和热备功能。

    这里对虚拟系统功能详细说明一下。支持虚拟系统的产品会将所有的系统资源都按配置分配到各个独立的虚拟设备中，每一台虚拟设备都好比一台真实设备，重要资源都是独享的。当有攻击发生时，各个虚拟设备将抵挡各自的攻击，即使某个虚拟设备系统资源被网络攻击耗尽，也不会影响其他的虚拟设备系统，也就是说其他受虚拟设备保护的服务器仍然可以正常运行。从购买产品的用户角度来讲，花一台设备的钱买多台虚拟设备，物超所值。

    热备功能对于高端安全设备来说也是必不可少的，毕竟单台设备自身可靠性再高，也不能完全避免其他因素的干扰。对于重要的网络环节，布署两台或多台设备是必要的。这就需要设备支持良好的热备功能，不仅物理链路能在秒级内及时切换，而且网上的现有业务不能中断。另外对于不同的ISP网络接入，网络数据来回路径不一致的情况也能很好处理。

    在硬件平台和高可靠系统设计之外，防火墙、入侵防御IPS和应用控制网关等产品在具体功能上还有一些差异，下面将分别论述其关键指标。

如何衡量高端防火墙产品？

    对于高端防火墙产品而言，各种性能指标一直是衡量其优劣的关键，在用户选择时，可以从网络层性能指标、应用层性能指标和抗攻击性能指标等方面进行评估。

    网络层性能指标主要包括吞吐量、时延等。网络层的吞吐量是以待测设备不丢弃数据包为前提的最大速率，吞吐量越大意味着设备的性能越高。时延是指设备入口处输入帧最后1个比特到达出口处输出帧的第1个比特输出所用的时间间隔。时延越小意味着设备性能越高。目前一些性能优异的高端万兆安全产品，网络层的吞吐量64字节小包已能达到9G以上，128字节及以上能够达到线速，时延各种字节的报文能够控制在20us以内。

    应用层性能指标包括并发连接数/每秒新建连接数、应用层吞吐量（HTTP、FTP、SMTP等业务）以及混合业务吞吐量等指标。每秒新建连接数是测试设备每秒所能建立起的TCP/HTTP连接数及所能保持的最大TCP/HTTP连接数。每秒新建连接数越大，表示设备在单位时间内的处理能力越强，是设备抗攻击和处理突发流量能力的基础。最大并发连接数代表设备可以支持的最大的网络同时建立连接的数量，它的大小表示了设备对网络规模大小的支持程度，最大并发连接数越大意味着支持的网络规模越大，最大并发连接数越小意味着支持的网络规模越小。应用层的吞吐量主要是测试设备对应用层协议的处理能力，指标越高说明应用层协议处理能力越强。优秀的高端万兆设备，一般每秒新建连接数能在50万之上，并发连接数大于1000万，应用层吞吐量接近线速。

    对于高端安全设备来说，抗攻击能力也是选择时要考虑的一个很重要的因素。以往很多事例都表明，一旦发生争用带宽和大流量攻击事件，最先失去抵抗能力的往往就是网络安全设备本身。而如何提高设备抗击DDoS的能力也一直是个技术难题，多数厂家目前还停留在软件解决方案上，效果欠佳。从实际效果来看，FPGA或ASIC芯片架构的设备，可以利用自身处理网络流量速度快的能力，来解决会话层以下的攻击问题，但更多的面向应用层攻击的问题，ASIC局限于扩展性，目前也无能为力，只有FPGA可以通过功能升级应对不断变化的应用层攻击。一些抗攻击能力较强的设备，由于采用硬件防攻击技术，目前防SYN Flood和UDP Flood等DDOS攻击能力已经能够达到10G。

    综上所述，对于高端防火墙产品而言，衡量其优劣的关键指标小结如下：