经过近四年的发展，千兆防火墙在我国开始进入普及阶段。当前，NP(网络处理器)和ASIC(专用集成电路)技术开始进入信息安全产品市场，而且传统的x86架构产品也越发成熟，为了帮助广大用户深入了解千兆防火墙产品、技术及应用，计算机世界评测实验室组织了本次千兆防火墙产品横向比较评测，在性能、功能以及抗攻击能力等几个方面对于参测产品进行了考察。本次评测得到了业界厂商的普遍关注，共有10家厂商的产品参加了本次评测，这些产品分别来自NP、x86和ASIC阵营，具有较好的代表性。在评测中，我们使用了业界最新的测试设备，并选用了尽量贴近用户实际应用的测试标准，以期为用户采购和应用防火墙提供有益的参考和指导。

从量变到质变

从百兆到千兆，最初只是量变。千兆防火墙在2000年前后就进入了我国市场。由于百兆网络接口与千兆网络接口的成本相差不大，早期的千兆防火墙仅仅是将百兆接口替换为千兆接口而已，其核心不但没有改变，而且还成为其处理能力的瓶颈，因此可以说是一种“换汤不换药”的形式改变。

随后几年，随着千兆网络在企业和行业用户中的不断普及，以及用户对性能需求的不断增加，千兆防火墙也逐渐发生了质变。

这种质的变化首先是由于传统的x86架构同时受到了NP和ASIC两种新架构的挑战。x86架构的产品已经发展成熟，并在功能实现上具有很难逾越的多样性; 但其性能发展却受到体系结构的制约，作为通用的计算平台，x86的结构层次较多，不易优化，且往往会受到PCI总线的带宽限制。这在客观上为基于ASIC和NP技术的产品创造了机会。不过目前，市场上多数防火墙产品仍采用x86架构。

相比之下，ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理，虽然研发成本较高，灵活性受限制、无法支持太多的功能，但其性能具有先天的优势，非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。目前，NetScreen（现已经为Juniper并购）在ASIC防火墙领域占有优势地位，而我国的首信于去年推出了我国首款基于自主技术的ASIC千兆防火墙产品，另一家著名的防火墙厂商方正数码的ASIC防火墙也已经处在研发的最后阶段。

NP可以说是介于两者之间的技术，NP是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于防火墙常用的包过滤、转发、哈希表处理等算法和操作都进行了专门的优化，可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。使用NP开发的难度和灵活性都介于ASIC和x86构架之间。目前提供NP解决方案的主要有Intel、Motorola等厂商。我国的联想等厂商于去年发布了基于NP架构的千兆防火墙产品，紫光比威的有关产品也即将推出。

现在业界普遍认为，ASIC和NP代表了千兆防火墙的发展趋势。两者在设计上都能够实现线速的千兆转发。因此防火墙厂商都有基于NP或ASIC的产品计划。

在NP和ASIC的双重压力下，x86技术并未丧失生命力，其丰富的功能特色、灵活的开发环境和成熟的产品结构都成为对其有利的砝码。并且，在有关厂商的积极努力下，其性能也取得了一定的突破。

所有这些因素，使得千兆防火墙产品在整体上达到了一个新的高度，完成了从量变到质变的飞跃。

防火墙的矛与盾

抛开基础结构方面的因素，每一款防火墙产品都是在争论中成长起来的。甚至可以说，在各种网络产品中，防火墙的角色是最具多面性和矛盾性的。

首先，防火墙是一种安全设备，这决定了它是一种以限制为目的的设备。更准确地说，它必须对于进出流量进行控制和管理，需要能够在网络的不同层次（2～7层）对流量进行审视，并根据预定的安全策略来决定是否对流量采取措施。

另一方面，防火墙是一种网络设备，而且通常是处于内网和外网衔接的关键位置，它只有具备高速处理的能力，才能够避免流量拥塞而成为瓶颈。这意味着防火墙要具有与以太网交换机接近的包转发率。

这两者的矛盾是防火墙产品最主要的矛盾之一: 通常防火墙产品很难做到在处理应用层内容过滤的同时又保证接近线速的包转发能力。

除了以上的基本功能之外，防火墙还要面对企业用户多样化的需求。其中，包括要在不牺牲安全的前提下，帮助用户弥补失去的端到端应用特性，根据需要实现各种4～7层主流协议的透传支持; 还包括为关键业务和实时性要求较强的视音频应用提供带宽保证，以及为用户提供安全、易用的管理界面；提供足够的审计功能辅助用户决策，并满足用户的安全策略设计。

更有甚者，防火墙还需要能够处理一些例外的情况。例如，在某些场合下，安全性对于用户并不是最重要的因素，要向其他功能或性能需求做出妥协。

总之，几乎在每一个功能的实现中，防火墙的设计人员都要面对功能和性能这对矛盾的处理，并经常需要对某一方面进行倾斜。

因此，虽然当前的防火墙产品多是基于Linux或FreeBSD的核心进行嵌入式改造后发展而成的，难免具有同质化倾向,但每一种成熟的防火墙产品在发展过程中都经过了多年的市场洗礼，其产品的特性取向和实现方式都代表了其制造商对于用户需求的不同理解。

基于以上原因，在本次测试中，我们一方面对防火墙产品中具有共性的性能和功能进行了横向的对比测试，另一方面还基于各个厂商产品的优点和特点进行了深入地挖掘，力求提供有价值的第一手信息。

防火墙技术展望

从千兆防火墙产品的发展趋势来看，目前随着NP和ASIC技术的应用，性能的禁锢已经打开，下一步的发展方向必然是增加更多必要的功能，从而充分运用NP和ASIC的计算能力。这类功能将主要集中在以往防火墙的弱项，即内容过滤方面，随着内容过滤效率的提高，将IDS/IPS集成到防火墙中，提供网络防护的整体方案将成为趋势。另外一个趋势则是防火墙与交换机的整合，或者说是防火墙功能在网络中向分布式发展，今后的交换机中可能会具有更多、更强大的防火墙功能。事实上，在Juniper收购NetScreen之后，传统的网络设备厂商在防火墙领域的地位已经引起了所有防火墙厂商的注意。对于传统的网络设备厂商来说，将以NP和ASIC为核心的内容过滤技术应用到交换机的模块或交换机本身之中，在企业网络核心或特定的边缘对内容进行更深层次的控制，将成为其保障企业网络安全的重要手段。

（计算机世界报 第09期 D8）