防火墙的变革之路

　　 
　　网络由窄带向宽带高速发展的过程促成了防火墙的更新换代。今天，“状态监测” 的技术权威性已经确定，硬件防火墙取代软件防火墙成为大势所趋。
　　
　　年终对信息安全产业回顾，免不了再次提到防火墙。一年来，中

　　国的防火墙销售比去年增长了49%，占信息安全整体销售额的40%。无论是电信大户、中小企业或是SOHO族，没有人怀疑防火墙的实用价值。防火墙经历了巨大的变革。
　　
　　从包过滤到应用代理
　　
　　防火墙技术本身经历了3次巨变。早期的防火墙只是采用简单的“包过滤”技术——即对进出网络的数据包进行检查，虽然效率高，但漏洞大，缺乏安全性，很快被淘汰出局。随后的应用代理技术让通信经应用代理层转发，可彻底隔断两端的直接通信，可想而知，安全性增加很多，却以牺牲效率为代价。
　　
　　随后，一家以色列的技术公司Check Point创建的状态监测技术，摈弃了前两种技术的不足，它对每一个数据包的检查不仅根据策略表，还考虑会话状态，提供了对传输层的完全控制能力。状态监测技术一经推出，就广受大众青睐。目前，它已成为防火墙事实上的技术标准，全球几乎所有的主流防火墙公司都采用此技术。而Check Point公司由于将业务定位在开放的体系结构上，并在全球倡导开放的OPSEC联盟，确立了其在防火墙领域的里程碑式的地位。
　　
　　归根结底，防火墙是一种软件技术。但防火墙的形态，同样经历了三代演变！
　　
　　从软件到PC硬件
　　
　　早期的防火墙多以软件形态出现。以软件著称的Check Point公司典型的第一代软件防火墙架构是：运行在标准的基于CPU的PC机或小型机以及通用操作系统上。
　　
　　在没有其他安全技术或设备时，软件防火墙非常流行。但很快，软件防火墙的弱点开始暴露出来：通用操作系统并未为安全专门设计，本身带有很多漏洞，尤其是Windows操作系统在全世界流行，却也将大量的漏洞或Bug带到了每一个客户终端上，这些漏洞很快成为攻击目标，就像建立在浮沙中的大厦，安全从何而来？从性能上说，各种应用共享公共的CPU、RAM、PCI 总线等资源，而防火墙的拆包解包需要大量的数学运算，CPU不堪重负，性能大受影响。
　　
　　Check Point很快发现了问题，开始在世界各地寻求硬件合作伙伴。其他厂商也一样，这样就出现了目前最流行的第二代防火墙架构——软件+PC硬件。
　　
　　国外的第二代防火墙以Cisco和Nokia为代表，而国内以东软、天融信、联想、方正、安氏中国等为代表。这类防火墙的特点是，仍保留基于CPU的PC结构，但不再使用通用操作系统，而使用各类厂商自主研发的专用操作系统；同时，不再以PC的面貌出现，而是一些专用的硬盒子。
　　
　　为安全而定制的操作系统从根本上解决了软件防火墙存在的严重安全隐患。由于是专用设备，在防火墙上并不跑其他的应用，因此，整体处理性能上也大幅提高。另外，它最大的优点是灵活性高，通过软件可完成各类工作，且升级换代非常容易，只需通过网络下载将内置的软件升级。同样，在其中整合进多种安全功能也轻而易举，2002年某些厂商在防火墙中整合了VPN、杀病毒、IDS或内容过滤等等，就是灵活性带来的好处。
　　
　　无论是厂商主推的百兆防火墙还是2002年在中国市场热火朝天的千兆防火墙，无不是这种架构。
　　
　　但是，随着宽带网络的发展，随着商业运算复杂程度的增加，PC结构的防火墙在大数据流量面前逐渐显得力不从心。典型的宽带应用会带来数万甚至数十万的并行会话，更多的会话意味着更多的中断，这会带来处理能力的急剧下降，甚至设备死机，因此，会话数是最能体现防火墙处理能力的参数之一; 另一个参数是加解密能力，二代防火墙需借助附加的加密卡才能达到较高的处理速度。因此，在电信级应用以及每天有海量数据传输的大型企业网内，这类防火墙逐渐陷入困境。
　　
　　从PC 硬件到ASIC硬件
　　
　　人们开始考虑使用ASIC技术。这种演变与其他网络设备非常类似，如路由器的发展经历了由PC路由软件到专用路由器到基于ASIC的路由交换机、交换路由器的过程。
　　
　　ASIC的全称为Application Specific Integrated Circuit，意思为专用的系统集成电路，是一种带有逻辑处理的加速处理器。简单地说，ASIC就是用硬件的逻辑电路实现软件的功能。使用ASIC可把一些原先由CPU完成的通用工作用专门的硬件实现，从而在性能上获得突破性的提高。因此，在单一领域，人们希望ASIC能带来较高的运算效率。
　　
　　第三代防火墙是以NetScreen公司为代表的基于ASIC架构的防火墙。四年前，NetScreen在关键业务处理中抛弃了CPU而替之以ASIC，这使原先需要上万条指令才能完成的处理可在瞬间由数个循环完成；多总线结构保证在端口上进行数据传输时内部仍然可高效处理数据，不再受传统的“中断”限制。
　　
　　第三代防火墙也采用专用操作系统和CPU。某些人对此诟病：这本质上仍然没有走出“软件”防火墙的窠臼。但事实上，它并不依赖操作系统和CPU的性能，因为它们的作用只有两个：驱动ASIC硬件和管理接口，所以它们只负责总体协调却并不参与任何数据处理工作。在ASIC高效处理数据时，CPU甚至很空闲。所以，第三代防火墙的CPU甚至没有前两代那么高档，升级速度也不需太快。
　　
　　第三代防火墙目前已在电信部门获得了广泛认可，但它仍不完善，ASIC的特点决定了它的灵活性相对较差，如果需要进行升级，只能单换一台设备；如果要添加新功能，也只能另买设备。
　　
　　但第三代防火墙厂商目前正在考虑解决这些问题，即如何在固件的体系上兼顾灵活性。它们采取的方法有提供系统升级方案，让设备具备预留容量和能力以支持未来新应用，或与其他策略性厂商一起提供兼容搭售方案等。我们相信，改进后的第三代必将成为未来的主流防火墙。

原文转自：http://www.ltesting.net