搜索
选择之难在于缺乏清晰合理的评估方式,本文对用户在选择万兆防火墙时普遍面临的困惑及问题加以总结并分析,可作为我们对万兆防火墙进行考察的关注要点。选择万兆防火墙需关注的四个方面文/王玉堂尽管各大厂商都意识到万兆安全设备的推出势在必行,然而基于对市场的理解和技术储备的差异,导致当前市场上的万兆防火墙产品也是参差不齐。如果以传统防火墙的角度进行选择,似乎都可以满足要求,但细致考量会发现防火墙的细节里有大乾坤,且均与用户业务息息相关。笔者根据日常与用户的交流,总结出以下最普遍面临的问题,并分享一些具体的实践办法。1、开启越来越多的功能,如何保证万兆防火墙的高性能?随着CPU技术的高速发展和网络业务的不断丰富,硬件防火墙的“芯”也随其发展,先后经历了X86架构、单核RISC通信专用处理器、NP到如今成为主流的多核处理器。防火墙的性能也从百兆、千兆、万兆到100G的防火墙。防火墙的性能是由硬件架构和软件处理能力共同决定的,但防火墙可达到的性能水平是由处理器芯片和硬件架构决定的。对于百兆、千兆级别的中低端防火墙一般采用单处理器系统,如图1所示,这是一种通用的安全产品架构设计,可以称之为“万能”设计,性价比较高,但我们都清楚处理器每增加一行代码,性能就会下降。因此对于高端万兆防火墙而言,这种架构是无法胜任的。图1通用防火墙设计架构因此我们需要寻求一种更为高效的硬件架构来解决上述问题,根据管理学中的“放权理论:权力过于集中在领导手中,导致领导工作量过大”的思路,对于高端万兆级别的防火墙的一个设计理念——从处理器上卸载更多的业务,这是高端产品架构设计的关键之处,也是安全产品提升性能的关键之处。如图2所示:图2基于硬件加速的架构首先,把处理相对比较简单但是流量很大的“快速路径”从处理器上“卸载(offlaod)”,把“宝贵”的处理器资源留给复杂的协议处理和报文的深度检测。另一方面,本身具有高带宽的外部接口专用芯片如FPGA/ASIC、NPU等等,具有很强的报文处理能力,让这些芯片去承担大吞吐量的快速路径处理,充分发挥其硬件加速的特点。那么应该采用何种专用芯片来处理从处理器卸载下来的业务呢?以下是几种常见芯片的优劣对比,如表1所示。芯片类型性能扩展性NP性能较高,但随着微码的增加,性能下降较快★★★★功能容易进行升级和扩展,但要受到微码空间的限制★★★ASIC性能非常高★★★★★不能进行升级和扩展★FPGA性能高★★★★☆功能容易进行升级和扩展★★★★★表1常见硬件协处理器对比分析ØNP因其芯片架构更多的是针对2,3层的数据转发(路由器应用),所以在安全应用上就有很大的限制,对报文4~7层的处理很难实现。同时,NPU也是通过微码来实现功能的,所以随着特性的增加,性能下降非常明显。这样一来,如果用NPU来做安全产品的快速路径,所能够卸载的功能就很少,加速的作用很有限(其表现就是在简单业务的配置下,能够达到较高的性能,但是在复杂功能配置下,性能急剧下降)。再考虑到NPU本身都比较昂贵,成本上也不占优。因此,用NPU来构建高性能的安全平台,并不是最佳的方案。ØASIC其缺点显而易见,使用ASIC很难应对纷繁复杂的安全特性,一旦出现ASIC所不支持的规格,就无法起到加速的作用。同时ASIC的开发周期很长,一般在1年以上,NRE(一次性工程费用)费用高。所以,基于ASIC的平台很难适应快速发展的安全特性,也不是最佳的选择。ØFPGA(可编程硬件,一种半定制电路)FPGA在性能上可以达到同等规模逻辑门ASIC的90%以上。并且在一定的范围内(主要受到芯片内部的资源限制),其特性增加性能却不会下降,这在很大程度上有效的保证了产品的性能,同时又使得产品特性有相当的“弹性”,可以不断增强。在这些因素的共同推动下,利用FPGA来完成安全产品快速路径的处理,就能够卸载越来越多的业务到FPGA,同时又使得性能得以保证,是高端安全产品的最佳硬件平台。从表1可以看到,无论采用上述何种模式的硬件协处理器,性能上的差别并不大,唯一的差别就是功能是否可扩展。而面对层出不穷的安全威胁,功能能否扩展就显得尤为重要。图3以抗SynFlood攻击为例展示了FPGA作为防火墙协处理器是如何工作的。FPGA替代CPU对TCP数据流的三次握手的交互报文处理,通过TCP代理或SYN-Cookie方式来阻断SynFlood攻击,从而实现抗SynFlood攻击功能的硬件化。传统的防火墙无论采用TCP代理方式还是SYN-Cookie方式,都通过CPU来防御SynFlood攻击的,以8核32线程多核处理器为例,其防御性能约为2Mpps,而通过FPGA对SYNFlood攻击防御性能为8Mpps,防御性能提升了4倍之多。图3基于FPGA的硬件抗SynFlood攻击示意图2、在业务快速增长情况下,如何避免防火墙“提前退役”?传统防火墙的各个端口之间的数据转发一般通过共享总线或共享内存方式,防火墙的性能受限于共享总线或共享内存的容量,性能无法扩充,并且数据在多端口之间转发时还需总线仲裁,使得防火墙数据转发的时延增大。在业务快速增长情况下若继续使用这种架构防火墙,要么是性能不足更换新防火墙,用户投资受损,要么数据转发时延增大,影响业务数据处理的感知,导致内部员工或客户的满意度降低。有没有好的方法来解决性能、时延与业务快速增长的矛盾呢?Crossbar无阻塞交换矩阵架构,是业界公认的用于构建大容量系统的首选交换网络结构,最先在核心交换机上应用。如图4所示,在防火墙业务接口板内及不同业务接口板间,数据交互均通过Crossbar无阻塞交换网进行转发,无需等待总线空闲,数据转发时延降低到20us以下,并解决传统数据跨板转发需上送主控所面临的性能瓶颈问题。图4基于Crossbar的架构设计H3C将CrossBar无阻塞交换矩阵架构应用到超万兆防火墙F5000-A5上,使得网络与安全在性能上的差距逐渐缩小。首先,CrossBar实现了线路卡到交换结构的物理连接简化为点到点连接,CrossBar内部无阻塞。一个CrossBar只要同时闭合多个交叉节点(crosspoint),多个不同的端口就可以同时传输数据,降低了防火墙大容量转发时的时延;其次,防火墙整机的性能可以扩充防火墙业务板卡进行性能的平滑扩容;第三,在管理上,由于防火墙业务板卡集成防火墙业务和接口,整个防火墙均为集中管理,与部署的防火墙业务板卡数量无关,实现真正的分布式转发、集中式管理。3、海量安全策略如何实现快速部署和效率优化?高端防火墙在大型网络边界、大型数据中心前端部署情况,一般需配置海量的ACL策略,许多安全厂商对于防火墙的配置策略是通过WEB界面逐条录入,配置万条策略需消耗大量的人力,他们通常采用的是开源linux平台提供WEB配置安全策略防火墙,在中低端防火墙上由于安全策略配置数量较少,这个问题还不突出,一旦到了高端万兆防火墙的部署场景,这个问题就会凸显出来。高端防火墙本身产品定位与部署位置都决定了在其实际运行时,会开启海量的安全策略。而1条安全策略与10000条安全策略,对于防火墙的性能要求完全是不一样的概念。大规模的安全策略部署最佳方式是通过命令行进行配置,在命令行环境下通过脚本编程方式实现安全策略配置的自动化功能,可解决首次海量安全策略的配置复杂化的问题。在每年运营商集采测试中,不少防火墙性能会随着策略的增加而迅速下降。因此,在选择高端防火墙时必须要求其有效地解决这个问题。以H3C的F5000-A5为例,它是通过特有的ACL加速算法来保证性能不下降,当该功能开启后,开启上万条安全策略,防火墙性能变化不大,可以充分满足在高端场合的应用。4、需要关注防火墙的哪些组网能力及业务能力?防火墙做为业务承载平台的一部分,除其本身的安全域划分、安全域之间的访问控制及抗攻击之外,还会根据组网需求在线部署或旁路部署、会工作在主备模式或双主模式、MPLSVPN环境或IPv6环境,会要求做静态路由或参与OSPF路由计算,因此防火墙在部署时就不仅仅是安全防护了,还应具备灵活的组网能力。部分厂商由于仅专注于安全产品而在网络协议特性上相对关注较少,防火墙组网时大多采用二层透明模式部署,路由模式仅支持静态路由,不支持强网络特性如物理接口下子接口功能、IPv6、MPLSVPN等。这给用户带来的问题就是组网能力不灵活,如果网络进行调整,防火墙可能无法适应新的组网环境。防火墙从起初的包过滤防火墙到现在的状态检测防火墙,虽然防火墙的核心功能(安全域划分、安全策略防护等)日趋标准化,但在实际网络应用中也正迎接新的应用,如各种新业务应用的NAT穿越、新业务应用的会话表等ALG功能需不断丰富。如在无线GPRS网络中需支持GTP协议,在语音网络中支持MGCP协议等等。同时,在大型网络出口、数据中心,对组网的可靠性也提出了非常高的要求,网络的任何一个设备、链路出现故障后都需要快速的切换、收敛。传统的防火墙采用HA方式大多为VRRP,故障切换时间一般为1~3秒,比较长。但较理想的防火墙均支持接口组联动、NQA、BFD等从物理接口到设备状态等不同层面的可靠性机制,可以保障网络出现故障时50ms内实现快速的切换和收敛。结束语硬件架构、安全特性和网络特性是决定防火墙优秀与否的核心因素,硬件架构决定了防火墙的性能档次,安全特性需不断丰富完善,而网络特性则决定防火墙能否灵活的、根据业务的实际需求进行快速的部署。关于H3CSecPathF5000-A5H3CSecPathF5000-A5在硬件架构上采用了多核处理器+分布式FPGA方式。既实现防火墙性能的平滑扩容,又可根据业务需求,通过FPGA实现防火墙功能的硬件实现,从而保持防火墙的业务处理性能。H3C的防火墙均基于Comware软件平台进行产品设计,Comware是H3C公司最为重要的软件平台和核心技术的载体,其通过良好的架构设计具有丰富的特性、良好的可裁减性、灵活的可伸缩性,支撑各种硬件平台和体系结构。正是得益于该平台,H3C防火墙天然支持IPv6、OSPF、RIP、BGP等路由协议。