軟硬件防火墻技術及產品發展對比研究

文/李兵

?

軟硬件防火墻技術及產品發展對比研究

文/李兵

連云港工貿高等職業技術學校

在網絡中，防火墻是指一種將內部網和公眾訪問網分開的方法，它實際上是一種隔離技術。位于內部網絡與外部網絡之間的網絡安全系統，依照特定的規則，允許或是限制傳輸的數據通過。主要由服務訪問視則、驗證工具、包過濾和應用網關4個部分組成。

1 防火墻技術分類

防火墻技術一般分為3類，即包過濾、應用代理和狀態監視。(1)包過濾技術工作的地方就是各種基于TCP/IP協議的數據包進出的通道，它把這兩層作為數據監控的對象，對每個數據包的頭部、協議、地址、端口、類型等信息進行分析,并與預先設定好的過濾規則進行核對。(2) 使用應用代理的防火墻實際上就是一臺小型的帶有數據檢測過濾功能的透明代理服務器。但是它并不是單純的在一個代理設備中嵌入包過濾技術，而是一種被稱為應用協議分析的新技術。（3）狀態監視技術通過一種被稱為狀態監視的模塊，在不影響網絡安全正常工作的前提下，采用抽取相關數據的方法對網絡通信的各個層次實行監測，并根據各種過濾規則做出安全決策。

2 軟件防火墻

由軟件安全廠商開發的軟件防火墻產品，用戶購買軟件后再購置硬件設備，在windows平臺上安裝軟件。常見的軟件防火墻有以下幾種：（一）Microsoft Windows ISA server 2006是微軟公司最早提出的防火墻軟件。可以在其官網上下載ISA2006中文版，解壓縮后進行安裝，在未注冊之前顯示為180天評估版本。由于只支持32位操作系統，在主流的64位操作系統上不能安裝，所以目前已被實際淘汰。（二）Microsoft Forefront TMG 2010軟件。微軟于2008年發布了 ISA Server新一代版本TMG。它的新特性就是可以在全系列的產品中進行安全評估信息的共享。SAS相當于在各個組件之間構建了一個信息共享的通道，在這個通道中，所有組件共享彼此的安全評估信息，組件之間都是協同工作的，具有安全聯動響應的特性。（三）思科軟件防火墻Cisco AMP for Endpoints。高級惡意軟件防護通過可視性和可控性有效防御高級攻擊，將全球威脅情報、高級沙盒和實時惡意軟件攔截功能集于一身，能有效預防入侵。AMP不僅依賴防御，還會持續分析整個擴展網絡中的文件活動，使您可以快速檢測、遏制和刪除高級惡意軟件。

3 硬件防火墻

現在的硬件防火墻有著多種硬件技術架構，不同的硬件架構有著各自不同的特點。隨著近些年千兆網絡開始在國內企業中大規模普及和應用，同時防火墻的硬件架構也正面臨著一次變革。防火墻硬件架構有以下幾種：（一）X86架構。X86是由Intel推出的一種復雜指令集，用于控制芯片的運行的程序，是一種通用的“CPU+Linux”操作系統的架構。（二）ASIC架構。集成芯片是為特定要求和特定電子系統而設計、制造的集成電路。ASIC的特點是面向特定需求，在批量生產時與通用集成電路相比具有體積更小、功耗更低、可靠性提高、性能提高、保密性增強、成本降低等優點。基于ASIC架構的防火墻從架構上改進了中斷機制，數據通過網卡進入系統后，無需經過主CPU處理，而是由集成在系統中的芯片直接處理，完成防火墻的功能，如路由、NAT、防火墻規則匹配等，因此，其性能得到了大幅度的提升：性能可以達到萬兆，并且64 Bytes的小包都可以達到線速。（三）NP架構。采用網絡處理器NP架構的防火墻，各種算法可以通過硬件實現，在實現復雜的擁塞管理、隊列調度、流分類和QoS功能的前提下，還可以達到極高的查找、轉發性能，實現硬轉發。NP是專門為網絡設備處理網絡流量而設計的處理器，其體系結構和指令集對于數據處理都做了專門的優化，同時輔助一些協處理器完成搜索、查表等功能，可以對網絡流量進行快速的并發處理。（四）MIPS架構。MIPS是RISC精簡指令集處理器。它最早是在80年代初期由斯坦福大學研究小組研制出來的。MIPS是高性能、低功耗嵌入式系統處理器，廣泛應用于網絡/通訊、無線、存儲和控制應用等領域的安全產品，國際上主要的網絡/通訊/無線等廠商都有使用MIPS的解決方案。

4 軟硬件防火墻對比

通常情況下，軟件防火墻防護單機或者指定的服務器，硬件防火墻防護網絡邊界。

軟件防火墻一般寄生在操作系統平臺上，通過純軟件的方式實現隔離內外部網絡的目的。軟件防火墻在遇到密集的DOS攻擊的時候，它所能承受的攻擊強度遠遠低于硬件防火墻。如果所在的網絡環境中，攻擊頻度不是很高，用軟件防火墻就能滿足要求了。軟件防火墻的優點是定制靈活，升級快捷。基于X86的硬件防火墻，其最高性能只能達到2Gbps。長久以來，國內許多安全廠商的防火墻產品都采用基于X86的架構，而國外廠商的多數防火墻則采用ASIC架構。而ASIC硬件防火墻在設計時，就必須將安全功能固化進ASIC芯片中，所以它的靈活性不夠，如果想要增添新的功能或進行系統升級，開發周期較長，對技術的要求也很高。此外，用ASIC開發復雜的如垃圾郵件過濾、網絡監控、病毒防護等功能是，開發比較復雜，對技術要求很高。采用微碼編程，在性能方面NP不如ASIC。NP開發的難度和靈活性都介于ASIC和X86構架之間，應該說NP是X86架構和ASIC之間的平衡方案。NP芯片都是由國外廠商設計制造的，提供NP芯片的廠家有很多，基本上都符合NPF指定的規范。國內許多廠商為了彌補防火墻性能的不足，在不斷進行技術研發，推出了基于“NP+ASIC”的防火墻架構，以解決X86架構性能不足和ASIC架構不夠靈活的問題。

硬件防火墻的抗攻擊能力比軟件的高很多，首先因為是通過硬件實現的功能，所以效率就高，其次因為它本身就是專門為了防火墻這一個任務設計的，內核針對性很強。軟件防火墻需要裝入很多不相干的模塊，使用的操作系統不是針對網絡防護這個任務優化設計的，運行起來效率和性能遠遠低于硬件防火墻。硬件防火墻采用專用的硬件設備，然后集成生產廠商的專用防火墻軟件。

[1]劉靜.防火墻技術項目化教程[M].西安：西安電子科技大學出版社，2015．

[2]張艷.防火墻產品原理與應用[M].北京：電子工業出版社，2016．

李兵（1974—），男，江蘇灌云人。大學學歷，副教授，研究方向為計算機網絡技術、安全管理，Linux操作系統等。