软硬件防火墙技术及产品发展对比研究

文/李兵



软硬件防火墙技术及产品发展对比研究

文/李兵

连云港工贸高等职业技术学校

在网络中，防火墙是指一种将内部网和公众访问网分开的方法，它实际上是一种隔离技术。位于内部网络与外部网络之间的网络安全系统，依照特定的规则，允许或是限制传输的数据通过。主要由服务访问视则、验证工具、包过滤和应用网关4个部分组成。

1 防火墙技术分类

防火墙技术一般分为3类，即包过滤、应用代理和状态监视。(1)包过滤技术工作的地方就是各种基于TCP/IP协议的数据包进出的通道，它把这两层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的过滤规则进行核对。(2) 使用应用代理的防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器。但是它并不是单纯的在一个代理设备中嵌入包过滤技术，而是一种被称为应用协议分析的新技术。（3）状态监视技术通过一种被称为状态监视的模块，在不影响网络安全正常工作的前提下，采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则做出安全决策。

2 软件防火墙

由软件安全厂商开发的软件防火墙产品，用户购买软件后再购置硬件设备，在windows平台上安装软件。常见的软件防火墙有以下几种：（一）Microsoft Windows ISA server 2006是微软公司最早提出的防火墙软件。可以在其官网上下载ISA2006中文版，解压缩后进行安装，在未注册之前显示为180天评估版本。由于只支持32位操作系统，在主流的64位操作系统上不能安装，所以目前已被实际淘汰。（二）Microsoft Forefront TMG 2010软件。微软于2008年发布了 ISA Server新一代版本TMG。它的新特性就是可以在全系列的产品中进行安全评估信息的共享。SAS相当于在各个组件之间构建了一个信息共享的通道，在这个通道中，所有组件共享彼此的安全评估信息，组件之间都是协同工作的，具有安全联动响应的特性。（三）思科软件防火墙Cisco AMP for Endpoints。高级恶意软件防护通过可视性和可控性有效防御高级攻击，将全球威胁情报、高级沙盒和实时恶意软件拦截功能集于一身，能有效预防入侵。AMP不仅依赖防御，还会持续分析整个扩展网络中的文件活动，使您可以快速检测、遏制和删除高级恶意软件。

3 硬件防火墙

现在的硬件防火墙有着多种硬件技术架构，不同的硬件架构有着各自不同的特点。随着近些年千兆网络开始在国内企业中大规模普及和应用，同时防火墙的硬件架构也正面临着一次变革。防火墙硬件架构有以下几种：（一）X86架构。X86是由Intel推出的一种复杂指令集，用于控制芯片的运行的程序，是一种通用的“CPU+Linux”操作系统的架构。（二）ASIC架构。集成芯片是为特定要求和特定电子系统而设计、制造的集成电路。ASIC的特点是面向特定需求，在批量生产时与通用集成电路相比具有体积更小、功耗更低、可靠性提高、性能提高、保密性增强、成本降低等优点。基于ASIC架构的防火墙从架构上改进了中断机制，数据通过网卡进入系统后，无需经过主CPU处理，而是由集成在系统中的芯片直接处理，完成防火墙的功能，如路由、NAT、防火墙规则匹配等，因此，其性能得到了大幅度的提升：性能可以达到万兆，并且64 Bytes的小包都可以达到线速。（三）NP架构。采用网络处理器NP架构的防火墙，各种算法可以通过硬件实现，在实现复杂的拥塞管理、队列调度、流分类和QoS功能的前提下，还可以达到极高的查找、转发性能，实现硬转发。NP是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于数据处理都做了专门的优化，同时辅助一些协处理器完成搜索、查表等功能，可以对网络流量进行快速的并发处理。（四）MIPS架构。MIPS是RISC精简指令集处理器。它最早是在80年代初期由斯坦福大学研究小组研制出来的。MIPS是高性能、低功耗嵌入式系统处理器，广泛应用于网络/通讯、无线、存储和控制应用等领域的安全产品，国际上主要的网络/通讯/无线等厂商都有使用MIPS的解决方案。

4 软硬件防火墙对比

通常情况下，软件防火墙防护单机或者指定的服务器，硬件防火墙防护网络边界。

软件防火墙一般寄生在操作系统平台上，通过纯软件的方式实现隔离内外部网络的目的。软件防火墙在遇到密集的DOS攻击的时候，它所能承受的攻击强度远远低于硬件防火墙。如果所在的网络环境中，攻击频度不是很高，用软件防火墙就能满足要求了。软件防火墙的优点是定制灵活，升级快捷。基于X86的硬件防火墙，其最高性能只能达到2Gbps。长久以来，国内许多安全厂商的防火墙产品都采用基于X86的架构，而国外厂商的多数防火墙则采用ASIC架构。而ASIC硬件防火墙在设计时，就必须将安全功能固化进ASIC芯片中，所以它的灵活性不够，如果想要增添新的功能或进行系统升级，开发周期较长，对技术的要求也很高。此外，用ASIC开发复杂的如垃圾邮件过滤、网络监控、病毒防护等功能是，开发比较复杂，对技术要求很高。采用微码编程，在性能方面NP不如ASIC。NP开发的难度和灵活性都介于ASIC和X86构架之间，应该说NP是X86架构和ASIC之间的平衡方案。NP芯片都是由国外厂商设计制造的，提供NP芯片的厂家有很多，基本上都符合NPF指定的规范。国内许多厂商为了弥补防火墙性能的不足，在不断进行技术研发，推出了基于“NP+ASIC”的防火墙架构，以解决X86架构性能不足和ASIC架构不够灵活的问题。

硬件防火墙的抗攻击能力比软件的高很多，首先因为是通过硬件实现的功能，所以效率就高，其次因为它本身就是专门为了防火墙这一个任务设计的，内核针对性很强。软件防火墙需要装入很多不相干的模块，使用的操作系统不是针对网络防护这个任务优化设计的，运行起来效率和性能远远低于硬件防火墙。硬件防火墙采用专用的硬件设备，然后集成生产厂商的专用防火墙软件。

[1]刘静.防火墙技术项目化教程[M].西安：西安电子科技大学出版社，2015．

[2]张艳.防火墙产品原理与应用[M].北京：电子工业出版社，2016．

李兵（1974—），男，江苏灌云人。大学学历，副教授，研究方向为计算机网络技术、安全管理，Linux操作系统等。