當(dāng)前，用戶業(yè)務(wù)系統(tǒng)對(duì)于園區(qū)網(wǎng)絡(luò)的依賴性正逐年增加，園區(qū)網(wǎng)的建設(shè)作為組織的戰(zhàn)略性投資，其重要性也日益增強(qiáng)。伴隨著園區(qū)網(wǎng)的發(fā)展，作為園區(qū)網(wǎng)出口基礎(chǔ)安全防護(hù)設(shè)備的高端防火墻，又會(huì)遇到怎樣新的挑戰(zhàn)？

園區(qū)網(wǎng)的發(fā)展趨勢(shì)

隨著園區(qū)網(wǎng)的延伸范圍不斷擴(kuò)大和互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，園區(qū)網(wǎng)絡(luò)呈現(xiàn)出三大發(fā)展趨勢(shì)：

首先是承載業(yè)務(wù)的豐富化。視頻、語(yǔ)音、動(dòng)態(tài)網(wǎng)頁(yè)等新技術(shù)的成熟，使得園區(qū)網(wǎng)承載的業(yè)務(wù)更加豐富，而這些新的網(wǎng)絡(luò)應(yīng)用都對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。同時(shí)，隨著園區(qū)接入終端種類和接入用戶的不斷增加，大量用戶同時(shí)在線產(chǎn)生海量連接的情況也越來(lái)越多。

其次是業(yè)務(wù)的實(shí)時(shí)性和可靠性要求更高。傳統(tǒng)園區(qū)網(wǎng)主要承載EMAIL/靜態(tài)WEB等業(yè)務(wù)，這些業(yè)務(wù)普遍對(duì)于實(shí)時(shí)性要求不高，而新興的視頻、語(yǔ)音等業(yè)務(wù)對(duì)于實(shí)時(shí)性和可靠性的要求則幾近苛刻。

另外，新的技術(shù)和應(yīng)用不斷產(chǎn)生，帶來(lái)的是網(wǎng)絡(luò)承載設(shè)備對(duì)于新業(yè)務(wù)的承載支持和設(shè)備處理性能的靈活擴(kuò)展都有了更高的要求。

變化引發(fā)的挑戰(zhàn)

園區(qū)網(wǎng)的上述三個(gè)發(fā)展趨勢(shì)，對(duì)園區(qū)網(wǎng)承載網(wǎng)絡(luò)設(shè)備的功能及性能都提出了更高的要求。而高端防火墻作為大型園區(qū)網(wǎng)出口的基礎(chǔ)安全防護(hù)設(shè)備，同樣面臨著重重挑戰(zhàn)。

第一大挑戰(zhàn)——性能

承載業(yè)務(wù)的豐富化，帶來(lái)的是巨大的出入數(shù)據(jù)流量和海量的用戶請(qǐng)求連接。目前大型園區(qū)網(wǎng)出口流量動(dòng)輒數(shù)Gb，大量用戶接入使得防火墻的新建連接和并發(fā)連接數(shù)指標(biāo)要求也呈幾何倍數(shù)增長(zhǎng)。以我們常用的淘寶和土豆網(wǎng)為例：?jiǎn)蝹€(gè)用戶打開(kāi)其首頁(yè)時(shí)需要建立的連接數(shù)接近100個(gè)，對(duì)于承載幾千人甚至上萬(wàn)人的園區(qū)網(wǎng)來(lái)說(shuō)，其同時(shí)上網(wǎng)產(chǎn)生的新建和數(shù)百萬(wàn)以上的并發(fā)連接，對(duì)于園區(qū)網(wǎng)絡(luò)承載設(shè)備都是巨大的考驗(yàn)，傳統(tǒng)高端防火墻每秒幾萬(wàn)的新建連接速度和一百萬(wàn)級(jí)別的并發(fā)連接能力已經(jīng)無(wú)法滿足當(dāng)前大型園區(qū)出口的應(yīng)用需求。其中，并發(fā)連接可以通過(guò)擴(kuò)展內(nèi)存來(lái)實(shí)現(xiàn)性能的提升（并發(fā)數(shù)和內(nèi)存呈線性對(duì)應(yīng)增長(zhǎng)關(guān)系），但新建連接則需要對(duì)防火墻的處理流程和硬件架構(gòu)進(jìn)行優(yōu)化才能大幅提升相關(guān)性能。

同時(shí)，隨著園區(qū)網(wǎng)承載實(shí)時(shí)性業(yè)務(wù)的增多，對(duì)于出口防火墻的延時(shí)、丟包率指標(biāo)也提出了新的要求。（常見(jiàn)業(yè)務(wù)類型對(duì)延時(shí)和丟包的要求如下）

目前多家廠商都已推出了超高性能的防火墻設(shè)備來(lái)應(yīng)對(duì)用戶的性能要求。例如H3C的SecPath F5000-A5通過(guò)采用先進(jìn)的分布式處理架構(gòu)和FPGA技術(shù)，其連接處理能力達(dá)到支持20萬(wàn)新建連接、400萬(wàn)并發(fā)連接，并采用ACL加速技術(shù)，實(shí)現(xiàn)在超過(guò)20000條安全策略、80%滿負(fù)荷的流量壓力下，保持幾十微秒級(jí)別的延遲和零丟包率。

第二大挑戰(zhàn)——可靠性

園區(qū)網(wǎng)承載的業(yè)務(wù)越來(lái)越重要，自然其網(wǎng)絡(luò)可靠性要求也會(huì)隨之升高。防火墻設(shè)備的可靠性是保證網(wǎng)絡(luò)可靠的基礎(chǔ)，同樣不能忽視。傳統(tǒng)高端防火墻在硬件設(shè)計(jì)方面做出了一定改進(jìn)，包括通過(guò)雙電源、雙風(fēng)扇等部件冗余手段來(lái)保證高可靠性，但是這些傳統(tǒng)手段已經(jīng)不能完全滿足當(dāng)前園區(qū)出口級(jí)設(shè)備的高可靠性要求。對(duì)于高端防火墻來(lái)說(shuō)，需要在以下幾個(gè)方面著重加以強(qiáng)調(diào)。

軟件系統(tǒng)可靠性: 軟件系統(tǒng)對(duì)通信產(chǎn)品的重要性，等同于Windows之于電腦，安全、穩(wěn)定、成熟的軟件系統(tǒng)才能幫助用戶打造真正的高可靠網(wǎng)絡(luò)。一些廠商選擇FreeBSD等開(kāi)源代碼進(jìn)行修改，沒(méi)有經(jīng)歷過(guò)大規(guī)模電信級(jí)應(yīng)用環(huán)境的洗禮，在相對(duì)簡(jiǎn)單的應(yīng)用環(huán)境下應(yīng)用可以勉強(qiáng)支撐，在大型園區(qū)復(fù)雜的應(yīng)用環(huán)境下必定會(huì)捉襟見(jiàn)肘。只有類似像H3C的Comware、CISCO的IOS這一級(jí)別的軟件，才能保證系統(tǒng)的可靠性。

設(shè)備級(jí)冗余機(jī)制：電源冗余等手段僅能解決系統(tǒng)內(nèi)部局部模塊工作異常的問(wèn)題，無(wú)法避免極端情況下設(shè)備級(jí)故障導(dǎo)致的斷網(wǎng)，最好采用關(guān)鍵部件的全冗余設(shè)計(jì)。此外，雙機(jī)熱備作為傳統(tǒng)解決單點(diǎn)故障的方案已經(jīng)相對(duì)成熟，但傳統(tǒng)的雙機(jī)方案利用VRRP或者動(dòng)態(tài)路由方式實(shí)現(xiàn)流量的切換，切換時(shí)間均以秒計(jì)；對(duì)于視頻等實(shí)時(shí)性業(yè)務(wù)來(lái)說(shuō)，秒級(jí)的切換時(shí)間是不能接受的，必須通過(guò)類似H3C F5000這種控制和轉(zhuǎn)發(fā)平面完全物理分離的相關(guān)機(jī)制保證毫秒級(jí)的快速收斂和切換。

自我故障檢測(cè)機(jī)制：對(duì)于高可靠性設(shè)備來(lái)說(shuō)，實(shí)時(shí)的運(yùn)行狀態(tài)檢測(cè)和鏈路狀態(tài)檢測(cè)是必不可少的，       除了傳統(tǒng)的針對(duì)CPU、內(nèi)存利用率的監(jiān)控外，協(xié)議檢測(cè)、機(jī)箱溫度、風(fēng)扇狀態(tài)、多鏈路情況下的鏈路狀態(tài)探測(cè)技術(shù)，均是幫助提高可靠性的有效手段。H3C的F5000就是通過(guò)物理上獨(dú)立的檢測(cè)平面，實(shí)現(xiàn)了BFD for BGP/IS-IS/OSPF/ VRRP（針對(duì)各種協(xié)議的快速故障檢測(cè)機(jī)制，故障檢測(cè)時(shí)間小于20ms）和機(jī)箱溫度和板卡溫度檢測(cè)等功能，來(lái)保證當(dāng)鏈路發(fā)生異常時(shí)能自動(dòng)切換且切換性能小于50ms。

第三大挑戰(zhàn)——擴(kuò)展性

業(yè)務(wù)方面，云計(jì)算、物聯(lián)網(wǎng)等信息化建設(shè)熱點(diǎn)雖然尚未成熟普及，但均對(duì)網(wǎng)絡(luò)提出了新的要求，例如需要采用IPv6技術(shù)解決海量信息點(diǎn)標(biāo)識(shí)問(wèn)題，采用VPN技術(shù)解決多業(yè)務(wù)承載問(wèn)題、采用NAT日志滿足公安部82號(hào)令問(wèn)題等。因此，園區(qū)網(wǎng)絡(luò)設(shè)計(jì)的時(shí)候需要考慮IPv6、MPLS VPN、NAT日志審計(jì)等相關(guān)特性，以及開(kāi)啟這些多業(yè)務(wù)特性時(shí)性能不會(huì)受到影響，從而保證基礎(chǔ)網(wǎng)絡(luò)設(shè)施和基礎(chǔ)安全防護(hù)設(shè)施對(duì)于建設(shè)熱點(diǎn)的技術(shù)擴(kuò)展性。另外，新協(xié)議的支持和相關(guān)協(xié)議的NAT穿越能力也是用戶評(píng)估園區(qū)出口防火墻時(shí)需要重點(diǎn)考察的問(wèn)題。

系統(tǒng)方面，高端產(chǎn)品必須具備良好的可升級(jí)性及彈性配置，這也是出于對(duì)用戶投資的有效保護(hù)。這種可升級(jí)性是全方位的，性能、接口、內(nèi)存甚至電源和風(fēng)扇都要做到靈活升級(jí)配置。這就要求產(chǎn)品在設(shè)計(jì)初始就必需充分考慮到產(chǎn)品的升級(jí)需求：小到內(nèi)存條容量的升級(jí)，大到網(wǎng)絡(luò)接口、設(shè)備性能/處理能力的升級(jí)。

對(duì)于以上要求，H3C的SecPath F5000無(wú)論在IPV6、NAT穿越還是部件升級(jí)擴(kuò)容方面都做好了充分的準(zhǔn)備。比如F5000獲得了IPv6 Ready Phase-2的認(rèn)證，可以保證IPv4向IPv6的過(guò)渡；F5000采用的可擴(kuò)展硬件加速技術(shù)—“FGPA”，保證多業(yè)務(wù)并發(fā)而不影響性能；通過(guò)基于Crossbar的分布式架構(gòu)，保證了F5000的性能、接口等可擴(kuò)展性。也正是憑借在性能、可靠性和擴(kuò)展性方面的全面優(yōu)異表現(xiàn)，SecPath F5000已經(jīng)先后在武漢大學(xué)、西南大學(xué)、哈爾濱工程大學(xué)、西安電子行政平臺(tái)、無(wú)錫市民行政中心、貴州電網(wǎng)、西山煤電等眾多行業(yè)客戶的大型園區(qū)網(wǎng)出口得到應(yīng)用。