【IT168 专稿】百兆到桌面，主干网由百兆升级到千兆是目前中小企业最热衷的话题，这种行为不仅仅表现为对传输速度的要求，更是对扩展应用的需求。目前数据流媒体（音频、视频）在互联网应用中越来越多，且越来越重要，诸如桌面电视会议和Volp都需要大量的带宽，而企业接入点增多，带宽密集型应用的发展和新型能够数据类型应用的显著增加，都使得用户对服务器的网络传输速度提出更为苛刻的要求，从而导致服务器网络I/O带宽的瓶颈问题日益严重….等等。诸如此类的应用升级与业务扩展大大刺激了千兆主干网络需求的迅速发展。
  
    需求的升级暗示着中小企业对网络依赖性的加强，意味着将有更多的重要数据和文件开始在网上传输和应用，然而，很多中小企业在建网初期网络安全防范意识较为薄弱，认为企业装了防毒软件就安全了，于是安全在步入千兆级别中就成为中小企业网最致命的弱点。特别是近来各种病毒的爆发以及黑客攻击的频繁出现，更是给网络防护薄弱的中小企业敲响了警钟。走进千兆，是否需要配备千兆防火墙？笔者认为虽然资金是个不可回避的问题，但最重要的还是安全意识问题。或许近期“冲击波”这种有史以来破坏性最强的计算机病毒至少给网络安全领域带来了颇为正面的后续影响，用户的警惕性和对网络安全的重视程度随之大为提高。

    安全意识有了，但终归要落实在实际产品上，一般来讲中小企业需求的防火墙应该具有以下几个特点：

   1、价格合理。价格合理并不是一味地价格低廉。不可否认，价格仍然是中小企业在选择防火墙时所考虑的重要因素，但随着中小企业安全意识的不断提高，对百兆级、千兆级防火墙的性能及心理价位都在不断提升，那种为了压低价位而牺牲性能的产品并不能为中小企业所看好。相反只要性能实用，紧扣企业所需，定位在十几万，几十万的产品，中小企业照样欢迎。

   2、功能尽量丰富。 “少花钱，多办事”永远是中小企业的信条，例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器，支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要；支持IPSec VPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。据IDC统计，国外90%的加密VPN都是通过防火墙实现的。所以同等价位上功能越丰富的产品在这类群体眼中就越有吸引力。当然，这并不是小型企业市侩，更多的是因为，企业虽然规模较小，但业务繁杂多变，对于产品功能多样性的需求并不亚于大型企业。特别是中小企业大多属于快速成长型企业，发展速度很快，需求的变化也很快。为了更好地适应业务发展与扩展，多功能产品自然能更好地适应需求。

   3、集成度高，易维护。中小企业由于资金及人力所限，一般都不设置专业的ＩＴ安全管理技术人员，因此产品必须易于安装，同时尽量做到免管理、免维护。

   4、高速。目前防火墙一个很大的局限性是速度不够，真正达到线速的防火墙少之又少。防范DoS (拒绝服务)是防火墙一个很重要的任务，防火墙往往用在网络出口，如造成网络堵塞，再安全的防火墙也无法应用。

    就目前来看，千兆防火墙的硬件实现技术主要有三种：Intel X86架构工控机、ASIC硬件加速技术和NP加速技术，其中ASIC和NP是目前实现千兆防火墙的两大主流技术。

    Intel X86架构曾经以其高灵活性和扩展性在百兆防火墙上获得过巨大的成功，但对于千兆网来说，X86架构的CPU由于考虑了各种应用的需要，具有一般化的通用体系结构和指令集，以求支持复杂的运算并容易开发新的功能，所以其处理速度相对较慢，单个芯片的可扩展性较差，因而很难满足千兆网络对于高线速的需求。

    早先的ASIC技术是通过把指令或计算逻辑固化到硬件中，从而能够明显提升防火墙的吞吐性能，获得较高的吞吐量。但这种传统ASIC技术将指令或计算逻辑固化到了硬件中以后，却缺乏灵活性，不便于修改和升级。所以目前新一代的高可编程（High Programmable）ASIC采用了更灵活的设计，能够通过软件改变应用逻辑，从而具有更广泛的适应能力。Netscreen公司是ASIC技术的原创者，该公司的ASIC技术防火墙产品在全世界都取得了很大成功，尤其在高端领域，Netscreen公司目前保持着领先的市场占有率。首信CF 2000 CG-600防火墙是国内第一款基于ASIC技术的真正线速千兆防火墙，拥有完全的自主知识产权。

    NP技术采用微码编程，是专门为进行网络分组处理而开发的，具有优化的体系结构和指令集，比X86 CPU具备更高的处理性能；而且NP有专门的指令集和配套的软件开发系统，具有很强的编程能力，能够方便地开发各种应用，支持可扩展的服务，而且其研制周期短，成本较低，因而更具灵活性。但由于要依赖软件环境运行，NP在处理性能方面还是不如ASIC强大。目前国内市场上，中科网威公司在03年4月推出了国内第一款基于NP技术的千兆防火墙。

    从目前的情况来看，国外的高端防火墙绝大部分采用的是ASIC技术，国内厂商则选用NP的居多。究竟ASIC与NP谁将成为最后的赢家，还有待市场的证实。

    对于那些网络依赖性较大，而且资金也充裕的中小型企业，我们首推选用千兆级防火墙，对整个企业内部网进行保护。方案拓扑图如下。

点击看大图

    这里我们选用的是网络卫士NG FW4000-UF千兆防火墙，它有一个10/100/1000BASE-T端口和六个GBIC插槽，吞吐率为1000M。该产品采用天融信独创的核检测技术，构造了一个安全、高效、可靠的防火墙系统；是国产真正的千兆防火墙。同时最完善的、最成熟地实现和支持了天融信的TOPSEC技术体系的核心技术。本品2003年获得CCID"工程师推荐奖"。

    NG FW4000-UF使用的基于OS内核的会话检测技术，可以在OS内核实现对应用层的访问控制，支持众多网络通信协议和应用协议，方便用户扩展IP宽带接入及IP电话、视频会议、VOD点播等多媒体应用。它可以实现防火墙、IDS、病毒防护系统、信息审计系统等的互通与联动，并支持TopsecManager综合管理系统和SAS安全审计系统。

    在功能扩展方面，该产品支持透明、路由和混合工作三重模式，可轻松进行复杂网络结构和应用的接入；此外，它支持多台防火墙之间的热机备份和负载均衡以及支持多台服务器之间的负载均衡，即使近期内企业有大的业务升级，NG FW4000-UF也可很好地满足增容需求。

    使用维护方面，NG FW4000-UF采用集中的层次管理结构，不但配置、管理简单，而且安全性高，维护方便。经过简单的配置即可接入网络进行通信和访问控制，所有管理均加密（支持SSL和SSH）和严格的审计，支持多种身份认证，实现了真正的安全管理。

    点评：NG FW4000-UF不但可以提供真正的千兆防护，而且功能完善、性能优秀、稳定性高，及提供了方便的扩展VPN、IDS、认证、计费、审计等安全服务，充分体现了优秀的性价比，可有效地保护客户投资。另外在众多的千兆防火墙中，NG FW4000-UF的价格优势也十分明显。

    参考价位：358000元

    虽然中小企业的安全意识已接近成熟，千兆防火墙也正在升温，但几十万，上百万价位的产品依旧是千兆级产品的主流。对于很多小型企业来讲的确是一笔不小的开支。那么有没有更低廉而且实用的安全方案呢？针对有这样需求的消费者我们推荐降级重点防护方案，就是对有百兆到桌面需求且对安全尤其敏感的部门实现百兆监护，比如企业信息中心等。方案拖拓扑图如下。

点击看大图

    这里选用的是瑞星近期推出的一款专门针对中小企业级用户定制的多功能NP防火墙——RFW-SME。该防火墙采用了当前最新的网络芯片(NP)技术设计，利用NP技术设计的防火墙和传统的基于PC体系架构设计的防火墙相比较，最突出功能在网络数据处理速度上具有较大的提高，常规的防火墙规则应用数据处理可达到线速，3DES加密数据处理情况下VPN应用数据处理能力能够达到80M/S。RFW-SME拥有多种网络安全防护功能，它同时拥有防火墙功能、网络地址转换（NAT）功能、主动式入侵检测（IDS）功能、虚拟专网（VPN）功能、内容过滤功能等多种功能。企业通过架设瑞星RFW-SME全功能NP防火墙，可以保护企业内部网络免于外部黑客的攻击，同时也帮助用户利用因特网的资源建构安全可靠的企业虚拟专网（VPN）服务，RFW-SME防火墙还提供了不同等级的网络带宽管理，用户可以通过带宽管理让一些特殊的应用服务确保使用带宽。

    作者点评：NP技术是千兆级产品的主流技术，比传统百兆防火墙技术有着更高的处理性能，从而奠定了RFW-SME安全高效的防护基础。它不但提供了对内部网络和对外服务器的保护、防止黑客对这些网络的攻击，同时还支持VPN功能，为远程、移动用户提供一个安全的远程连接功能，是中小企业网络安全的较好选择。

    本品10月26日全面上市，销售咨询电话：010-82678866-300

    小结：随着日常工作对网络依赖程度的飞速增进，中小企业对网络的要求不再仅仅局限于速度上的追捧，安全有了更深层的现实意义。千兆安全与千兆网速成为未来中小企业对网络的基本需求，中小企业千兆防火墙有着光明的发展前景。不过就目前来看，千兆防火墙在价位上还没有步入普及阶段，部分消费者即使认识到安全的迫切性，也因成本问题不得不做无奈的抉择。本文给出了两个方案，第一个方案使用了千兆级防火墙，打造了一个全封闭式安全内部网络，适合资金充裕的客户参考；而后一种百兆安全网络对于那些对成本较为敏感的中小企业不失为一个两全其美的参考范例！