1.2 传统技术的窘迫：不适用骨干网络的流量防护

　　传统安全技术几乎都不适用高端网络骨干链路的流量防护，原因简述如下。

　　1.2.1 串接式设备举步维艰

　　普通企业网络通常会采用类似于防火墙、IPS、DDoS过滤器等设备，通过在企业网边界点上的部署防止异常流量由低等级区域向关键区域渗透。然而，这种解决思路并不适合高端网络，主要表现如下：

　　1) 防火墙、DDos过滤器等串接设备显著降低高端网络的稳定性。高端网络是面向广大接入用户提供高速互联服务的中间网络，其宗旨在于通过高度稳定的网络带宽和服务质量满足接入用户互联互通的需求。为此，高端网络从网络设备、拓扑设计、链路资源、运维管理等各方面均不惜重金投入人力物力，为提高网络稳定性付出巨大的前期投入。然而，诸如防火墙或DDoS过滤器等设备工作重点在于提高系统安全性而非稳定性，其系统MTBF指标比主流网络设备要逊色许多。在高端网络区域边界点上部署此类设备将直接造成两个负面影响：一是人为增加了单一故障点，二是把高端网络整体稳定性直接拉低为DDoS过滤器设备本身的稳定性。因此，在高端网络上部署串联式设备是得不偿失的；

　　2) 串接设备难以提供足够的处理性能。高端网络动辄采用的万兆以上链路是现有串接设备难以望之项背的。一般FW、DDoS过滤器通常针对普通企业用户进行设计，其系统处理性能往往局限在1000M bps以下，因此无法提供与保护目标相称的处理能力；

　　3) 串接设备无法提供对应的接口类型。防火墙等过滤设备主要面向下游接入网络提供服务，网络接口基本局限为100/1000M以太链路，而作为中间互连通道的高端网络骨干链路中却广泛采用了10GE、OC-192 POS等规程，这对于构建在通用硬件平台上的DDoS过滤设备来难以配置相应接口板卡。

　　正是由于传统串接防护设备显而易见的局限性，决定了其无法在高端网络中进行应用部署。