当前,用户业务系统对于园区网络的依赖性正逐年增加,园区网的建设作为组织的战略性投资,其重要性也日益增强。伴随着园区网的发展,作为园区网出口基础安全防护设备的高端防火墙,又会遇到怎样新的挑战?
园区网的发展趋势
随着园区网的延伸范围不断扩大和互联网技术的飞速发展,园区网络呈现出三大发展趋势:
首先是承载业务的丰富化。视频、语音、动态网页等新技术的成熟,使得园区网承载的业务更加丰富,而这些新的网络应用都对网络带宽提出了更高的要求。同时,随着园区接入终端种类和接入用户的不断增加,大量用户同时在线产生海量连接的情况也越来越多。
▲
其次是业务的实时性和可靠性要求更高。传统园区网主要承载EMAIL/静态WEB等业务,这些业务普遍对于实时性要求不高,而新兴的视频、语音等业务对于实时性和可靠性的要求则几近苛刻。
另外,新的技术和应用不断产生,带来的是网络承载设备对于新业务的承载支持和设备处理性能的灵活扩展都有了更高的要求。
变化引发的挑战
园区网的上述三个发展趋势,对园区网承载网络设备的功能及性能都提出了更高的要求。而高端防火墙作为大型园区网出口的基础安全防护设备,同样面临着重重挑战。
第一大挑战——性能
承载业务的丰富化,带来的是巨大的出入数据流量和海量的用户请求连接。目前大型园区网出口流量动辄数Gb,大量用户接入使得防火墙的新建连接和并发连接数指标要求也呈几何倍数增长。以我们常用的淘宝和土豆网为例:单个用户打开其首页时需要建立的连接数接近100个,对于承载几千人甚至上万人的园区网来说,其同时上网产生的新建和数百万以上的并发连接,对于园区网络承载设备都是巨大的考验,传统高端防火墙每秒几万的新建连接速度和一百万级别的并发连接能力已经无法满足当前大型园区出口的应用需求。其中,并发连接可以通过扩展内存来实现性能的提升(并发数和内存呈线性对应增长关系),但新建连接则需要对防火墙的处理流程和硬件架构进行优化才能大幅提升相关性能。
同时,随着园区网承载实时性业务的增多,对于出口防火墙的延时、丢包率指标也提出了新的要求。(常见业务类型对延时和丢包的要求如下)
常见应用类型延时要求丢包要求
视频会议小于150ms小于0.1%
视频监控小于1000ms小于0.1%
网真小于150ms小于0.05%
IP电话小于150ms小于0.5%
目前多家厂商都已推出了超高性能的防火墙设备来应对用户的性能要求。例如H3C的SecPath F5000-A5通过采用先进的分布式处理架构和FPGA技术,其连接处理能力达到支持20万新建连接、400万并发连接,并采用ACL加速技术,实现在超过20000条安全策略、80%满负荷的流量压力下,保持几十微秒级别的延迟和零丢包率。