华为发布面向云的T级高端防火墙

　　伴随数据中心的虚拟化和云化发展，作为网络安全防护的第一道屏障，防火墙产品面临一次飞跃性的技术变革。

　　近期，华为在2012HCC上发布了T级高端防火墙USG9500系列, 作为业界首款整机吞吐性能超过1Tbps的防火墙, USG9500正在为新一代高性能防火墙制定新的标尺。

　　T级只是起步

　　华为企业业务SecoSpace产品线Marketing部长武鹏告诉记者，从云计算发展的速度来看，未来2~3年内，防火墙实现T级的吞吐性能就会成为整个市场不得不迈过去的一道坎。但高性能也仅是云对T级防火墙提出的一个基础要求而已。“面向未来虚拟化和云计算的高端防火墙必须具备三个能力：更高的性能，能适应云计算、虚拟化的弹性部署要求，能够满足未来面向应用的弹性交互和高质量交互的要求。这不仅是云对防火墙产品提出的要求，也是防火墙产品未来的发展方向。”

　　T级的吞吐性能保证了USG9500对大规模DDoS攻击的防护能力。据悉，USG9500可抵御超过数百G乃至1T的攻击流量，还能深入应用层检测DDoS攻击，让USG9500抵御海量攻击的秘密来源于其软硬件平台的革新性设计。

　　高性能高可靠的平台：单槽位可达200Gbps交换带宽，最多16个槽位。采用了华为最新的大容量ASIC交换芯片。防火墙业务板实现了板级备份，任何一块业务板故障，业务均可高可靠的切换到其它业务板上，不会导致业务中断。主控和交换板均支持1+1热备。同时支持双机热备，尤其是支持了加密隧道的 主主、主备等，确保了故障时VPN隧道的无缝切换，满足了对安全性要求很高的部分场景需求。

　　强大的QoS能力：未来云中心，业务的多元化，视频、游戏、电子商务等等，不同的用户、不同的业务，对带宽保障有着很高的要求，同时对时延要求很小。

　　平台采用了华为新一代的TM芯片，单芯片可支持高达256K个硬件QoS队列，这有力的保障了不同用户对业务带宽和时延的需求。这和业界高端防火墙通常采用廉价的以太网交换机平台或ATCA平台有着本质的不同，USG9500采用了通常只有骨干路由器采用的信元交换，信元交换成本较高，但硬件QOS能力强，时延很小，而以太网交换成本较低，但QoS能力弱，时延较大。高端防火墙处于出口核心位置，未来对QoS的能力要求是必然的。

　　新一代高性能应用处理器：系统采用了新一代领先的业务处理器，单板支持应用识别硬件加速，业务板的处理能力提升到160G。华为认为，近年来在业界大为流行的“处理器+硬件加速”的设计，虽然能以较低的成本获取部分场景下的高性能，但却无法保障产品在应用业务操作下的性能水平，同时业务灵活性受到很大限制，在面向云时代的业务灵活性处理有很大限制。所以，USG9500对全业务均使用处理器来实现，以便确保企业在各种场景下均能享受到高性能体验。

　　软件适应云时代的变革：云计算时代最显著的特征是“弹性”,租户需要根据自身业务规模租赁大小各异的虚拟资源，但是让安全防护体系也保持这种弹性却并不容易。过去，防火墙产品的虚拟化大多是将一台物理防火墙虚拟为多个逻辑防火墙以提供弹性服务。但在华为看来，面对云计算的发展，这种“弹性”还远远不够。USG9500将虚拟化进行了重大变革，在原有基础上，又通过对防火墙硬件平台上CPU和内存的虚拟化，以确保单个租户也能获得全面的安全防护能力。同时，对虚拟机的迁移问题，实现了针对业务的安全策略的自动化迁移，极大的简化了策略的管理。

　　基于应用业务细粒度的识别管控和安全检测,也是云时代的重要特点。“云计算中心的业务种类非常多，比如Android里面就有超过40万种应用，苹果AppStore也已经超过50多万种应用，同时各种病毒、木马、蠕虫猖狂、安全漏洞泛滥。目前USG9500能对超过一千种的应用进行识别和系统强大的硬件QoS能力结合起来，实现对业务流量的的管控和带宽保障，其背后有一个强大的安全专业团队对各种新应用以及病毒和安全漏洞进行跟踪与分析，，以保障USG9500的防护能力。

　　SDN正在决定下一代防火墙的演进路线

　　IDC最新发布的中国IT安全硬件市场分析报告显示，2011年下半年防火墙硬件市场依然以36.7%的占有率成为中国IT硬件安全市场中的最大子市场。全国数据中心建设正在带动高性能防火墙的发展，防火墙市场将持续保持增长。作为网络安全防护体系中最基础也是最重要的一道防护屏障，防火墙市场显然还会伴随数据中心的下一步演进而迎来新的高潮。

　　当前，业界对数据中心网络发展的预判直指SDN(软件定义网络)。与网络相生相惜的防火墙产品，又会出现怎样的变化呢?SECOSPACE产品线MAKRTING产品管理部部长张强认为，伴随SDN的发展，安全设备未来将被分成两部分：策略控制单元和安全处理单元。策略控制部分将通过OpenFlow与SDN控制器通信，来实现对全网转发节点的安全控制。对于需要进行流量处理的业务，如防病毒或VPN，则将通过SDN控制器下发指令，把流量定向到安全处理单元进行检测和加密、解密处理。

　　他表示，SDN不会让网络安全产品彻底舍弃硬件平台。“即使在SDN时代，独立硬件形态安全处理单元仍然是必要的，设备里面必须要有对加密解密的硬件加速，必须要有对业务感知、IPS、AV应用识别加速。如果把这些业务全放到服务器上全靠软件完成处理，性能会大幅下降。”他透露，华为在规划高端防火墙的时候已经在考虑SDN的发展趋势，在设计架构上留出相应的接口，支持Open Flow的协议以及自身控制与业务处理的分离，也是为了让防火墙符合云计算未来的发展需求。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。