改变架构 集成不再受性能平静之忧

      要想兼顾性能与效率，也可以使用性能更高的硬件和架构，比如NP和ASIC等。而模块化设备和单独的处理单元也可以保障性能。思科在洞悉用户即将面临的潜在问题后，采用模块化架构，设备的每个单独功能都采用单独的处理单元来保障性能，以此解决用户在使用遇到的性能和功能矛盾的问题。

　　此外，软件改善也能减缓多功能防火墙性能下降。比如针对网关防病毒的多检测引擎互嵌技术，因为传统上如果简单地把功能模块堆叠在一起，让数据包经过防火墙、VPN、病毒检测、垃圾邮件处理，这样一个串行处理过程会消耗很多资源。合理的方法是把这些功能模块整合到一起，如果进行垃圾邮件过滤，又要进行邮件查毒，那么就先进行垃圾邮件过滤，然后再进行邮件防毒的工作，从而减少很多垃圾邮件中携带病毒对于防火墙性能的损耗。VPN也是如此，先查病毒，后进行VPN隧道加解密。目前很多厂商已经把这种技术做成一种规则，以便减轻防火墙性能负担。

　　针对防病毒模块对防火墙性能的损耗，也有一种流检测技术。流检测技术专注在第七层，对于只有当数据包完全接收下来以后才会形成的病毒，防病毒模块可以先不采取行动，仅仅利用拷贝机制进行数据复制，同时正常转发数据。一旦最终判断出数据包是病毒，则把最后几个发给用户的包阻止即可。

　　除了软硬件的改善以外，合理配置防火墙也是平衡防火墙性能与效率的关键一步。例如，对于包过滤防火墙，如果用户设置的过滤规则逻辑重叠、条目众多，也会出现防火墙性能降低、网络资源衰竭等问题。配置有效的防火墙应遵循四个基本步骤：风险分析、需求分析、确立安全策略、选择准确的防护手段并使之与安全策略保持一致。通过对防火墙所提供的安全功能进行有效、合理的配置，使得在保证网络安全的同时尽可能减少对防火墙性能的影响。

　　还有就是，对于多功能防火墙来说，并非集成功能越多就越好，有些安全功能，还是让专有设备来做更能体现其价值。尤其是对性能要求很高的企业，应该偏重于选择那些功能少性能强的产品。而对于大部分中小企业来说，集成度高一些的产品有助于减少购置和管理成本。所以说，平衡性能与效率，并不简简单单是防火墙一款产品的事。

　　新型防火墙是一种理念的改变，是新技术的挖掘和集成，是接受市场需求挑战的主动迎战，是对付零日攻击、提升检测多种威胁或混合威胁能力的好办法。但想在一个目前还在追求不断提升硬件技术或提高硬件平台处理能力的时代，要做一个“集大成”的防火墙还需时日。