【IT168 专稿】随着国内防火墙系统应用的迅速推广普及，用户对防火墙系统有了越来越深入的了解，走出了初期功能堆砌攀比的误区，逐渐明晰了防火墙作为网络边界安全设备的首要位置和关键性作用。

    与此同时，在实际应用中，用户也从各种角度发现了当前防火墙的缺憾和不足，对防火墙产品提出了更高的要求。这些从实际应用中产生的需求大多集中在如下几个问题上。

    首先，是防火墙性能问题。

    在实际应用中，银行、电信、大中型网站等大型用户对防火墙性能的需求是勿庸置疑的；就是对于普通用户，随着多媒体应用的广泛应用，对防火墙的性能也提出了很高的要求。在实际用户使用中，还出现了nimda病毒传播时大量的病毒扫描连接导致某些低效率防火墙崩溃的实际案例。业务需求、应用需求和安全防护需求，从三方面都提出了对防火墙高性能的要求。如果没有性能作为基础和保障，那么再多再好的功能和协议支持都只能是绣花枕头，经受不住用户实际应用的考验。

    其次，是网络适应性问题。

    随着网络的高速发展，网络设备和环境也越来越复杂，vlan/trunk、bridge/stp、multicast、vpn、nat、ospf/rip、热备等网络技术和协议层出不穷，这些问题还经常交织在一起，使得问题加倍的复杂化。有很多网络是先建设，后防护，这时防火墙必须能够融入各种各样已有的网络环境。于是用户常常头痛的一个问题就是：防火墙如何部署到自己的网络环境？传统的防火墙适应能力不足，尤其在各种协议支持混杂在一起时，更是无计可施；有时甚至为了实施，被迫牺牲安全性，把某些应用放置在防火墙保护之外。

    然后。是应用过滤问题。

    防火墙的安全防护要从简单的ip端口向更高层协议的应用过滤方向发展，是所有人的共识，尤其是呼之欲出的webservice，更加提升了对应用过滤需求的重要性和急迫性。但是，目前有两大难题困扰着应用过滤在实际中的应用。其一，应用过滤大大降低了防火墙的性能，包括吞吐量、时延、并发连接数等，都大受影响；其二，应用过滤控制的对象复杂程度远远超出了ip端口的复杂程度，用户往往没有足够的精力进行有效的安全策略制定和维护。如何解决应用过滤性能问题和策略可维护性问题，将是摆在防火墙厂商面前的两座大山。只有真正解决了这两个问题，应用过滤才能真正为广大用户服务。

    最后，另外一个需求广泛的是多媒体（网络视频、音频等）支持。

    多媒体应用是包含视频、音频、用户数据

    等多种数据流的综合应用，是宽带网络最重要的应用之一。随着网络基础带宽的增大，对于多媒体应用（ip电话，视频会议等）的需求也在不断增长，很多量大，数据传输协议复杂，数据流众多，每种数据对于网络传输质量的要求不尽相同。其中的代表如h.323、upnp协议，协议都非常复杂，需要打开大量的动态端口。为此，防火墙要有强大的高层协议分析能力，要能动态跟踪和维持大量动态协商创建的网络连接，要能够满足相关网络连接的带宽和时延要求，并处理其中的碎片等问题。这使防火墙对多媒体的支持变得复杂，所以很多防火墙在支持多媒体应用时会功能无法正常使用或是使用时经常出现掉线或是数据丢失的情况。甚至有些防火墙在支持多媒体协议时，通过设置全通规则来解决这些问题，造成了严重的安全漏洞，使用户的网络增大了安全风险，所以防火墙对于多媒体应用的支持也成为衡量防火墙功能的一个重要方面。

    综合这些重要的用户需求，方正安全公司认为当今的防火墙系统作为首要的网络边界安全设备，已经从初期的三层协议安全网关，向2－7层全面的安全网关方向发展，并且要有强大的性能作为支撑，如图所示。2层协议的支持是为了使防火墙有良好的网络适应性；7层协议的支持，是为了防火墙有强大的多媒体支持能力，以及应用过滤能力。而高性能，使得这一切得以真正实用化，而不仅仅是一些理论原型。

    为了支持这样新的防火墙发展趋势，方正安全自行研发的新一代防火墙技术――智能ip识别技术。智能ip识别技术采用先进的内核调度算法、零拷贝流分析算法和快速搜索算法实现高效的数据应用分类和规则快速定位；再通过将其与状态检测技术相结合，对会话进行访问控制，做到了针对多元化应用进行有效的访问控制的同时，保持了高速的网络数据检测效率，为2－7层网络协议和应用提供了强有力的支撑。

    尤其值得一提的是，智能ip识别技术中先进的零拷贝流分析算法（zesa算法，zero-copy stream analysis）。传统的流过滤算法，必须要在内存中组包，进行额外的拷贝、对齐等操作，大大降低了防火墙的处理效率，严重影响了吞吐量、时延和总并发连接数等关键指标。智能ip识别技术的zesa算法，可以省去这一步骤，通过高效偏序匹配，以及网络包的安全模式识别，在进行有效流处理的同时，保持防火墙处理的高效率。结合智能ip识别技术独有的内核调度算法、快速搜索算法，方正防火墙在国内历次评测中性能指标都遥遥领先。

    在zesa强有力的支持下，方正防火墙的多媒体支持功能和应用过滤功能都非常出色。方正防火墙可以全面的支持h.323、upnp等多媒体协议，支持netmeeting、msn、 realplay、mediaplay、iptv等关键多媒体应用。在不降低用户网络安全级别和性能的前提下，智能ip识别技术支持这些协议和应用进行完整的状态检测，并且提供完整的nat支持；方正防火墙的应用过滤功能效率出众，不再成为网络瓶颈，为应用过滤真正的到应用迈出了重要一步。方正安全会和其他安全公司一起，努力解决应用过滤安全策略的实用化问题，真正为用户提供有效的应用过滤支持。

    此外，智能ip识别技术提供了完整的2－7层协议分析的框架，对各种底层协议，如vlan/trunk、bridge/stp、高效热备协议、vpn协议、动态路由、arp代理等都有良好的支持，提供了透明、路由、混杂等模式。在复杂网络拓扑下，还能有效的支持vpn的nat穿越，h.323、upnp等多媒体协议的nat支持等。在实施时，对原有网络拓扑的改动很小，给用户提供最大的便捷和安全。

    方正防火墙凭借先进的智能ip识别技术，提供了完整高效的2－7层的网络安全防护，很好的解决了用户在实际应用中的性能、适应性、应用过滤、多媒体应用等重要方面的需求。