关注防火墙技术新动向

防火墙已经是目前最成熟的网络安全技术，也是市场上最常见的网络安全产品。在网上Google一下“防火墙”，找到2540000个匹配项;Google 一下“firewall”，找到44200000个匹配项。可以想象，防火墙资料之多如汪洋大海。面对这么多的信息，想对防火墙说三道四，还真不容易。目前，网络入侵、网络攻击、网络病毒、垃圾邮件、网络陷阱，网页被篡改的新闻太多，以致于公众对“狼来了”已经麻木、没有反应了。众多的防火墙厂商，琳琅满目的防火墙产品，五花八门的防火墙新技术，充斥着网络安全界。现在网络安全产业，不是用户有什么问题，而是厂商有问题。防火墙技术已经成熟，为广大用户所认可，但是防火墙存在的问题被暴露出来，而且还很严重。用户现在是在看防火墙厂商，看他们怎么办。一位信息中心的老总在一次安全大会上叫板说，我已经买了不少防火墙，别跟我来虚的，跟我说点有新意的东西。现在不缺经费，就缺管用的东西。

现在的防火墙技术到底有什么问题?用户到底要什么管用的东西?

1、向下看，别老向上看

业界流行的观点是，高性能防火墙是防火墙未来发展的趋势。高性能防火墙简直就是防火墙硬件结构不用X86。而对于高端防火墙的技术实现，不外乎基于NP技术或ASIC芯片技术。NP在网络底层转发和处理数据，可二次开发，但性能比ASIC差一点。ASIC技术难度大，很难开发，但性能好一点。NP和 ASIC还没有争论完，有些聪明的厂商已经找到诀窍，推出NP+ASIC的综合方案，总算找到“最佳”的搭配方案。至于工控机架构，明眼人一眼就看出了，搞NP和ASIC的人联手，就说它性能不好，说多了就让它淘汰。

真实的情况到底是什么?用户到底是要安全还是要速度?安全和速度可是一对矛盾。在发生安全事故的时候，慢比快安全。如发生相撞事件，行人比骑自行车安全，骑自行车比开汽车安全，开汽车比坐飞机要强。不发生安全事故，当然是效率越高越好，能坐火箭当然不坐飞机。从这个意义上，如果是选择路由器，当然是速度和效率;如果是选择安全设备，要是你是安全负责人的话，选慢的，别选快的。安全总是需要时间来处理，速度越快，效率越高，安全事故发生的时候就越没救。哥仑比亚航天飞机下来的时候出了故障，连人影都找不着;飞机失事，人影还有，就是残缺不全;两个人走路相撞，生气归生气，但基本不会有事。