面对竞争，LINUX内核防火墙何去何从

IT168 heaven    2003-09-17 14:32     
【IT168 点评】防火墙产品从95年以后才开始发展，而硬件防火墙更是这几年才发展起来的。算起来，硬件防火墙已经算是防火墙的第四代产品了，是具有安全操作系统的防火墙，而这里所说的安全操作系统，包括了WINDOWS、NETBSD、LINUX等主流的操作系统，也有VxWorks或类似的实时操作系统，在这些系统中，采用LINUX内核的防火墙占了绝大多数，尤其在国内，几乎所有的主流防火墙都采用的是LINUX内核。

    小编就防火墙的内核问题和几个防火墙厂家的技术负责人进行了交流，他们的说法都是LINUX内核现在正处在一个技术的巅峰期。但同时，LINUX内核作为一个成熟而且公开源代码的内核系统，其内核本身的安全是否能够适应将来更进一步的网络安全需求，没有人可以给出一个肯定的答复。

    在基于内核的防火墙市场里面，之所以LINUX能够独占鳌头，其内核的相对稳定和安全是最主要的原因，而且由于LINUX的源代码开放，全球有很多的公司和个人都在研究和改写其内核源代码，这样就使其内核能够不断的完善，而且能在第一时间发现漏洞。采用LINUX内核的防火墙最大的好处也莫过于技术的相对成熟。在LINUX的内核下开发防火墙，安全内核、代理系统、多级过滤、安全服务器和鉴别与加密是防火墙的关键所在。

    经过了近几年的技术沉淀，防火墙的安全技术和内核上层的数据监控上，安全性能正随着网络安全要求的不断更新而不断的升级，但是同时，LINUX内核本身的安全却受到了忽视。由于防火墙的数据过滤要求，LINUX内核必须要开放一部分安全端口，但是毕竟LINUX是一个源代码开放的内核系统，各个防火墙厂家虽然可以对其作一定的修改和优化，并且在出厂的时候封闭一切有隐患的端口，但是基于内核的底层攻击却从来都没有停止过，而且各个厂家在内核和防火墙软件之间的无缝连接上作的并不是很牢靠，也对网络的安全造成了一定的隐患。

    另一方面，LINUX内核防火墙在数据转发上也有其一定的弊端。无论网络中的带宽和数据流有多大，您的安全解决方案都决不应该成为网络的瓶颈。但是因为LINUX内核本身要消耗一部分的系统资源和带宽，也就造成了防火墙很难在数据转发上达到线速。尤其是在转发64K以下的小包转发上，内核占用系统资源的问题更显突出了。虽然相对于BSD和WINDOWS的内核来说，LINUX内核已经是很节省系统资源的了，但是随着防火墙的应用层面的提高和网络对安全和速率的更高要求，LINUX内核的防火墙能否提高其转发性能以适应网络的需求呢？

    目前有一些厂家已经有了基于非操作系统内核的防火墙，传统的内核防火墙都是数据通过内核再通过Firewall Software，但是这种防火墙内核是由最小的boot loader和只有几百千字节的紧凑防火墙内核组成，这便是运行整个防火墙系统需要的全部软件。这意味着避免了潜在操作系统本身存在的安全漏洞。而且，没有了系统内核消耗的系统资源，可以很轻松的让数据转发达到或接近线速。

    LINUX内核防火墙作为目前和今后一段时间内的主流防火墙，其今后的发展方向已经为业内人士所关注。不过小编和一些业内的专家交流的结果是，LINUX内核的防火墙在一段时间内还是最成熟的防火墙，毕竟其技术的成熟和产品的成熟应用是众所周知的。无操作系统内核的防火墙以前都是在一些低端产品里出现，现在这种产品做到了高端，其技术的稳定性和保密性是广大用户所关心的。小编从一些生产这种防火墙的厂家介绍上来看，其安全性应该和LINUX防火墙不相上下，毕竟主要还是要看其防火墙软件的水平。只要其技术能够完善，并且得到用户的认可，体现出其在数据转发上的优势，可能会在今后的应用中逐渐被用户接受。

    LINUX内核防火墙如果要保持其现有的技术优势，必须对其内核进行一定的优化，为什么国内的防火墙很少有可以上到千兆的？或者即使标称千兆，实际应用的时候也就是800兆左右？究其原意还是LINUX内核占用了过多的带宽。解决的这个问题，LINUX内核防火墙会走的更远。