包过滤防火墙和下一代防火墙的差异点

防火墙定义

传统包过滤防火墙

部署于不同安全域之间，具备网络层访问控制以及过滤功能，具备应用层协议分析、控制、及内容检测等功能，能够适用于ipv4、ipv6等不同的网络环境的安全网关设备。

引用于：
《信息安全技术　防火墙安全技术要求和测试评价方法》
https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=DC339A62C32B0B5C64F567DD5F09EDE0

下一代防火墙

部署于两个或者多个计算机网络间，以以应用、用户和内容识别为基本能力，在对网络流量深度可视化的基础上，通过统一策略管理确保在网络间安全启用应用的安全设备。（具备应用感知和全栈可视化、集成IPS、ids、icg等产品功能）

gartner机构受限提出 https://www.gartner.com/cn

问题：

防火墙需要集成多个功能模块，就需要解决多个功能同时运行导致性能下降的问题。提升性能就需要更改计算机构、扩大硬件功率。

防火墙功能

传统包过滤防火墙

1. 二层、三层包转发
2. 状态检测
3. 提供私有网络到公有网络的地址转换
4. ipsec vpn

下一代防火墙

1. 增加对应用层协议的识别以及过滤

文件过滤
内容过滤
邮件过滤
行为过滤等

问题

防火墙发展趋势是什么？

1. 应用识别能力提升，对网络流浪的识别广度、深度和精度
2. 可视化能力提升
3. 智能化程度提升，策略执行判断以及响应智能化，即对接其他安全产品
4. 处理性能提升
5. 云端虚拟化提升，随着业务云端化，防火墙也需要虚拟化

防护墙处理器架构

目前市面上大部分防火墙采用的架构都是基于AMP+架构，即多核异步处理架构，整体架构分为三大部分，分别为配置管理平面、控制平面、数据平面。

引用于： https://zhuanlan.zhihu.com/p/455322207

从架构上区分

同构多核架构：系统中的处理器在架构上是相同的

同构多核处理器有：Exynos4412，freescale i.mx6
dual和quad系列、TI的OMAP4460等，Intel的Core Duo、Core2 Duo等。

异构多核架构：系统中的处理器在架构上是不同的

异构多核处理器有：TI的达芬奇平台DM6000系列（ARM9+DSP）、Xilinx的Zynq7000系列（双核Cortex-A9+FPGA）、Cell处理器（1个64位POWERPC+8个32位协处理器）等等。

同构多核架构在硬件与软件设计上比较简单，通用性高。

从运行模式上区分

在软件上区分的话，多核处理器有三种运行模式：

AMP（非对称多处理）SMP（对称多处理）BMP（受约束多处理）

AMP

AMP是指，多个核相对独立的运行不同的任务，每个核之间相互隔离，可以运行不同的操作系统或裸机程序。

AMP运行模式

AMP的运行模式基本不会存在开销问题，尤其是在运行裸机程序时，甚至没有开销，这种模式比较适合实时性高的应用。但是两个核心之间的通信与资源共享需要有一套优秀的处理机制。

虽然多个核心可以运行不同的系统，但是需要有一个主要的核心，需要使用该核心来控制整个系统以及其他的核心。例如：一个核心运行运行实时性较高的任务，另一个核心运行UI界面。

SMP

SMP是指多个核心运行一个操作系统，该操作系统同等的管理多个内核，这种运行模式就是简单提高运行性能。目前支持该运行模式的操作系统有：Linux，Windows，Vxworks。

目前，我们的PC机使用的就是这种运行模式，一般适用于功能复杂，对实时性要求不高的系统。

SMP运行模式

BMP

BMP运行模式与 SMP类似，同样也是一个OS管理所有的核心，但开发者可以指定将某个任务仅在某个指定内核上执行 。