下一代防火墻自問世以來，即以“邊界安全專家-應用層深度防護”的身份示人，從其安全角色定位不難看出，在秉承傳統防火墻基礎控制的前提下，尤其強調對高層應用安全的深度探查和防護。

這就鮮明地涉及到下一代防火墻中一個非常關鍵的雙層結構：基礎訪問控制層和高層一體化安全層，且每一層分別對應一個引擎實現，它們是：數通引擎和一體化安全引擎。雙引擎高效協作，在保障性能及穩定性的同時提供專業級的應用層安全防護。他們是下一代防火墻中的雙引擎，兩顆真正強健的“芯”。

本文將就下一代防火墻中的雙層結構及其雙引擎實現給出一個詳細的解釋和介紹，從而使讀者對如何選擇、辨識出具有高性能、高穩定、高安全的下一代防火墻產品做到心中有數。

下一代防火墻的雙層結構

任何網絡安全設備的安全處理歸根到底都是對一個個網絡數據包的分析和處理，國際標準化組織將網絡數據包劃分為七層模型，根據用戶安全防護粒度要求的不同，防火墻安全控制和掃描的層數也就不同。

用戶熟悉的基于IP地址、安全區、服務類型/端口號的訪問控制，就是通過對數據包進行四層以下的解碼和過濾來實現的，這部分安全功能是最基礎，也是最常用到的防火墻功能，在完全兼容傳統防火墻功能特性的下一代防火墻中，這部分安全特性由數通引擎來獨立完成。

除了訪問控制，數通引擎處理網絡基礎通信相關的所有工作，包括路由、交換、VLAN、NAT、VPN以及冗余備份等。數通引擎作為安全服務的基礎層，保障著用戶網絡環境的基礎安全。

下一代防火墻誕生的背景和使命是識別和防護高層應用安全，也就是四層至七層的內容解碼、威脅識別和威脅掃描，如入侵防護、防病毒、URL過濾和內容關鍵字過濾等。涉及到的攻擊類型涵蓋木馬、蠕蟲、SQL注入、DoS攻擊、惡意站點訪問、文件/郵件病毒、即時通信/論壇不良信息等等。由于高層解碼本身的技術難度，再加上攻擊類型的復雜多樣，必須有別于數通引擎，從整體角度上優化設計出專供保障高層應用安全的安全引擎，即一體化安全引擎。

經過架構優化設計的一體化安全引擎對數據包只需一次解碼即可完成四至七層全部安全掃描，從根本上改進了傳統UTM設備將各安全模塊串行過濾、重復解碼的掃描模式，極大的提升了安全性能。專屬優化的一體化安全引擎做為安全服務的高層，保障著用戶網絡環境的應用安全。

單引擎 VS雙引擎

無論是作為基礎層的數據通信處理，還是高層的安全掃描處理都是任何一款下一代防火墻產品都必須具備的基本功能要素。所不同的是，通過一個大而雜的引擎實現，還是通過兩個各司其職，性能卓越的專屬引擎經過緊密配合協作實現。按照Gartner定義的線速級實時安全防護設備，下一代防火墻無疑應該是后一種選擇。

雙引擎設計可以克服諸多單引擎與生俱來無法逾越的缺陷和障礙：

第一、性能問題。

顧名思義，單引擎就是既要完成基礎層數通處理，又要完成高層安全處理，并且其先天結構決定了只能串行依次的完成以上任務，又由于安全處理本身的復雜性和耗時性，其會成為整個引擎的性能瓶頸，影響整體性能的提升。

這就如同兩個工人合作蓋房，遞磚的工人很快將磚傳送到砌墻工手里，但由于砌墻工序復雜耗時，成為整個合作流程的速度瓶頸，同時另一方面遞磚工只能閑置等待，造成了資源浪費。

雙引擎正是為解決以上性能瓶頸問題而設計產生。數通處理與安全處理分別由專屬的數通引擎和一體化安全引擎獨立實現，異步且并發執行，處理流水線數目按需分配，有效的解決了性能瓶頸。

雙引擎設計如同一個遞磚工人與多個砌墻工合作，遞磚工將磚傳送到第一個砌墻工手里后并不停歇，馬上又去傳送給第二個砌墻工，等到給最后一個砌墻工傳送完畢后，第一個砌墻工的任務已完成，又可馬上接收新傳送。可見此種異步并發設計不僅有效利用資源，更消除了性能瓶頸。

第二、穩定性問題。

單引擎由于涵蓋數通和安全雙重處理，兩方面任何一個環節出問題都會導致整個引擎異常、崩潰，而使整個數據流處理中斷、用戶業務中斷。雙引擎將兩種處理分開，任何一方任何環節出問題都不會影響另一方繼續正常運作，保證數據處理不中斷，用戶業務不中斷。同時，由于技術復雜度，對容易出問題的安全引擎進行全天24小時穩定性健康監測，第一時間發現并恢復異常。極大的保障了用戶網絡運行的穩定性。

綜上所述，下一代防火墻產品秉承基礎和應用雙層安全，采用雙引擎架構的設計模式，我們了解到，以綠盟科技為代表的安全廠商在其推出的下一代防火墻產品中，在兼顧高穩定性的基礎上，確保安全吞吐高性能，很好地體現了讓用戶安心、放心使用安全功能的客戶價值，并期待和接受著市場和用戶的檢驗。