其次是業(yè)務的實時性和可靠性要求更高。傳統(tǒng)園區(qū)網主要承載EMAIL/靜態(tài)WEB等業(yè)務，這些業(yè)務普遍對于實時性要求不高，而新興的視頻、語音等業(yè)務對于實時性和可靠性的要求則幾近苛刻。

另外，新的技術和應用不斷產生，帶來的是網絡承載設備對于新業(yè)務的承載支持和設備處理性能的靈活擴展都有了更高的要求。

變化引發(fā)的挑戰(zhàn)

園區(qū)網的上述三個發(fā)展趨勢，對園區(qū)網承載網絡設備的功能及性能都提出了更高的要求。而高端防火墻作為大型園區(qū)網出口的基礎安全防護設備，同樣面臨著重重挑戰(zhàn)。

第一大挑戰(zhàn)–性能

承載業(yè)務的豐富化，帶來的是巨大的出入數據流量和海量的用戶請求連接。目前大型園區(qū)網出口流量動輒數Gb，大量用戶接入使得防火墻的新建連接和并發(fā)連接數指標要求也呈幾何倍數增長。以我們常用的淘寶和土豆網為例：單個用戶打開其首頁時需要建立的連接數接近100個，對于承載幾千人甚至上萬人的園區(qū)網來說，其同時上網產生的新建和數百萬以上的并發(fā)連接，對于園區(qū)網絡承載設備都是巨大的考驗，傳統(tǒng)高端防火墻每秒幾萬的新建連接速度和一百萬級別的并發(fā)連接能力已經無法滿足當前大型園區(qū)出口的應用需求。其中，并發(fā)連接可以通過擴展內存來實現性能的提升（并發(fā)數和內存呈線性對應增長關系），但新建連接則需要對防火墻的處理流程和硬件架構進行優(yōu)化才能大幅提升相關性能。

同時，隨著園區(qū)網承載實時性業(yè)務的增多，對于出口防火墻的延時、丟包率指標也提出了新的要求。（常見業(yè)務類型對延時和丟包的要求如下）

目前多家廠商都已推出了超高性能的防火墻設備來應對用戶的性能要求。例如H3C的SecPath F5000-A5通過采用先進的分布式處理架構和FPGA技術，其連接處理能力達到支持20萬新建連接、400萬并發(fā)連接，并采用ACL加速技術，實現在超過20000條安全策略、80%滿負荷的流量壓力下，保持幾十微秒級別的延遲和零丟包率。

第二大挑戰(zhàn)–可靠性

園區(qū)網承載的業(yè)務越來越重要，自然其網絡可靠性要求也會隨之升高。防火墻設備的可靠性是保證網絡可靠的基礎，同樣不能忽視。傳統(tǒng)高端防火墻在硬件設計方面做出了一定改進，包括通過雙電源、雙風扇等部件冗余手段來保證高可靠性，但是這些傳統(tǒng)手段已經不能完全滿足當前園區(qū)出口級設備的高可靠性要求。對于高端防火墻來說，需要在以下幾個方面著重加以強調。

軟件系統(tǒng)可靠性: 軟件系統(tǒng)對通信產品的重要性，等同于Windows之于電腦，安全、穩(wěn)定、成熟的軟件系統(tǒng)才能幫助用戶打造真正的高可靠網絡。一些廠商選擇FreeBSD等開源代碼進行修改，沒有經歷過大規(guī)模電信級應用環(huán)境的洗禮，在相對簡單的應用環(huán)境下應用可以勉強支撐，在大型園區(qū)復雜的應用環(huán)境下必定會捉襟見肘。只有類似像H3C的Comware、CISCO的IOS這一級別的軟件，才能保證系統(tǒng)的可靠性。

設備級冗余機制：電源冗余等手段僅能解決系統(tǒng)內部局部模塊工作異常的問題，無法避免極端情況下設備級故障導致的斷網，最好采用關鍵部件的全冗余設計。此外，雙機熱備作為傳統(tǒng)解決單點故障的方案已經相對成熟，但傳統(tǒng)的雙機方案利用VRRP或者動態(tài)路由方式實現流量的切換，切換時間均以秒計；對于視頻等實時性業(yè)務來說，秒級的切換時間是不能接受的，必須通過類似H3C F5000這種控制和轉發(fā)平面完全物理分離的相關機制保證毫秒級的快速收斂和切換。

自我故障檢測機制：對于高可靠性設備來說，實時的運行狀態(tài)檢測和鏈路狀態(tài)檢測是必不可少的， 除了傳統(tǒng)的針對CPU、內存利用率的監(jiān)控外，協(xié)議檢測、機箱溫度、風扇狀態(tài)、多鏈路情況下的鏈路狀態(tài)探測技術，均是幫助提高可靠性的有效手段。H3C的F5000就是通過物理上獨立的檢測平面，實現了BFD for BGP/IS-IS/OSPF/ VRRP（針對各種協(xié)議的快速故障檢測機制，故障檢測時間小于20ms）和機箱溫度和板卡溫度檢測等功能，來保證當鏈路發(fā)生異常時能自動切換且切換性能小于50ms。

第三大挑戰(zhàn)–擴展性

業(yè)務方面，云計算、物聯(lián)網等信息化建設熱點雖然尚未成熟普及，但均對網絡提出了新的要求，例如需要采用IPv6技術解決海量信息點標識問題，采用VPN技術解決多業(yè)務承載問題、采用NAT日志滿足公安部82號令問題等。因此，園區(qū)網絡設計的時候需要考慮IPv6、MPLS VPN、NAT日志審計等相關特性，以及開啟這些多業(yè)務特性時性能不會受到影響，從而保證基礎網絡設施和基礎安全防護設施對于建設熱點的技術擴展性。另外，新協(xié)議的支持和相關協(xié)議的NAT穿越能力也是用戶評估園區(qū)出口防火墻時需要重點考察的問題。

系統(tǒng)方面，高端產品必須具備良好的可升級性及彈性配置，這也是出于對用戶投資的有效保護。這種可升級性是全方位的，性能、接口、內存甚至電源和風扇都要做到靈活升級配置。這就要求產品在設計初始就必需充分考慮到產品的升級需求：小到內存條容量的升級，大到網絡接口、設備性能/處理能力的升級。

對于以上要求，H3C的SecPath F5000無論在IPV6、NAT穿越還是部件升級擴容方面都做好了充分的準備。比如F5000獲得了IPv6 Ready Phase-2的認證，可以保證IPv4向IPv6的過渡；F5000采用的可擴展硬件加速技術-"FGPA"，保證多業(yè)務并發(fā)而不影響性能；通過基于Crossbar的分布式架構，保證了F5000的性能、接口等可擴展性。也正是憑借在性能、可靠性和擴展性方面的全面優(yōu)異表現，SecPath F5000已經先后在武漢大學、西南大學、哈爾濱工程大學、西安電子行政平臺、無錫市民行政中心、貴州電網、西山煤電等眾多行業(yè)客戶的大型園區(qū)網出口得到應用。

liukai