千兆到桌面、64位到桌面都是近来令人兴奋的技术进步,但以往的经验表明,网络带宽和计算能力的提高在很大程度上被日益增长的安全问题抵消了。个人就是很好的例子,在Windows XP SP2中集成个人防火墙组件说明它正在逐渐成为PC的必备软件。然而,从最早的BlackICE等个人防火墙软件开始,它们就是计算资源占用的大户。网络流量的监测和扫描会耗用大量CPU时间。事实上,这正是级防火墙的主要工作之一。
或许是因为这方面的考虑,nVIDIA在推出其第一代支持64位CPU以及千兆以太网的桌面主板控制(nVIDIA称之为媒体与通信,即MCP)NF3 250Gb时,就集成了硬件防火墙功能,这项功能随后又被移植到NF2 Ultra 400 Gb中,最近推出的NF4 Ultra也继承了这项功能。
为了验证nVIDIA硬件防火墙的作用,我们选用基于NF4 Ultra控制芯片的DFI NF4 Ultra DAGF主板进行了测试,测试平台的其他配置为, 3800+、1GB Kingston DDR400(2条512MB内存组成双通道)、Seagate 3120026AS 120GB 硬盘,安装Windows XP Professional简体中文版,并升级SP2。
NF4 Ultra MCP的防火墙控制功能由Network Access Manager提供,并被集成在nVIDIA统一的主板驱动和控制工具ForceWare中。安装过程中,我们选择禁用Windows XP集成的防火墙,而启用nForce防火墙。安装之后,ForceWare在本机的3476 TCP端口启动了一个Web Server,提供防火墙的Web配置界面。
我们将nForce防火墙的安全等级配置为中,与Windows XP SP2集成的防火墙进行了对比测试。测试流量由思博伦公司的4道7层专业测试仪Avalanche生成,包括正常访问流量和攻击流量,攻击方式为Smurf、UDP flooding和TCP Portscan的混合流量,正常网络流量使用HTTP协议,连接测试平台上的Windows XP专业版集成的IIS Web服务,并发连接数保持在100个左右,每次测试时间为2分钟。
测试结果表明,NF4集成的硬件防火墙并不是噱头。在启用时能够降低CPU占用率20%到40%(如图所示)。并且在启用NF4防火墙时,超过99%的正常连接建立成功,而使用XP内置防火墙时,平均只有37%的正常连接能成功建立。
不过,在测试过程中我们也遇到了一些问题。nVIDIA官方网站提供的正式版ForceWare软件(5.10版)无法在测试平台上安装,我们最终只能使用非正式的6.53版。而且据我们了解,这并不是所用主板的问题,而是NF 4主板的通病。
工程师点评: 由于定位的原因,NF4的内置防火墙不支持硬件NAT,因此它只能用做个人防火墙,而不能在防火墙中发挥优势。但随着千兆网络的普及,硬件个人防火墙无疑将成为一种趋势。