|
x86架構和ASIC架構和NP架構的區別
在衆多的安全產品中,防火牆產品無疑是保障網絡安全的第一道防線,很多企業爲了保障自身服務器或數據安全都採用了防火牆。
隨着Internet的迅速普及,全球範圍內的計算機網絡病毒、操作系統漏洞、垃圾郵件等網絡安全問題也是層出不窮,網絡安全產品和解決方案越來越成爲各類網絡用戶和廠商們的聚焦點,在衆多的安全產品中,防火牆產品無疑是保障網絡安全的第一道防線,很多企業爲了保障自身服務器或數據安全都採用了防火牆。隨着網絡應用的增加,對網絡帶寬提出了更高的要求。這意味着防火牆要能夠以非常高的速率處理數據,於是千兆防火牆逐步嶄露頭角,頻頻被運用在金融、電信、教育、氣象等大型的行業和機構,以及對安全要求極高的大型企業用戶,其市場佔有份額已經超過50%;下面就讓我們來了解一下千兆防火牆的相關的產品、技術及選購方面的一些知識。
不同構架各具特色
從百兆到千兆,最初只是量變。千兆防火牆在2000年前後就進入了我國市場。由於百兆網絡接口與千兆網絡接口的成本相差不大,早期的千兆防火牆僅僅是將百兆接口替換爲千兆接口而已。這種基於X86體系結構的千兆防火牆主體仍然是軟件,其性能受到很大制約,無法達到千兆的處理速度。因此,這些防火牆只是具有千兆接入能力的防火牆,而不是真正具有千兆處理能力的防火牆因此可以說是一種“換湯不換藥”的形式改變。隨後幾年,隨着千兆網絡在企業和行業用戶中的不斷普及,以及用戶對性能需求的不斷增加,千兆防火牆也逐發生了質變。
這種質的變化首先是人們把目光轉移到了專用集成電路(ASIC)和網絡處理器(NP)上。相對於X86架構,基於這些架構的千兆防火牆纔是真正的硬件解決方案,能夠實現千兆處理速度。在這裏,我們不妨將X86架構、NP和ASIC放在一起進行技術比較,看看不同技術的優缺點。
X86架構
最初的千兆防火牆是基於X86架構。X86架構採用通用CPU和PCI總線接口,具有很高的靈活性和可擴展性,過去一直是防火牆開發的主要平臺。其產品功能主要由軟件實現,可以根據用戶的實際需要而做相應調整,增加或減少功能模塊,產品比較靈活,功能十分豐富。
但其性能發展卻受到體系結構的制約,作爲通用的計算平臺,x86的結構層次較多,不易優化,且往往會受到PCI總線的帶寬限制。雖然PCI總線接口理論上能達到接近2Gbps的吞吐量,但是通用CPU的處理能力有限,儘管防火牆軟件部分可以儘可能地優化,很難達到千兆速率。同時很多X86架構的防火牆是基於定製的通用操作系統,安全性很大程度上取決於通用操作系統自身的安全性,可能會存在安全漏洞。
ASIC架構
相比之下,ASIC防火牆通過專門設計的ASIC芯片邏輯進行硬件加速處理。ASIC通過把指令或計算邏輯固化到芯片中,獲得了很高的處理能力,因而明顯提升了防火牆的性能。新一代的高可編程ASIC採用了更靈活的設計,能夠通過軟件改變應用邏輯,具有更廣泛的適應能力。但是,ASIC的缺點也同樣明顯,它的靈活性和擴展性不夠,開發費用高,開發週期太長,一般耗時接近2年。
雖然研發成本較高,靈活性受限制、無法支持太多的功能,但其性能具有先天的優勢,非常適合應用於模式簡單、對吞吐量和時延指標要求較高的電信級大流量的處理。目前,NetScreen在ASIC防火牆領域佔有優勢地位,而我國的首信也推出了我國基於自主技術的ASIC千兆防火牆產品。
NP架構
NP可以說是介於兩者之間的技術,NP是專門爲網絡設備處理網絡流量而設計的處理器,其體系結構和指令集對於防火牆常用的包過濾、轉發等算法和操作都進行了專門的優化,可以高效地完成TCP/IP棧的常用操作,並對網絡流量進行快速的併發處理。硬件結構設計也大多采用高速的接口技術和總線規範,具有較高的I/O能力。它可以構建一種硬件加速的完全可編程的架構,這種架構的軟硬件都易於升級,軟件可以支持新的標準和協議,硬件設計支持更高網絡速度,從而使產品的生命週期更長。由於防火牆處理的就是網絡數據包,所以基於NP架構的防火牆與X86架構的防火牆相比,性能得到了很大的提高。
| |
