隨着網絡的發展,網絡威脅日益嚴峻,目前各大安全廠商都推出了多核心防火牆,採用多核芯片,終結了x86、NP和ASIC一統天下的時代,終結了高功耗、低穩定性的時代,並且提供了全面的應用安全解決方案。
多核心技術真正實現了千兆的小包吞吐量,相對於以往的X86、ASIC、NP技術,有了革命性的進步。先從以往的這些架構的優缺點講起:
國內多數安全廠商的產品基於傳統的X86架構防火牆,從總線速度來看基於32位PCI總線的X86平臺,做爲百兆防火牆的方案是沒有任何問題的。但X86平臺的防火牆方案,數據從網卡到CPU之間的傳輸機制是靠“中斷”來實現的,中斷機制導致在有大量數據包的需要處理的情況下(如:64 Bytes的小包,以下簡稱小包),X86平臺的防火牆吞吐速率不高,大概在30%左右,並且CPU佔用會很高。這是所有基於X86平臺的防火牆所共同存在的問題。
因此,基於32位PCI總線的X86平臺是不能做爲千兆防火牆使用的問題,Intel提出瞭解決方案,可以把32位的PCI總線升級到了PCI-E ,即:PCI-Express,這樣,PCI-E 4X的總線的速度就可以達到 2000MB Bytes/S,即:16Gbits/S,並且PCI-E各個PCI設備之間互相獨立不共享總線帶寬,每個基於PCI-E的網口可以使用的帶寬爲:2000MB Bytes/S,即:16Gbits/S,所以基於PCI-E 4X的X86從系統帶寬上來說,做爲千兆防火牆是沒有任何問題的。但是,基於PCI-E的防火牆數據從網卡到CPU之間傳輸同樣使用“中斷”機制來傳輸數據,所以小包(64
Bytes)的通過率仍然爲:30-40%.
X86平臺的防火牆其最大的缺點就是小包通速率低,只有30%-40%,造成這個問題的主要原因是因爲X86平臺的中斷機制以及X86平臺的防火牆所有數據都要經過主CPU處理。基於ASIC架構的防火牆從架構上改進了中斷機制,數據從網卡收到以後,不經過主CPU處理,而是經過集成在系統中的一些芯片直接處理,由這些芯片來完成傳統防火牆的功能,如:路由、NAT、防火牆規則匹配等。這樣數據不經過主CPU處理,不使用中斷機制。
但隨之而來的問題是,ASIC架構的防火牆是芯片一級的,所有的防火牆動作由芯片來處理。這些芯片的功能比較單一,要升級維護的開發週期比較長。無法在芯片一級完成垃圾郵件過濾、網絡監控、病毒防護等比較複雜的功能,所以說,ASIC架構用來做功能簡單的防火牆,是完全適用的,64 Bytes的小包都可以達到線速。但是在擴展上通用CPU也是無法和專門的嵌入式CPU比較,並且在總線帶寬上也無法承載太多的內部處理數據傳輸(Multi-core多核處理器內部是通過高速總線或者交叉矩陣式連接的)。
NP架構實現的原理和ASIC類似,但升級、維護遠遠好於ASIC 架構。NP架構在的每一個網口上都有一個網絡處理器,即:NPE,用來處理來自網口的數據。每個網絡處理器上所運行的程序使用微碼編程,其軟件實現的難度比較大,開發週期比ASIC短,但比X86長。
採用多核處理器,是在同一個硅晶片上集成了多個獨立物理核心,每個核心都具有獨立的邏輯結構,包括緩存、執行單元、指令級單元和總線接口等邏輯單元,通過高速總線、內存共享進行通信。在實際工作中,每個核心都可以達到1Ghz的主頻,而且可以在非常節能的方式下運行。
有的多核產品支持500萬併發會話64Byte吞吐量達到3G,256Byte以上吞吐達到8G,VPN吞吐達到8G,支持3萬VPN通道,支持5萬Policy。每秒新建TCP會話超過20萬,每秒處理UDP會話超過50萬。在每秒創建5000TCP會話作爲背景流量,可以檢測並防禦80萬包/每秒以上的SYN-FLOOD攻擊,更是達到了萬兆線速。一系列的性能測試結果足以傲視衆多安全平臺。