防火墻x86架構和ASIC架構和NP架構的區別

來源:本站原創 CISCO 超過951 views圍觀 0條評論

防火墻x86架構和ASIC架構和NP架構的區別

    在眾多的安全產品中,防火墻產品無疑是保障網絡安全的第一道防線,很多企業為了保障自身服務器或數據安全都采用了防火墻。

    隨著Internet的迅速普及,全球范圍內的計算機網絡病毒、操作系統漏洞、垃圾郵件等網絡安全問題也是層出不窮,網絡安全產品和解決方案越來越成為各類網絡用戶和廠商們的聚焦點,在眾多的安全產品中,防火墻產品無疑是保障網絡安全的第一道防線,很多企業為了保障自身服務器或數據安全都采用了防火墻。隨著網絡應用的增加,對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據,于是千兆防火墻逐步嶄露頭角,頻頻被運用在金融、電信、教育、氣象等大型的行業和機構,以及對安全要求極高的大型企業用戶,其市場占有份額已經超過50%;下面就讓我們來了解一下千兆防火墻的相關的產品、技術及選購方面的一些知識。

    不同構架各具特色

    從百兆到千兆,最初只是量變。千兆防火墻在2000年前后就進入了我國市場。由于百兆網絡接口與千兆網絡接口的成本相差不大,早期的千兆防火墻僅僅是將百兆接口替換為千兆接口而已。這種基于X86體系結構的千兆防火墻主體仍然是軟件,其性能受到很大制約,無法達到千兆的處理速度。因此,這些防火墻只是具有千兆接入能力的防火墻,而不是真正具有千兆處理能力的防火墻因此可以說是一種“換湯不換藥”的形式改變。隨后幾年,隨著千兆網絡在企業和行業用戶中的不斷普及,以及用戶對性能需求的不斷增加,千兆防火墻也逐發生了質變。

    這種質的變化首先是人們把目光轉移到了專用集成電路(ASIC)和網絡處理器(NP)上。相對于X86架構,基于這些架構的千兆防火墻才是真正的硬件解決方案,能夠實現千兆處理速度。在這里,我們不妨將X86架構、NP和ASIC放在一起進行技術比較,看看不同技術的優缺點。

    X86架構最初的千兆防火墻是基于X86架構。X86架構采用通用CPU和PCI總線接口,具有很高的靈活性和可擴展性,過去一直是防火墻開發的主要平臺。其產品功能主要由軟件實現,可以根據用戶的實際需要而做相應調整,增加或減少功能模塊,產品比較靈活,功能十分豐富。

    但其性能發展卻受到體系結構的制約,作為通用的計算平臺,x86的結構層次較多,不易優化,且往往會受到PCI總線的帶寬限制。雖然PCI總線接口理論上能達到接近2Gbps的吞吐量,但是通用CPU的處理能力有限,盡管防火墻軟件部分可以盡可能地優化,很難達到千兆速率。同時很多X86架構的防火墻是基于定制的通用操作系統,安全性很大程度上取決于通用操作系統自身的安全性,可能會存在安全漏洞。

    ASIC架構相比之下,ASIC防火墻通過專門設計的ASIC芯片邏輯進行硬件加速處理。ASIC通過把指令或計算邏輯固化到芯片中,獲得了很高的處理能力,因而明顯提升了防火墻的性能。新一代的高可編程ASIC采用了更靈活的設計,能夠通過軟件改變應用邏輯,具有更廣泛的適應能力。但是,ASIC的缺點也同樣明顯,它的靈活性和擴展性不夠,開發費用高,開發周期太長,一般耗時接近2年。

    雖然研發成本較高,靈活性受限制、無法支持太多的功能,但其性能具有先天的優勢,非常適合應用于模式簡單、對吞吐量和時延指標要求較高的電信級大流量的處理。目前,NetScreen在ASIC防火墻領域占有優勢地位,而我國的首信也推出了我國基于自主技術的ASIC千兆防火墻產品。

    NP架構NP可以說是介于兩者之間的技術,NP是專門為網絡設備處理網絡流量而設計的處理器,其體系結構和指令集對于防火墻常用的包過濾、轉發等算法和操作都進行了專門的優化,可以高效地完成TCP/IP棧的常用操作,并對網絡流量進行快速的并發處理。硬件結構設計也大多采用高速的接口技術和總線規范,具有較高的I/O

NP架構的防火墻與X86架構的防火墻相比,性能得到了很大的提高。

    NP通過專門的指令集和配套的軟件開發系統,提供強大的編程能力,因而便于開發應用,支持可擴展的服務,而且研制周期短,成本較低。但是,相比于X86架構,由于應用開發、功能擴展受到NP的配套軟件的限制,基于NP技術的防火墻的靈活性要差一些。由于依賴軟件環境,所以在性能方面NP不如ASIC.NP開發的難度和靈活性都介于ASIC和x86構架之間,應該說,NP是X86架構和ASIC之間的一個折衷。目前NP的主要提供商是Intel和Motorola,國內基于NP技術開發千兆防火墻的廠商最多,聯想、紫光比威等都有相關產品推出。

    從上面可以看出,X86架構、NP和ASIC各有優缺點。X86架構靈活性最高,新功能、新模塊擴展容易,但性能肯定滿足不了千兆需要。ASIC性能最高,千兆、萬兆吞吐速率均可實現,但靈活性最低,定型后再擴展十分困難。NP則介于兩者之間,性能可滿足千兆需要,同時也具有一定的靈活性。

    三種架構綜合比較

    選購千兆防火墻需要考慮什么

    在選購千兆防火墻時,用戶首先需要明確自己的需求。安全風險和網絡應用決定了用戶需求,每個網絡的層次、作用、大小和結構各不同,致使這些網絡所面臨的安全風險不相同,安全需求自然也不相同。沒有重要資產的網絡沒有必要選擇高端防火墻,高安全需求的網絡不能選擇低安全性的防火墻,這是很淺顯的道理。同樣地,只有10M帶寬接入互聯網的辦公機構沒有必要去選擇千兆防火墻。

    其次,在防火墻的安全功能與性能之間做出折衷。防火墻存在著功能與性能的矛盾,根據預定的安全策略,防火墻在協議棧的不同層次對流量進行檢查,決定對流量的控制措施(允許通過或丟棄)。檢查的層次越高,防火墻消耗的資源就越多,花費的時間就越長,性能就會越低。在應用環境時要考慮網絡拓撲,用戶規模,流量帶寬,通信類型和環境的復雜惡劣程度等。

    最后,技術支持與服務,在選擇安全產品的時候,廠家或商家的技術支持與服務能力也應該是重要的考慮因素。

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=417轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏