基于硬件的防火墻在硬件方面一般采用了主流的三種架構(gòu):X86锭汛、ASIC和NP。ASIC和NP是專門設(shè)計的實現(xiàn)防火墻必要功能的量身定制的硬件,由于操作系統(tǒng)需要兼容這些定制的硬件惜互,因此其操作系統(tǒng)往往也是專門設(shè)計的蹋订。除此之外率挣,還有采用MIPS和ARM架構(gòu)的硬件防火墻。
X86架構(gòu)
靈活性高露戒,擴展性好椒功,性能差,小包速率低(30%-40%)智什。
X86架構(gòu)是一種通用的“CPU+Linux”操作系統(tǒng)的架構(gòu)动漾。其處理機制是,數(shù)據(jù)從網(wǎng)卡到CPU之間的傳輸是依靠“中斷”實現(xiàn)荠锭,這導(dǎo)致了不可逾越的性能瓶頸旱眯,尤其在傳送小包的情況下(如64 Bytes的小包),數(shù)據(jù)包的通過率只能達到30%~40%左右,并且它的設(shè)計是必須依靠CPU計算删豺,因此础爬,很占CPU資源,這也是為什么X86防火墻性能上不去的原因吼鳞】囱粒基于通用CPU的X86架構(gòu)的安全網(wǎng)關(guān),一般采用Intel或AMD公司的芯片赔桌,X86在架構(gòu)系統(tǒng)時還需要北橋和南橋芯片供炎,采用該種硬件架構(gòu),軟硬件配套資源比較多疾党,便于快速推出產(chǎn)品音诫,企業(yè)投資少。
Intel提出了解決方案雪位,可以把32位的PCI總線升級到PCI-E總線竭钝,即:PCI-Express,這樣雹洗,PCI-E 4X的總線的速度就可以達到 2000MB Bytes/S香罐,即:16Gbits/S,并且PCI-E各個PCI設(shè)備之間互相獨立不共享總線帶寬时肿,所以基于PCI-E 4X的X86從系統(tǒng)帶寬上來說庇茫,做為千兆防火墻是沒有任何問題的。但是螃成,基于PCI-E的防火墻數(shù)據(jù)從網(wǎng)卡到CPU之間傳輸同樣使用“中斷”機制來傳輸數(shù)據(jù)旦签,所以小包(64 Bytes)的通過率仍然為:30-40%,基于X86的防火墻寸宏,其最高性能只能達到2Gbps宁炫!同時CPU和外圍芯片組發(fā)熱比較大,產(chǎn)品壽命和穩(wěn)定性難以保證氮凝。
ASIC架構(gòu)
性能高羔巢,靈活性低,擴展性差覆醇。
ASIC防火墻通過專門設(shè)計的ASIC芯片邏輯進行硬件加速處理朵纷。國外的大部分防火墻設(shè)計都采用了ASIC架構(gòu),以Juniper和Fortinet的產(chǎn)品為首永脓,因為它的性能高,并且開發(fā)門檻高鞋仍,一度成為國際國內(nèi)廠商的技術(shù)分水嶺常摧。ASIC通過把指令或計算邏輯固化到芯片中,獲得了很高的處理能力,因而明顯提升了防火墻的性能落午。新一代的高可編程ASIC采用了更靈活的設(shè)計谎懦,能夠通過軟件改變應(yīng)用邏輯,具有更廣泛的適應(yīng)能力溃斋〗缋梗基于ASIC架構(gòu)的防火墻從架構(gòu)上改進了中斷機制,數(shù)據(jù)通過網(wǎng)卡進入系統(tǒng)后梗劫,不需經(jīng)過主CPU處理享甸,而是由集成在系統(tǒng)中的芯片直接處理,完成防火墻的功能梳侨,如路由蛉威、NAT、防火墻規(guī)則匹配等走哺,因此蚯嫌,其性能得到了大幅度的提升: 性能可以達到萬兆,并且64 Bytes的小包都可以達到線速丙躏。
但是择示,ASIC的缺點也同樣明顯,它的靈活性和擴展性不夠晒旅,開發(fā)費用高对妄,開發(fā)周期太長,一般耗時接近2年敢朱。這種防火墻在設(shè)計時剪菱,就必須將安全功能固化進ASIC芯片中,所以它的靈活性不夠拴签,如果想要增添新的功能或進行系統(tǒng)升級孝常,開發(fā)周期較長,對技術(shù)的要求也很高蚓哩。此外构灸,用ASIC開發(fā)復(fù)雜的功能,如垃圾郵件過濾岸梨、網(wǎng)絡(luò)監(jiān)控喜颁、病毒防護等,其開發(fā)比較復(fù)雜曹阔,對技術(shù)要求很高半开。
因此,ASIC架構(gòu)非常適用于功能簡單赃份,對吞吐量和時延指標(biāo)要求較高的電信級大流量的處理寂拆。
NP架構(gòu)
相比X86性能更高奢米,相比ASIC靈活性和擴展性更好.
國內(nèi)許多廠商為了彌補防火墻性能的不足,在不斷進行技術(shù)研發(fā)纠永,推出了基于“NP+ASIC”的防火墻架構(gòu)鬓长,以解決X86架構(gòu)性能不足和ASIC架構(gòu)不夠靈活的問題。
NP是專門為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計的處理器尝江,其體系結(jié)構(gòu)和指令集對于數(shù)據(jù)處理都做了專門的優(yōu)化涉波,同時輔助一些協(xié)處理器完成搜索、查表等功能炭序,可以對網(wǎng)絡(luò)流量進行快速的并發(fā)處理啤覆。硬件結(jié)構(gòu)設(shè)計采用高速的接口技術(shù)和總線規(guī)范,具有較高的I/O能力少态。這是一種硬件加速的完全可編程的架構(gòu)城侧,軟硬件都易于升級,因此產(chǎn)品的生命周期更長彼妻。
NP最大的優(yōu)點在于它是通過專門的指令集和配套的軟件開發(fā)系統(tǒng)提供強大的編程能力嫌佑,因而便于開發(fā)應(yīng)用,可擴展性強侨歉,而且研制周期短屋摇,成本較低。但是幽邓,相比于x86架構(gòu)炮温,由于應(yīng)用開發(fā)、功能擴展受到NP的配套軟件的限制牵舵,基于NP技術(shù)的防火墻的靈活性要差一些柒啤。采用微碼編程,在性能方面NP不如ASIC畸颅。NP開發(fā)的難度和靈活性都介于ASIC和x86構(gòu)架之間担巩,應(yīng)該說NP是x86架構(gòu)和ASIC之間的平衡方案。
MIPS(多核)架構(gòu)
性能没炒、靈活性高涛癌,擴展性好。
MIPS是RISC精簡指令集處理器送火。MIPS是高性能拳话,低功耗嵌入式系統(tǒng)處理器,廣泛應(yīng)用于網(wǎng)絡(luò)种吸,通訊弃衍,無線,儲存和控制應(yīng)用等領(lǐng)域的安全產(chǎn)品骨稿。
多核技術(shù)則是近年來新出現(xiàn)的處理器技術(shù)笨鸡,它一出現(xiàn)姜钳,就被認為是解決信息安全產(chǎn)品功能與性能之間矛盾的一大硬件法寶坦冠。國外許多廠商形耗,如SonicWall等,都推出了其多核產(chǎn)品辙浑。多核是在同一個硅晶片上集成了多個獨立物理核心激涤,每個核心都具有獨立的邏輯結(jié)構(gòu),包括緩存判呕、執(zhí)行單元倦踢、指令級單元和總線接口等邏輯單元,通過高速總線侠草、內(nèi)存共享進行通信辱挥。在實際工作中,每個核心都可以達到1Ghz的主頻边涕。因此晤碘,多核技術(shù)無論在性能、靈活性還是在開發(fā)的成本和難度方面功蜓,都是其他架構(gòu)不能比擬的园爷。
目前各種芯片廠商推出的多核芯片共分三種: 一種是Intel、AMD推出的2核式撼、4核的通用處理器童社,適用于桌面筆記本電腦等通用領(lǐng)域; 一種是IBM、SUN分別推出的cell和SPARC架構(gòu)的多核處理器著隆,主要用于圖形處理和運算; 第三種是RMI和Cavium推出的基于MIPS架構(gòu)的嵌入式多核處理器扰楼,主要應(yīng)用于數(shù)據(jù)通信領(lǐng)域,它最適合用于信息安全產(chǎn)品的開發(fā)美浦。
