熱線(xiàn):4000-134-913
直線(xiàn):0755-2607-9998
傳真:0755-2607-9990
手機(jī):191-6857-9949
郵箱:shujun.zhang@fastchina.net
地址:深圳市光明區(qū)馬田街道合水口社區(qū)中糧云景廣場(chǎng)第1棟1707
近年來(lái)隨著千兆網(wǎng)絡(luò)開(kāi)始在國(guó)內(nèi)大規(guī)模推廣應(yīng)用,用戶(hù)對(duì)千兆防火墻的需求已逐漸升溫。在很多網(wǎng)絡(luò)環(huán)境下,傳統(tǒng)的基于X86體系結(jié)構(gòu)的防火墻已不能滿(mǎn)足千兆防火墻高吞吐量、低時(shí)延的要求,因此,兩種新的技術(shù),即網(wǎng)絡(luò)處理器(Network Processor)和專(zhuān)用集成電路(ASIC)技術(shù)成為眾多國(guó)內(nèi)廠家實(shí)現(xiàn)千兆防火墻的主要選擇??梢哉f(shuō),防火墻的硬件體系結(jié)構(gòu)正面臨著一次變革。
百兆防火墻的不足
在百兆防火墻時(shí)代,國(guó)內(nèi)防火墻廠商普遍采用的是通用CPU配合軟件的技術(shù)方案。雖然很多廠家也把它稱(chēng)之為硬件防火墻,但實(shí)際上都是基于X86架構(gòu)的服務(wù)器或工控機(jī)。這類(lèi)防火墻一般運(yùn)行在經(jīng)過(guò)裁減的操作系統(tǒng)上(通常是linux或BSD),所有的數(shù)據(jù)包解析和審查工作都由軟件來(lái)完成。雖然這種技術(shù)方案在百兆防火墻市場(chǎng)取得了很大的成功,但由于CPU處理能力和PCI總線(xiàn)速度的制約,在實(shí)際應(yīng)用中,尤其在小包情況下,這種結(jié)構(gòu)的千兆防火墻遠(yuǎn)遠(yuǎn)達(dá)不到千兆的轉(zhuǎn)發(fā)速度(64字節(jié)包長(zhǎng)時(shí),雙向轉(zhuǎn)發(fā)速率一般為百分之二十以下),難以滿(mǎn)足千兆骨干網(wǎng)絡(luò)的應(yīng)用要求。
千兆防火墻的兩種技術(shù)實(shí)現(xiàn)
要實(shí)現(xiàn)真正的千兆防火墻,目前的技術(shù)途徑基本上有兩條:一種是采用網(wǎng)絡(luò)處理器,另一種是采用ASIC。下面我們來(lái)分析一下這兩種技術(shù)架構(gòu)各自的特點(diǎn)。
網(wǎng)絡(luò)處理器是專(zhuān)門(mén)為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器,它的特點(diǎn)是內(nèi)含了多個(gè)數(shù)據(jù)處理引擎,這些引擎可以并發(fā)進(jìn)行數(shù)據(jù)處理工作,在處理2到4層的分組數(shù)據(jù)上比通用處理器具有明顯的優(yōu)勢(shì)。網(wǎng)絡(luò)處理器對(duì)數(shù)據(jù)包處理的一般性任務(wù)進(jìn)行了優(yōu)化,如TCP/IP數(shù)據(jù)的校驗(yàn)和計(jì)算、包分類(lèi)、路由查找等。同時(shí)硬件體系結(jié)構(gòu)的設(shè)計(jì)也大多采用高速的接口技術(shù)和總線(xiàn)規(guī)范,具有較高的I/O能力。這樣基于網(wǎng)絡(luò)處理器的網(wǎng)絡(luò)設(shè)備的包處理能力得到了很大的提升。它具有以下幾個(gè)方面的特性:完全的可編程性、簡(jiǎn)單的編程模式、最大化系統(tǒng)靈活性、高處理能力、高度功能集成、開(kāi)放的編程接口、第三方支持能力?;诰W(wǎng)絡(luò)處理器架構(gòu)的防火墻與基于通用CPU架構(gòu)的防火墻相比,在性能上可以得到很大的提高。網(wǎng)絡(luò)處理器能彌補(bǔ)通用CPU架構(gòu)性能的不足,同時(shí)又不需要具備開(kāi)發(fā)基于ASIC技術(shù)的防火墻所需要的大量資金和技術(shù)積累,最近在國(guó)內(nèi)信息安全廠商中備受關(guān)注,成為國(guó)內(nèi)廠商實(shí)現(xiàn)高端千兆防火墻的熱門(mén)選擇。
第二種方案是采用基于ASIC技術(shù)的架構(gòu)。Netscreen是采用該技術(shù)的代表廠家。采用ASIC技術(shù)可以為防火墻應(yīng)用設(shè)計(jì)專(zhuān)門(mén)的數(shù)據(jù)包處理流水線(xiàn),優(yōu)化存儲(chǔ)器等資源的利用,是公認(rèn)的使防火墻達(dá)到線(xiàn)速千兆,滿(mǎn)足千兆環(huán)境骨干級(jí)應(yīng)用的技術(shù)方案。Netscreen公司也因此取得了令人矚目的成功。但ASIC技術(shù)開(kāi)發(fā)成本高、開(kāi)發(fā)周期長(zhǎng)且難度大,一般的防火墻廠商難以具備相應(yīng)的技術(shù)和資金實(shí)力。
哪種方案更適合用戶(hù)應(yīng)用
網(wǎng)絡(luò)處理器與ASIC方案哪種更適合千兆防火墻的應(yīng)用是目前爭(zhēng)論的一個(gè)熱點(diǎn)。用戶(hù)可以從性能、靈活性、功能完備性、成本、開(kāi)發(fā)難度、技術(shù)成熟性等方面來(lái)進(jìn)行比較。從性能上說(shuō),由于基于網(wǎng)絡(luò)處理器的防火墻本質(zhì)是基于軟件的解決方案,它在很大的程度上依賴(lài)于軟件設(shè)計(jì)的性能,而ASIC由于是將算法固化在硬件中,因而在性能上有比較明顯的優(yōu)勢(shì)。
目前國(guó)內(nèi)基于ASIC技術(shù)的首信防火墻已可達(dá)到4個(gè)千兆網(wǎng)口的全線(xiàn)速包轉(zhuǎn)發(fā)速率,而一般基于網(wǎng)絡(luò)處理器的防火墻在小包情況下還不能完全作到2網(wǎng)口的千兆線(xiàn)速轉(zhuǎn)發(fā)。反過(guò)來(lái)說(shuō),網(wǎng)絡(luò)處理器的軟件色彩使它具有更好的靈活性,在升級(jí)維護(hù)方面有較大的優(yōu)勢(shì)。純硬件的ASIC防火墻缺乏可編程性,這使得它缺乏靈活性從而跟不上防火墻功能的快速發(fā)展。
現(xiàn)代的ASIC技術(shù)通過(guò)增加ASIC芯片的可編程性,使其與軟件更好地配合,從而同時(shí)滿(mǎn)足來(lái)自靈活性和運(yùn)行性能的要求。從實(shí)現(xiàn)功能方面看,ASIC技術(shù)可以比較容易地集成IDS、VPN等功能,也有產(chǎn)品已經(jīng)實(shí)現(xiàn)了內(nèi)容過(guò)濾和防病毒功能,而網(wǎng)絡(luò)處理器受限于它的計(jì)算能力,這些功能一般只能靠協(xié)處理器來(lái)實(shí)現(xiàn)。從今后產(chǎn)品的成本上看,一片網(wǎng)絡(luò)處理器的價(jià)格在三、四百美金左右,如果需要協(xié)處理器,還要加上協(xié)處理器的成本。ASIC技術(shù)前期如果使用FPGA(Field Programmable Gate Arrays,現(xiàn)場(chǎng)可編程門(mén)陣列)來(lái)實(shí)現(xiàn),兩者價(jià)格大致相當(dāng)。不過(guò)如果量產(chǎn)投片以后,ASIC的價(jià)格可以降低一個(gè)量級(jí),因而長(zhǎng)遠(yuǎn)來(lái)看ASIC技術(shù)更有潛力。
在開(kāi)發(fā)難度、開(kāi)發(fā)成本和開(kāi)發(fā)周期方面,網(wǎng)絡(luò)處理器技術(shù)有比較明顯的優(yōu)勢(shì),畢竟網(wǎng)絡(luò)處理器產(chǎn)生的一大原因就是降低這方面的門(mén)檻,這也是國(guó)內(nèi)很多防火墻企業(yè)選中網(wǎng)絡(luò)處理器的原因。不過(guò)從技術(shù)成熟度方面來(lái)看,相比ASIC這樣已經(jīng)為實(shí)踐證明了的成熟技術(shù),網(wǎng)絡(luò)處理器用于防火墻其實(shí)是近一年多才出現(xiàn)的。在此之前網(wǎng)絡(luò)處理器在市場(chǎng)上的表現(xiàn)并不理想,一般只被用于低端路由器、交換機(jī)等數(shù)據(jù)通信產(chǎn)品。究其原因,主要是網(wǎng)絡(luò)處理器開(kāi)發(fā)需要的編程技術(shù)比預(yù)期的復(fù)雜困難,而且在實(shí)際應(yīng)用中的性能往往并不理想,遠(yuǎn)低于其廠家的標(biāo)稱(chēng)性能。這種技術(shù)應(yīng)用在防火墻這樣的復(fù)雜網(wǎng)絡(luò)設(shè)備上究竟能否在不影響功能的前提下達(dá)到預(yù)期的性能還有待檢驗(yàn)。
目前防火墻的體系結(jié)構(gòu)已經(jīng)處于一個(gè)更新?lián)Q代的門(mén)檻上,未來(lái)的發(fā)展趨勢(shì)基本上是網(wǎng)絡(luò)處理器與ASIC兩條道路。從性能、功能、技術(shù)成熟度方面考慮,ASIC方案較好,從進(jìn)入門(mén)檻、研發(fā)成本和靈活性考慮則網(wǎng)絡(luò)處理器占優(yōu)。
從目前的情況來(lái)看,國(guó)外的高端防火墻大部分采用的是ASIC技術(shù),國(guó)內(nèi)廠商則選用網(wǎng)路處理器的居多。今后高端防火墻的技術(shù)將是ASIC和網(wǎng)絡(luò)處理器這兩種主流技術(shù)并存,它們各自都會(huì)繼續(xù)向前發(fā)展,在速度、功能方面都還有很大的發(fā)展空間。究竟誰(shuí)將成為最后的贏家,只能有待時(shí)間的檢驗(yàn)了。而用戶(hù)在選擇千兆防火墻產(chǎn)品時(shí)也要綜合考慮廠商實(shí)力、實(shí)際應(yīng)用需求、采購(gòu)成本、防火墻技術(shù)與產(chǎn)品的成熟度等多種因素全盤(pán)考慮為宜。
機(jī)房建設(shè)-機(jī)房工程--華思特16年專(zhuān)注一站式機(jī)房建設(shè)解決方案
機(jī)房建設(shè)-機(jī)房工程--華思特16年專(zhuān)注一站式機(jī)房建設(shè)解決方案
深圳市華思特科技有限公司深耕機(jī)房建設(shè)16年,擁有9支專(zhuān)業(yè)的施工/技術(shù)團(tuán)隊(duì),百人施工隊(duì)伍,根據(jù)企業(yè)具體情況,免費(fèi)制定合理機(jī)房工程方案設(shè)計(jì),挑選配套產(chǎn)品。免費(fèi)提供整體機(jī)房建設(shè)方案、報(bào)價(jià)、上門(mén)勘察現(xiàn)場(chǎng)。根據(jù)您企業(yè)機(jī)房選址、裝修、配電、工期等實(shí)際情況,提供專(zhuān)業(yè)的咨詢(xún)、設(shè)計(jì)、施工及運(yùn)維一站式服務(wù)。打造讓您滿(mǎn)意、放心的弱電機(jī)房工程建設(shè)。 【更多詳情】
掃描關(guān)注
更多精彩分享
掃描進(jìn)入
手機(jī)網(wǎng)站
深圳市華思特科技有限公司 版權(quán)所有
服務(wù)熱線(xiàn):4000-134-913 電話(huà):0755-26079998
企業(yè)QQ: 592059652 郵箱:shujun.zhang@fastchina.net
公司地址:深圳市光明區(qū)馬田街道合水口社區(qū)中糧云景廣場(chǎng)第1棟1707