防火墙x86架构和ASIC架构和NP架构的区别 zt

qintel

防火墙x86架构和ASIC架构和NP架构的区别
                                       

在众多的安全产品中，防火墙产品无疑是保障网络安全的第一道防线，很多企业为了保障自身服务器或数据安全都采用了防火墙。


    随着Internet的迅速普及，全球范围内的计算机网络病毒、操作系统漏洞、垃圾邮件等网络安全问题也是层出不穷，网络安全产品和解决方案越来越成为各类网络用户和厂商们的聚焦点，在众多的安全产品中，防火墙产品无疑是保障网络安全的第一道防线，很多企业为了保障自身服务器或数据安全都采用了防火墙。随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据，于是千兆防火墙逐步崭露头角，频频被运用在金融、电信、教育、气象等大型的行业和机构，以及对安全要求极高的大型企业用户，其市场占有份额已经超过50％；下面就让我们来了解一下千兆防火墙的相关的产品、技术及选购方面的一些知识。

    不同构架各具特色

    从百兆到千兆，最初只是量变。千兆防火墙在2000年前后就进入了我国市场。由于百兆网络接口与千兆网络接口的成本相差不大，早期的千兆防火墙仅仅是将百兆接口替换为千兆接口而已。这种基于X86体系结构的千兆防火墙主体仍然是软件，其性能受到很大制约，无法达到千兆的处理速度。因此，这些防火墙只是具有千兆接入能力的防火墙，而不是真正具有千兆处理能力的防火墙因此可以说是一种“换汤不换药”的形式改变。随后几年，随着千兆网络在企业和行业用户中的不断普及，以及用户对性能需求的不断增加，千兆防火墙也逐发生了质变。

    这种质的变化首先是人们把目光转移到了专用集成电路（ASIC）和网络处理器（NP）上。相对于X86架构，基于这些架构的千兆防火墙才是真正的硬件解决方案，能够实现千兆处理速度。在这里，我们不妨将X86架构、NP和ASIC放在一起进行技术比较，看看不同技术的优缺点。

    X86架构
    最初的千兆防火墙是基于X86架构。X86架构采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台。其产品功能主要由软件实现，可以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。

    但其性能发展却受到体系结构的制约，作为通用的计算平台，x86的结构层次较多，不易优化，且往往会受到PCI总线的带宽限制。虽然PCI总线接口理论上能达到接近2Gbps的吞吐量，但是通用CPU的处理能力有限，尽管防火墙软件部分可以尽可能地优化，很难达到千兆速率。同时很多X86架构的防火墙是基于定制的通用操作系统，安全性很大程度上取决于通用操作系统自身的安全性，可能会存在安全漏洞。

    ASIC架构
    相比之下，ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。新一代的高可编程ASIC采用了更灵活的设计，能够通过软件改变应用逻辑，具有更广泛的适应能力。但是，ASIC的缺点也同样明显，它的灵活性和扩展性不够，开发费用高，开发周期太长，一般耗时接近2年。

    虽然研发成本较高，灵活性受限制、无法支持太多的功能，但其性能具有先天的优势，非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。目前，NetScreen在ASIC防火墙领域占有优势地位，而我国的首信也推出了我国基于自主技术的ASIC千兆防火墙产品。

    NP架构
    NP可以说是介于两者之间的技术，NP是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化，可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线规范，具有较高的I/O能力。它可以构建一种硬件加速的完全可编程的架构，这种架构的软硬件都易于升级，软件可以支持新的标准和协议，硬件设计支持更高网络速度，从而使产品的生命周期更长。由于防火墙处理的就是网络数据包，所以基于NP架构的防火墙与X86架构的防火墙相比，性能得到了很大的提高。

    NP通过专门的指令集和配套的软件开发系统，提供强大的编程能力，因而便于开发应用，支持可扩展的服务，而且研制周期短，成本较低。但是，相比于X86架构，由于应用开发、功能扩展受到NP的配套软件的限制，基于NP技术的防火墙的灵活性要差一些。由于依赖软件环境，所以在性能方面NP不如ASIC。NP开发的难度和灵活性都介于ASIC和x86构架之间，应该说，NP是X86架构和ASIC之间的一个折衷。目前NP的主要提供商是Intel和Motorola，国内基于NP技术开发千兆防火墙的厂商最多，联想、紫光比威等都有相关产品推出。

    从上面可以看出，X86架构、NP和ASIC各有优缺点。X86架构灵活性最高，新功能、新模块扩展容易，但性能肯定满足不了千兆需要。ASIC性能最高，千兆、万兆吞吐速率均可实现，但灵活性最低，定型后再扩展十分困难。NP则介于两者之间，性能可满足千兆需要，同时也具有一定的灵活性。
三种架构综合比较




    选购千兆防火墙需要考虑什么

    在选购千兆防火墙时，用户首先需要明确自己的需求。安全风险和网络应用决定了用户需求，每个网络的层次、作用、大小和结构各不同，致使这些网络所面临的安全风险不相同，安全需求自然也不相同。没有重要资产的网络没有必要选择高端防火墙，高安全需求的网络不能选择低安全性的防火墙，这是很浅显的道理。同样地，只有10M带宽接入互联网的办公机构没有必要去选择千兆防火墙。

    其次，在防火墙的安全功能与性能之间做出折衷。防火墙存在着功能与性能的矛盾，根据预定的安全策略，防火墙在协议栈的不同层次对流量进行检查，决定对流量的控制措施（允许通过或丢弃）。检查的层次越高，防火墙消耗的资源就越多，花费的时间就越长，性能就会越低。在应用环境时要考虑网络拓扑，用户规模，流量带宽，通信类型和环境的复杂恶劣程度等。

    最后，技术支持与服务，在选择安全产品的时候，厂家或商家的技术支持与服务能力也应该是重要的考虑因素。

charlesc

支持

javacx

我个人认为NP、ASIC厂家炒作的成分更多点。不能否认随着网络的升级需要真正的全端口千兆有一定的必要性。当除了ISP的核心网络需要企事业单位未必用的着。防火墙不管是那种构架的都是软件+硬件的结合。不管是用微编程写进芯片还是用语言写成软件。关键是算法。软件写的如何。NP、ASIC难道就不用CPU了吗？老说什么总线、PCI瓶颈等等。FW就只是用来转发数据的吗？关注的只是转发率的吗？当然不是。现在那家的FW不做些高级过滤或是深度检测（也不知谁真正做到了）总是有应用层上的检测。ASIC、NP都是线性运算，不能代替CPU的浮点运算去做一些高层的过滤检测。在网络中FW如果不是需要NAT1W个地址。NAT100和NAT10用那种构架的FW都一样。软件的算法可以弥补硬件上的不足。

teczm

目前比较衷情x86的分布墙

cnadl

原帖由 javacx 于 2006-4-3 20:53 发表
我个人认为NP、ASIC厂家炒作的成分更多点。不能否认随着网络的升级需要真正的全端口千兆有一定的必要性。当除了ISP的核心网络需要企事业单位未必用的着。防火墙不管是那种构架的都是软件+硬件的结合。不管是用微编 ...

呵呵，不谈算法，您认为一个200人的企业他的NAT表条目是多少呢？

说真的，NAT反倒是X86架构的优点；无他，内存便宜而已。

skipjack

原帖由 javacx 于 2006-4-3 20:53 发表
我个人认为NP、ASIC厂家炒作的成分更多点。不能否认随着网络的升级需要真正的全端口千兆有一定的必要性。当除了ISP的核心网络需要企事业单位未必用的着。防火墙不管是那种构架的都是软件+硬件的结合。不管是用微编 ...

哈哈...NP的数据层与控制层同步是个大问题，寄存器少也是问题。有时候一个功能写完之后，一编译报错说寄存器不够了。

javacx

哈哈...NP的数据层与控制层同步是个大问题，寄存器少也是问题。有时候一个功能写完之后，一编译报错说寄存器不够了。


最近关注了一下老兄的所发的贴。好。敢问现在使用的NP都那些型号的？这些型号能达到什么样的运算水平？请指教。。不知老兄使用的是何型号。。。。。。

skipjack

原帖由 javacx 于 2006-4-7 11:08 发表
哈哈...NP的数据层与控制层同步是个大问题，寄存器少也是问题。有时候一个功能写完之后，一编译报错说寄存器不够了。


最近关注了一下老兄的所发的贴。好。敢问现在使用的NP都那些型号的？这些型号能达到什么 ...

现在用北京立华莱康平台科技有限公司的单NP IXP2400开发板，以前用从美国Intel本土购来的双NP构架，XScale的核心主频都是600MHZ，其它厂商的就不好说了，联想是OEM的，天融信好像在NP上没声了，不了解，我不做市场。我接手NP时是把软件的CC部分从双NP移植到单NP开发板中，微码部分也要做相应修改，我只设计实现原理，微码有同事配合编程。双NP的成本很高，性能也比单NP好不了多少。小包单NP IXP2400在任意包长下匀为2000M的线速，在4G测试中512字节达到转发锋值3746M。并且延时平均小于80微秒。我这里有IXIA 400的测试报告，但不能给你。

javacx

谢谢。。看了看这个公司的网。。OCTEON CN31XX 和 CN30XX 处理器家族CN31XX 和 CN30XX 处理器还有丰富的硬件加速选项，每个处理器有 CP（通信处理器，Communication Processor）、SCP （安全通信处理器，Secure Communication Processor）和 NSP（网络服务处理器，Network Services Processor，仅 CN31XX 有 NSP 版本）三个版本。CP 版本包括针对包处理（Packet Processing）、TCP、队列/调度（Queuing/Scheduling）和服务质量（QoS）等硬件加速功能，SCP 添加了 IPsec/SSL、SRTP 和 WLAN 安全加速功能，NSP 版本增加了针对深度包检查（Deep Packet Inspection）和压缩/解压缩（Compression/Decompression）的加速。

现在都可以提供这些功能特别是深度包检查（Deep Packet Inspection）和压缩/解压缩（Compression/Decompression）的加速。不敢相信。。。难道X86的时代真的要结束了？？？

敢问一句老兄可是业内号称NP的厂商内的研发人物。。。。。嘻嘻。。。全是好奇心在作怪。。见笑，见笑

qintel

敢情我这样抛砖引玉啊~难得见这么精彩的论辩