关于NP架构防火墙的发展

NP架构防火墙在去年是业界的一个关注点,很多厂家都宣称推出或者开始研发基于NP处理器的防火墙产品。一年过去了,现在是个什么情况呢?NP架构防火墙到底行不行?

NP(network processor)网络处理器,顾名思义,是专门为处理网络协议而设计的。为了说明NP架构的防火墙,必须首先说明NP处理器。业内目前采用的NP处理器是由两家公司提供的,即Intel的IXP系列,还Hifn公司的NP处理器。Hifn公司的NP处理器前身是IBM的power NP,后来IBM把这块业务卖给了Hifn,IBM总是这样,自己搞出来的东西,就交给第三方的公司去发展,因为这不是他的主业。

首先简单介绍一下Intel的NP处理器,Intel的NP都以IXP来冠名,例如IXP1200,但有一个低端的型号IXP425,大家要注意,尽管也是以IXP冠名,但这不是真正意义上的NP,只是一个功能简单的可编程处理器。在Intel的产品手册里,也是把它定位于低端的宽带路由器、语音网关等设备的处理器来使用的。因此有一些厂家采用了这款处理器做成的低端防火墙,就对外宣称是NP防火墙,这纯属是误导视听。目前,我所知道的Intel的NP处理器有3款,IXP1200、2400和2800,他们的网络处理能力分别是1G、2G和3G。

Hifn的处理器的型号是5NP4G(即IBM的4GS3),处理能力是4G。好像又新推出一个,处理能力5G的,有知道的朋友可以补充一下。

国内的防火墙都是采用这两种处理器的。他们之间有什么差别么?

Intel的NP是用C语言编写的,要用Intel提供的编译器编译以后才能使用,而Intel并不提供底层函数,或提供的少量底层函数并未经过严格测试,因此用户开发的时候,很容易上手(懂C语言的程序员很多),但开发出来的东西不可控,无论功能性能都很难达到完美,稳定性差。

Hifn的NP采用微码编写,IBM已经提供了很多经过严格测试过的底层函数,用户在开发的时候上手很难,但开发出来的东西能保证质量,功能和性能都可以达到预期的目标。而且Hifn的处理器是Cisco参与研发的,因此很多微码都经过了Cisco严格的检测,针对性很强。

据我所知,Intel的NP主要是面对交换机的设计,包转发速率很快,能够达到线速,毕竟也是NP处理器嘛。但用在像路由器、防火墙这类以表查询为主的设备上的时候,就显得力不从心了。尤其是高端核心路由器和千兆核心防火墙,大量的路由表、状态连接表等,会让Intel的NP性能急速下降。因此,Cisco和华为的高端核心路由器,像华为的NE80,都是采用Hifn的NP处理器。

目前在国内的防火墙厂家中,基本上都在研发NP防火墙的,其中,华为、联想网御,包括从联想网御分离出来的网御神州是采用Hifn NP处理器外,其他,天融信、东软、方正等的都采用Intel的IXP处理器。前面说了,Intel的NP容易上手,推出产品快,比较符合国内厂家浮躁的心态。

华为-3Com的SecPath1800采用的是Hifn处理器,实际上是从华为OEM来的一款产品,原型是华为的一道门1000(英文名称我忘了怎么拼写了,呵呵,只好写中文译音),大家有兴趣可以去查一下,一模一样。

联想网御的超五,Super V-7000和5000系列,以及网御神州的G10也采用的Hifn处理器,呵呵,一个团队研发出来的东西嘛!但由于业界众所周知的原因,原联想网御发生大分裂,变成了两个公司,原联想的防火墙研发团队全部分出来,跟着网御神州走了,所以联想网御的超五前景暗淡,倒是网御神州的G10还在不停的发展中。

天融信从03年开始研发NP防火墙,推出来的型号是NGFW4000-UF-V和-G,但由于落在了联想后面,因此宣称是NP+ASIC防火墙,唉换汤不换药,噱头而已。据说这款防火墙很不成熟,也不稳定,测试的时候总是出这样那样的问题,所以天融信一直也没有全力去推,还是主要推他的老款千兆。

方正也在03年开始研发基于Intel IXP的NP防火墙,产品型号是FG-8000-NP,但显然没有成功,现在方正的网站上已经把这款型号去掉了,替代的是FG-8000-NA,基于ASIC架构的,不知道是不是自己研发的。

东软倒是推出全系列的NP架构防火墙,从百兆到千兆,具体型号可以去东软的网站查。但市场上没怎么见过,据说也不怎么样。看他的白皮书,连最基本的混合模式都不支持,唉,东软啊,软件技术不提高,光推个硬件NP解决不了大问题的。

以前见过紫光比威一款百兆墙,也是用的NP,仔细一看,原来是IXP425,不禁哑然,这玩意儿能用在防火墙上么?做低端的接入式网关还是可以的,用户级的防火墙还是算了。

启明星辰的IDS做的挺好,但市场有限,量上不去,很苦恼,也冲进防火墙圈子。跟港湾合作,搞了个天清汗马,启明做软件,港湾做硬件,一段时间也搞得风生水起。他用的也是Intel的NP,不过我测试过,东西就那么回事了,不怎么样。后来港湾倒了,不知道他现在用谁家的硬件,反正网站上对于天清汗马的介绍寥寥几句,连具体型号都没有。

说到港湾,插一句。因为Hifn和华为有协议,据说IBM研发Power NP的时候,华为也是掏了钱的,所以在国内不许Hifn把NP卖给港湾,港湾只好用Intel的IXP2400来开发其高端路由器,但很不理想,始终也没有推出市场,也许这也是港湾倒掉的一个原因吧。