【技术转载】防火墙三大体系结构介绍

 防火墙作为整个安全体系中最基础的保护环节,其重要性自然不言而喻,但由于硬件防火墙所采用的体系构架不同,其产品的市场定位和服务对象也是不同的。X86、NP以及ASIC基于这三类体系构架的防火墙该如何选择呢?下文讲给你进行解答。

 

  一 基于X86体系构架的防火墙
  X86架构采用通用CPU和PCI总线接口,具有很高的灵活性和可扩展性,过去一直是防火墙开发的主要平台。其产品功能主要由软件实现,可以根据用户的实际需要而做相应调整,增加或减少功能模块,产品比较灵活,功能十分丰富。由于出现的时间较长,现在已属于入门级的构架,这里入门既是对厂家的,也是对用户的。对于厂家来说,X86体系构架的防火墙是开发门槛比较低,所以国内大多数防火墙厂家都会有X86的防火墙产品。但是,由于X86本质上是一个通用CPU,没有对网络或者安全进行特殊处理,所以对用户来说,其性能不足,做到百兆线速还可以,千兆的时候就会有点吃力,现在的万兆更是望而兴叹。当然,正是由于这个构架出现的较早,其在很多安全厂商手里经过多年的锤炼,稳定性是非常出色,如果你是对性能要求不高,又对价格比较敏感的普通用户,那么X86构架的防火墙还是可以选择的。
  二 基于NP体系构架的防火墙
  随着IP网络的快速发展,路由器交换机逐渐从百兆走到了千兆甚至是万兆,对防火墙的转发性能和延迟有了更高要求。这种情况下,NP技术加入到安全领域,成为较高性能防火墙技术的象征。
  NP通过专门的指令集和配套的软件开发系统,提供强大的编程能力,因而便于开发应用,支持可扩展的服务,而且研制周期短,成本较低。
  NP网络加速能力非常好,这是它的专长。但是NP弱点也非常明显, NP这个技术从初始设计目的上,是针对路由器进行加速的,它拥有非常好的3层转发加速能力,但是在4-7层的数据处理上,对安全处理上,没有过多考虑。所以现在的多数NP构架的防火墙,主要还要外挂一个高性能CPU进行4-7层处理,这一方面增大了系统成本,另一方面,在实际网络环境下,在比较强的攻击情况下,这种体系构架的NP性能会明显下降。尽管如此,NP构架的防火墙开发难度和先期投入相对较小,我们国内的很多安全厂家都选择了NP构架防火墙路线。在安全策略不太复杂的情况下,NP防火墙做到千兆线速是不成问题,所以对于一些都网络安全有一定要求的中小企业来说,选择NP防火墙是最佳的选择,既能兼顾性能还能节约成本。
  三 基于ASIC体系构架的防火墙
  ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中,获得了很高的处理能力,因而明显提升了防火墙的性能。ASIC是专用加速芯片,这就如同一张白纸,完全按照设计者的目的去设计硬件电路,优化相应的功能模块,然后固化完成ASIC。这种功能专一和完全硬件电路处理,ASIC不会出现NP这种非通用加速芯片的性能问题,特别是在安全策略复杂,网络攻击频繁的情况下,性能不会下降。但是ASIC也有其弱点,不可编程灵活性非常低。特别是研发一款ASIC的前期投入费用非常的大,开发周期,技术实力都远远超过NP。这也是为什么全世界防火墙厂家,也就几个大公司才有自己的专用ASIC,其他的小防火墙公司更多是直接购买别人的ASIC芯片和知识产权。这种情况下,一旦ASIC发现设计缺陷,或者用户有了新需求而必须修改的话,但这种前期的NRE就等于打了水漂了。这点来说,NP对于设备制造商来说,开发风险和难度会小的多。
  随着可编程ASIC的出现,ASIC的弱点也几乎消失。虽然它本质上还是ASIC,拥有和ASIC几乎相同的特性,但是它又不是完全固化的,它只是固化了设计者认为不需要修改的处理单元——如内存控制器、MAC单元、交换单元等,内部预留了很多的可编程模块,可以根据实际情况按需改进。这点上来说,它实际拥有了NP的最重要特性——灵活可变。虽然可编程ASIC芯片依旧对开发者要求很高,需要大投入长周期。但是一旦完成开发后,成本都可以得到比较好的控制,价格几乎和ASIC没有太多差别。因此选择可编程的ASIC防火墙是最佳选择,当然,昂贵的价格也注定其只能为电信级的大型企业来服务,但如果你的网络攻击太过复杂,那么使用基于ASIC的产品也是你的最佳选择。
  通过上面的介绍相信你对该如何选则防火墙已经有了一定得了解,随着技术的不断发展,新技术的不断涌现,以及更高速度级的网络设备的出现,ASIC构架的产品也会越来越普遍。而新的构架也可能很快会出现,使得网络环境更加安全。

你可能感兴趣的:(防火墙,职场,结构,休闲)