2022年防火墙的x、NP、ASIC和多核架构的比较 .pdf

《2022年防火墙的x、NP、ASIC和多核架构的比较 .pdf》由会员分享，可在线阅读，更多相关《2022年防火墙的x、NP、ASIC和多核架构的比较 .pdf（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、防火墙的 x86、NP、ASIC和多核架构的比较随着网络的发展，网络威胁日益严峻，目前各大安全厂商都推出了多核心防火墙，采用多核芯片，终结了 x86 、NP 和 ASIC一统天下的时代，终结了高功耗、低稳定性的时代，并且提供了全面的应用安全解决方案。多核心技术真正实现了千兆的小包吞吐量，相对于以往的X86 、ASIC 、NP 技术，有了革命性的进步。先从以往的这些架构的优缺点讲起：国内多数安全厂商的产品基于传统的X86 架构防火墙，从总线速度来看基于32 位 PCI 总线的 X86 平台， 做为百兆防火墙的方案是没有任何问题的。但 X86 平台的防火墙方案，数据从网卡到 CPU 之间的传输机制

2、是靠“ 中断 ” 来实现的 ，中断机制导致在有大量数据包的需要处理的情况下（如： 64 Bytes的小包，以下简称小包），X86 平台的防火墙吞吐速率不高，大概在30% 左右，并且CPU 占用会很高。这是所有基于X86 平台的防火墙所共同存在的问题。因此， 基于 32 位 PCI 总线的 X86 平台是不能做为千兆防火墙使用的问题，Intel提出了解决方案， 可以把 32 位的 PCI 总线升级到了PCI-E ，即： PCI-Express，这样， PCI-E 4X 的总线的速度就可以达到2000MB Bytes/S，即： 16Gbits/S，并且 PCI-E各个 PCI 设备之间互相独立不共

3、享总线带宽，每个基于PCI-E的网口可以使用的带宽为：2000MB Bytes/S，即：16Gbits/S，所以基于PCI-E 4X 的 X86 从系统带宽上来说，做为千兆防火墙是没有任何问题的。但是，基于PCI-E的防火墙数据从网卡到CPU 之间传输同样使用“ 中断 ” 机制来传输数据，所以小包（ 64 Bytes ）的通过率仍然为：30-40%. X86平台的防火墙其最大的缺点就是小包通速率低，只有30% 40% ，造成这个问题的主要原因是因为X86 平台的中断机制以及X86 平台的防火墙所有数据都要经过主CPU 处理。基于 ASIC架构的防火墙从架构上改进了中断机制，数据从网卡收到以后，

4、不经过主CPU 处理，而是经过集成在系统中的一些芯片直接处理，由这些芯片来完成传统防火墙的功能，如：路由、NAT 、防火墙规则匹配等。这样数据不经过主CPU 处理，不使用中断机制。但随之而来的问题是，ASIC架构的防火墙是芯片一级的，所有的防火墙动作由芯片来处理。这些芯片的功能比较单一，要升级维护的开发周期比较长。无法在芯片一级完成垃圾邮件过滤、网络监控、病毒防护等比较复杂的功能，所以说，ASIC架构用来做功能简单的防火墙，是完全适用的， 64 Bytes的小包都可以达到线速。但是在扩展上通用CPU 也是无法和专门的嵌入式CPU 比较，并且在总线带宽上也无法承载太多的内部处理数据传输（Mult

5、i-core多核处理器内部是通过高速总线或者交叉矩阵式连接的）。NP 架构实现的原理和ASIC类似，但升级、维护远远好于ASIC 架构。 NP 架构在的每一个网口上都有一个网络处理器，即：NPE ，用来处理来自网口的数据。每个网络处理器上所运行的程序使用微码编程，其软件实现的难度比较大，开发周期比ASIC短，但比X86 长。采用多核处理器，是在同一个硅晶片上集成了多个独立物理核心，每个核心都具有独立的逻辑结构， 包括缓存、执行单元、指令级单元和总线接口等逻辑单元，通过高速总线、内存共享进行通信。在实际工作中，每个核心都可以达到1Ghz的主频，而且可以在非常节能的方式下运行。有的多核产品支持50

6、0万并发会话64Byte吞吐量达到3G ，256Byte以上吞吐达到8G ，VPN 吞吐达到 8G ，支持 3 万 VPN 通道，支持5 万 Policy 。每秒新建TCP 会话超过20 万，每秒处理UDP 会话超过 50 万。在每秒创建5000TCP会话作为背景流量，可以检测并防御80 万包 / 每秒以上的SYN-FLOOD攻击， 更是达到了万兆线速。一系列的性能测试结果足以傲视众多安全平台。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 8 页 - - - - - -

7、 - - - 防火墙 x86架构和 ASIC架构和 NP 架构的区别在众多的安全产品中，防火墙产品无疑是保障网络安全的第一道防线，很多企业为了保障自身服务器或数据安全都采用了防火墙。随着 Internet的迅速普及，全球范围内的计算机网络病毒、操作系统漏洞、垃圾邮件等网络安全问题也是层出不穷，网络安全产品和解决方案越来越成为各类网络用户和厂商们的聚焦点，在众多的安全产品中，防火墙产品无疑是保障网络安全的第一道防线，很多企业为了保障自身服务器或数据安全都采用了防火墙。随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据，于是千兆防火墙逐步崭露头角，频频被运用

8、在金融、电信、教育、气象等大型的行业和机构，以及对安全要求极高的大型企业用户，其市场占有份额已经超过50 ；下面就让我们来了解一下千兆防火墙的相关的产品、技术及选购方面的一些知识。不同构架各具特色从百兆到千兆，最初只是量变。千兆防火墙在2000年前后就进入了我国市场。由于百兆网络接口与千兆网络接口的成本相差不大，早期的千兆防火墙仅仅是将百兆接口替换为千兆接口而已。这种基于X86 体系结构的千兆防火墙主体仍然是软件，其性能受到很大制约，无法达到千兆的处理速度。因此，这些防火墙只是具有千兆接入能力的防火墙，而不是真正具有千兆处理能力的防火墙因此可以说是一种“ 换汤不换药 ” 的形式改变。 随后几年

9、， 随着千兆网络在企业和行业用户中的不断普及，以及用户对性能需求的不断增加，千兆防火墙也逐发生了质变。这种质的变化首先是人们把目光转移到了专用集成电路（ASIC ）和网络处理器（NP）上。相对于 X86 架构，基于这些架构的千兆防火墙才是真正的硬件解决方案，能够实现千兆处理速度。在这里， 我们不妨将X86 架构、 NP 和 ASIC放在一起进行技术比较，看看不同技术的优缺点。X86 架构最初的千兆防火墙是基于X86 架构。 X86架构采用通用CPU 和 PCI 总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台。其产品功能主要由软件实现，可以根据用户的实际需要而做相应调整，增

10、加或减少功能模块，产品比较灵活，功能十分丰富。但其性能发展却受到体系结构的制约，作为通用的计算平台，x86 的结构层次较多，不易优化，且往往会 受到 PCI 总线的带宽限制。虽然 PCI 总线接口理论上能达到接近2Gbps的吞吐量，但是通用CPU 的处理能力有限，尽管防火墙软件部分可以尽可能地优化，很难达到千兆速率。同时很多X86 架构的防火墙是基于定制的通用操作系统，安全性很大程度上取决于通用操作系统自身的安全性，可能会存在安全漏洞。ASIC 架构相比之下， ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显

11、提升了防火墙的性能。新一代的高可编程ASIC采用了更灵活的设计，能够通过软件改变应用逻辑，具有更广泛的适应能力。但是， ASIC的缺点也同样明显，它的灵活性和扩展性不够，开发费用高，开发周期太长，一般耗时接近2 年。虽然研发成本较高，灵活性受限制、无法支持太多的功能，但其性能具有先天的优势，非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。目前， NetScreen在ASIC 防火墙领域占有优势地位，而我国的首信也推出了我国基于自主技术的ASIC千兆防火墙产品。NP 架构NP 可以说是介于两者之间的技术，NP 是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集

12、对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化，可以高效地完成 TCP/IP栈的常用操作， 并对网络流量进行快速的并发处理。硬件结构设计也大多采用高名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 8 页 - - - - - - - - - 速的接口技术和总线规范，具有较高的 I/O能力。它可以构建一种硬件加速的完全可编程的架构，这种架构的软硬件都易于升级，软件可以支持新的标准和协议，硬件设计支持更高网络速度，从而使产品的生命周期更长。由于防火墙处理的就是网络数

13、据包，所以基于NP 架构的防火墙与 X86 架构的防火墙相比，性能得到了很大的提高。NP 通过专门的指令集和配套的软件开发系统，提供强大的编程能力，因而便于开发应用，支持可扩展的服务，而且研制周期短，成本较低。但是，相比于X86 架 构，由于应用开发、功能扩展受到 NP 的配套软件的限制，基于NP 技术的防火墙的灵活性要差一些。由于依赖软件环境，所以在性能方面NP 不如 ASIC 。NP 开发的难度和灵活性都介于ASIC和 x86 构架之间，应该说， NP 是 X86 架构和 ASIC之间的一个折衷。目前 NP 的主要提供商是Intel和 Motorola，国内基于NP 技术开发千兆防火墙的厂

14、商最多，联想、紫光比威等都有相关产品推出。从上面可以看出，X86 架构、 NP 和 ASIC各有优缺点。 X86 架构灵活性最高，新功能、新模块扩展容易，但性能肯定满足不了千兆需要。ASIC性能最高，千兆、万兆吞吐速率均可实现，但灵活性最低，定型后再扩展十分困难。NP 则介于两者之间，性能可满足千兆需要，同时也具有一定的灵活性。三种架构综合比较选购千兆防火墙需要考虑什么在选购千兆防火墙时，用户首先需要明确自己的需求。安全风险和网络应用决定了用户需求，每个网络的层次、作用、大小和结构各不同，致使这些网络所面临的安全风险不相同，安全需求自然也不相同。 没有重要资产的网络没有必要选择高端防火墙，高安

15、全需求的网络不能选择低安全性的防火墙，这是很浅显的道理。同样 地，只有 10M带宽接入互联网的办公机构没有必要去选择千兆防火墙。其次， 在防火墙的安全功能与性能之间做出折衷。防火墙存在着功能与性能的矛盾，根据预定的安全策略，防火墙在协议栈的不同层次对流量进行检查，决定对流量的控制措施（允许通过或丢弃）。检查的层次越高，防火墙消耗的资源就越多，花费的时间就越长，性能就会越低。在应用环境时要考虑网络拓扑，用户规模，流量带宽，通信类型和环境的复杂恶劣程度等。最后， 技术支持与服务，在选择安全产品的时候，厂家或商家的技术支持与服务能力也应该是重要的考虑因素。从百兆到千兆，最初只是量变。千兆防火墙在20

16、00 年前后就进入了我国市场。由于百兆网络接口与千兆网络接口的成本相差不大，早期的千兆防火墙仅仅是将百兆接口替换为千兆接口而已。这种基于 X86体系结构的千兆防火墙主体仍然是软件，其性能受到很大制约， 无法达到千兆的处理速度。 因此，这些防火墙只是具有千兆接入能力的防火墙，而不是真正具有千兆处理能力的防火墙因此可以说是一种“ 换汤不换药 ” 的形式改变。随后几年，随着千兆网络在企业和行业用户中的不断普及， 以及用户对性能需求的不断增加，千兆防火墙也逐发名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - -

17、- - - 第 3 页，共 8 页 - - - - - - - - - 生了质变。这种质的变化首先是人们把目光转移到了专用集成电路（ASIC ）和网络处理器（ NP）上。相对于 X86 架构，基于这些架构的千兆防火墙才是真正的硬件解决方案，能够实现千兆处理速度。在这里，我们不妨将 X86 架构、NP 和 ASIC 放在一起进行技术比较，看看不同技术的优缺点。X86 架构最初的千兆防火墙是基于X86 架构。X86 架构采用通用 CPU 和 PCI总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台。其产品功能主要由软件实现， 可以根据用户的实际需要而做相应调整，增加或减少功能模块

18、，产品比较灵活，功能十分丰富。但其性能发展却受到体系结构的制约，作为通用的计算平台，x86 的结构层次较多，不易优化，且往往会受到PCI 总线的带宽限制。虽然 PCI 总线接口理论上能达到接近2Gbps 的吞吐量，但是通用 CPU的处理能力有限， 尽管防火墙软件部分可以尽可能地优化，很难达到千兆速率。同时很多 X86 架构的防火墙是基于定制的通用操作系统，安全性很大程度上取决于通用操作系统自身的安全性，可能会存在安全漏洞。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 8

19、 页 - - - - - - - - - ASIC 架构相比之下， ASIC 防火墙通过专门设计的ASIC 芯片逻辑进行硬件加速处理。 ASIC 通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。新一代的高可编程ASIC采用了更灵活的设计， 能够通过软件改变应用逻辑，具有更广泛的适应能力。但是，ASIC 的缺点也同样明显， 它的灵活性和扩展性不够，开发费用高，开发周期太长，一般耗时接近2 年。虽然研发成本较高，灵活性受限制、无法支持太多的功能，但其性能具有先天的优势， 非常适合应用于模式简单、 对吞吐量和时延指标要求较高的电信级大流量的处理。目前，NetScr

20、een 在 ASIC 防火墙领域占有优势地位，而我国的首信也推出了我国基于自主技术的ASIC千兆防火墙产品。NP 架构NP 可以说是介于两者之间的技术，NP 是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于防火墙常用的包过滤、 转发等算法和操作都进行了专门的优化，可以高效地完成 TCP/IP栈的常用操作， 并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线规范，具有较高的I/O 能力。它可以构建一种硬件加速的完全可编程的架构，这种架构的软硬件都易于升级，软件可以支持新的标准和协议，硬件设计支持更高网络速度，从名师资料总结 - - -精品资料欢迎下载 -

21、 - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 8 页 - - - - - - - - - 而使产品的生命周期更长。 由于防火墙处理的就是网络数据包，所以基于 NP 架构的防火墙与X86 架构的防火墙相比，性能得到了很大的提高。NP 通过专门的指令集和配套的软件开发系统，提供强大的编程能力，因而便于开发应用， 支持可扩展的服务， 而且研制周期短， 成本较低 。但是，相比于X86 架构，由于 应用开发、功能扩展受到NP 的配套软件的限制，基于 NP 技术的防火墙的灵活性要差一些。由于依赖软件环境，所以在性能方面 NP

22、 不如 ASIC。NP 开发的难度和灵活性都介于 ASIC 和 x86 构架之间，应该说， NP 是 X86 架构和 ASIC 之间的一个折衷。目前NP 的主要提供商是Intel 和 Motorola ，国内基于NP 技术开发千兆防火墙的厂商最多，联想、紫光比威等都有相关产品推出。如果我们回顾一下近期网络安全领域出境率最高的词汇，NP 一定榜上有名。NP 是网络处理器（Net Processor）的简称，顾名思义，NP 是专门设计用于网络封包处理的一种处理器，做为被业内普遍推崇的一种革命性技术，NP 至今尚未能达到人们预期的应用水平；做为NP 技术的主要目标客户群，通信厂商们的态度正由热捧回归

23、冷静，而在网络安全设备特别是硬件防火墙市场上， NP 的应用却正呈现出一片欣欣向荣的景象，继2004年 4 月中科网威发布了国内首款基于 NP 架构的硬件防火墙之后，国内的大部分重量级防火墙厂商纷纷推出了自己的NP 架构防火墙产品，而做为占据国内防火墙市场头把交椅的东软，更是将自己的主力产品全部转向NP 平台。为了能够透彻的了解NP 在防火墙领域造成的这种强大的冲击效应，我们需要先来回顾一下防火墙硬件平台的基本情状。在过去的几年时间里，市场上硬件防火墙产品通常都基于两种架构：AISC （专用集成电路）和以X86 为代表的通用处理器。可以说，AISC是硬件防火墙领域无可争议的主流技术， 因为利用

24、这种硬件架构可以获得相当高的性能和稳定性，全球最主要的硬件防火墙产品供应商NetScreen就一直推崇以AISC芯片为核心的高性能硬件防火墙，但 AISC 技术也在某种程度上存在着设计周期长、开发成本高的问题，所以并不是所有厂商都能在这种平台上发展出完善的产品；相应的， 基于通用处理器进行产品研发的门槛相比AISC要低的多， 所以在百兆防火墙做为主流的时期，这种解决方案受到很多厂商的欢迎，但利用通用处理器平台实现防火墙产品同样存在着不可回避的缺陷，那就是通用处理器并非为特定任务设计，在实现同样功能名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - -

25、- - - - 名师精心整理 - - - - - - - 第 6 页，共 8 页 - - - - - - - - - 的前提下，其资源耗费要远高于AISC ，这也导致了在现今数据量不断膨胀的网络环境中，基于这种硬件平台的防火墙产品在性能方面受到的挑战越来越大。现今百兆防火墙正逐渐失去主导地位，特别是在主干网部分，千兆网的应用需求成长迅速。基础环境的变化，成为了摆在防火墙厂商面前的主要难题，特别是国内的防火墙厂商，大部分都是以X86 通用处理器平台做为自己产品的硬件平台，继续在这种架构上发展自己的产品，已经无法满足性能方面的要求，虽然很多厂商都宣称可以生产千兆级产品，但其实仅仅是能够达到千兆的传

26、输速率而已，实际的应用效果大都不甚理想， 包处理率等指标无法达到令人满意的程度；而且不象已经有多年技术积累的顶级品牌，大多数硬件防火墙供应商没有足够的资源在AISC架构上进行产品开发，也没有足够的能力压低成本与大厂抗衡，所以在面对千兆防火墙这一巨大市场时，在设计上兼顾性能与灵活性的NP 技术被视为抢占千兆防火墙市场的重要契机而被寄予厚望就不难被人理解了。NP 采用了 ASIP(Application Specific Processor)和 SoC(System on Chip) 等体系结构技术，同时为了保证运算性能，现在的 NP 产品通常都拥有多个RISC 处理器及协处理器，并采用分布式的存

27、储系统， 最大限度的突破存储瓶颈，使得不同的应用操作可以由这些处理器并发执行，从而获得逼近AISC的效能； 同时 NP 在灵活性方面又要好于AISC ，因为其具有很强的编程能力，能够方便地进行各种应用开发，随着市场需要对功能进行扩展和修正，另外由于其开发周期较短（通常不超过6 个月， AISC 的开发周期一般都超过12 个月），可以保证产品快速投放市场，降低厂商的风险。目前业内占据最大市场份额的网络处理器供应商是AMCC ，主要为Cisco 等顶级厂商提供产品，Intel经过一段时间的苦心经营，市场份额已经跃升至第二位，国内基于 NP 研发硬件防火墙的厂商通常都是基于Intel的产品，其他主要

28、的NP 供货商还包括摩托罗拉和 IBM 等。 总体来说， NP 主要提供了一种介于AISC和通用处理器之间的折衷方案，其在提供高于通用处理器性能的同时，也很好的解决了AISC在灵活性和可编程性方面的问题，为有效缓解网络传输高速发展导致的网络节点处理能力不足提供了一条全新思路。在了解了NP 架构的特点之后，大家可能都在思索，在硬件防火墙市场NP 技术到底会起到怎样的作用呢？国内的防火墙厂商纷纷将自己的研发力量投入到NP 架构之上， 主要的原因就是想借NP 突破通用处理器在性能上的瓶颈，进而促成和采用AISC的一线厂商直接对话的局面；因为在低端的百兆防火墙市场，各个厂商之间的差距已经越来越小，基本

29、已经开始进入微利阶段，如何在千兆防火墙领域占据有利位置，对于硬件防火墙厂商来说无疑已成为生死攸关的问题。从目前的情况来看，NP 所展现给我们的前景还是相当美好的，但这并不代表加入NP 阵营的防火墙厂商就得到了致胜之钥，NP 在硬件防火墙领域的应用并非一片坦途。以Intel网络处理器产品为例， 其结构设计反应了当今最主流的NP 技术内容， 其数据处理能力确实足以胜任千兆网的数据传输负荷，但主要的性能提升仍集中于网络封包的处理，如数据校验、 路由匹配等， 完成常见网络设备的职责非常出色，但是对于更加复杂的数据应用，例如数据包重组和加密处理等，其表现就往往不那么抢眼了；我们知道， 防火墙产品并不是用

30、来进行数据包转发的，更重要的是需要其对数据进行判断和处理，尤其是现在防火墙功能的不断扩展，对处理性能的要求也在快速增长，单纯提升基本数据处理能力，尚无法保证NP 能满足硬件防火墙的要求，Intel的产品主要着眼于数据处理和控制方面，在功能管理层面支持相对不足，之所以有众多厂商仍选择以Intel 的网络处理器发展硬件防火墙产品，可能是希望利用原有的产品技术积累，因为很多厂商的产品是在X86 通用处理器架构上以BSD 和 Linux做为软件平台开发而成的。为了应对上述这种局面， NP 供应商也在不断优化自己的解决方案，希望在利用NP 优秀网络数据处理能力的同时，可以满足更高层次的应用要求，SiBy

31、te推出的 NP 产品，基于MIPS 处理器，在固守通用处理器开发优势的同时，力争提供媲美AISC的性能表现， 还有一些厂商推出了融合AISC 技术和 NP 概念的产品，为硬件防火墙等网络设备的开发提供了丰富的选择。我们认为， NP 架构的防火墙虽然有广阔的发展天地，但还远未达到颠覆AISC架构的程度，因为 NP 技术毕竟才经过几年时间的发展，各方面的积累相对薄弱，而 AISC技术也仍未停止发名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 8 页 - - - - - - - - - 展的脚步，正努力改善其难于开发的现状。目前在千兆防火墙市场，AISC仍处于领先地位，NP 架构的应用确实能以相对较低的投入在较短时间内发展出逼近AISC架构的产品， 但同时也需要提醒厂商，认真选择适合自身需求的NP 产品，以充分发挥NP 架构的优势。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 8 页 - - - - - - - - -