防火墻x86架構(gòu)和ASIC架構(gòu)和NP架構(gòu)的區(qū)別 在眾多的安全產(chǎn)品中，防火墻產(chǎn)品無疑是保障網(wǎng)絡(luò)安全的第一道防線，很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。? 隨著Internet的迅速普及，全球范圍內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)病毒、操作系統(tǒng)漏洞、垃圾郵件等網(wǎng)絡(luò)安全問題也是層出不窮，網(wǎng)絡(luò)安全產(chǎn)品和解決方案越來越成為各?類網(wǎng)絡(luò)用戶和廠商們的聚焦點(diǎn)，在眾多的安全產(chǎn)品中，防火墻產(chǎn)品無疑是保障網(wǎng)絡(luò)安全的第一道防線，很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。隨?著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)，于是千兆防火墻逐步嶄露頭角，頻頻被運(yùn)用在金融、電信、教?育、氣象等大型的行業(yè)和機(jī)構(gòu)，以及對(duì)安全要求極高的大型企業(yè)用戶，其市場占有份額已經(jīng)超過50％；下面就讓我們來了解一下千兆防火墻的相關(guān)的產(chǎn)品、技術(shù)及?選購方面的一些知識(shí)。 不同構(gòu)架各具特色 從百兆到千兆，最初只是量變。千兆防火墻在2000年前后就進(jìn)入了我國市場。由于百兆網(wǎng)絡(luò)接口與千兆網(wǎng)絡(luò)接口的成本相差不大，早期的千兆防火墻僅僅是將百?兆接口替換為千兆接口而已。這種基于X86體系結(jié)構(gòu)的千兆防火墻主體仍然是軟件，其性能受到很大制約，無法達(dá)到千兆的處理速度。因此，這些防火墻只是具有?千兆接入能力的防火墻，而不是真正具有千兆處理能力的防火墻因此可以說是一種“換湯不換藥”的形式改變。隨后幾年，隨著千兆網(wǎng)絡(luò)在企業(yè)和行業(yè)用戶中的不斷?普及，以及用戶對(duì)性能需求的不斷增加，千兆防火墻也逐發(fā)生了質(zhì)變。? 這種質(zhì)的變化首先是人們把目光轉(zhuǎn)移到了專用集成電路（ASIC）和網(wǎng)絡(luò)處理器（NP）上。相對(duì)于X86架構(gòu)，基于這些架構(gòu)的千兆防火墻才是真正的硬件解決?方案，能夠?qū)崿F(xiàn)千兆處理速度。在這里，我們不妨將X86架構(gòu)、NP和ASIC放在一起進(jìn)行技術(shù)比較，看看不同技術(shù)的優(yōu)缺點(diǎn)。? X86架構(gòu)?
最初的千兆防火墻是基于X86架構(gòu)。X86架構(gòu)采用通用CPU和PCI總線接口，具有很高的靈活性和可擴(kuò)展性，過去一直是防火墻開發(fā)的主要平臺(tái)。其產(chǎn)品功能主要由軟件實(shí)現(xiàn)，可以根據(jù)用戶的實(shí)際需要而做相應(yīng)調(diào)整，增加或減少功能模塊，產(chǎn)品比較靈活，功能十分豐富。 但其性能發(fā)展卻受到體系結(jié)構(gòu)的制約，作為通用的計(jì)算平臺(tái)，x86的結(jié)構(gòu)層次較多，不易優(yōu)化，且往往會(huì)受到PCI總線的帶寬限制。雖然PCI總線接口理論上?能達(dá)到接近2Gbps的吞吐量，但是通用CPU的處理能力有限，盡管防火墻軟件部分可以盡可能地優(yōu)化，很難達(dá)到千兆速率。同時(shí)很多X86架構(gòu)的防火墻是基?于定制的通用操作系統(tǒng)，安全性很大程度上取決于通用操作系統(tǒng)自身的安全性，可能會(huì)存在安全漏洞。 ASIC架構(gòu)?
相比之下，ASIC防火墻通過專門設(shè)計(jì)的ASIC芯片邏輯進(jìn)行硬件加速處理。ASIC通過把指令或計(jì)算邏輯固化到芯片中，獲得了很高的處理能力，因而明顯?提升了防火墻的性能。新一代的高可編程ASIC采用了更靈活的設(shè)計(jì)，能夠通過軟件改變應(yīng)用邏輯，具有更廣泛的適應(yīng)能力。但是，ASIC的缺點(diǎn)也同樣明顯，?它的靈活性和擴(kuò)展性不夠，開發(fā)費(fèi)用高，開發(fā)周期太長，一般耗時(shí)接近2年。 雖然研發(fā)成本較高，靈活性受限制、無法支持太多的功能，但其性能具有先天的優(yōu)勢，非常適合應(yīng)用于模式簡單、對(duì)吞吐量和時(shí)延指標(biāo)要求較高的電信級(jí)大流量的處?理。目前，NetScreen在ASIC防火墻領(lǐng)域占有優(yōu)勢地位，而我國的首信也推出了我國基于自主技術(shù)的ASIC千兆防火墻產(chǎn)品。? NP架構(gòu)?
NP可以說是介于兩者之間的技術(shù)，NP是專門為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計(jì)的處理器，其體系結(jié)構(gòu)和指令集對(duì)于防火墻常用的包過濾、轉(zhuǎn)發(fā)等算法和操作都進(jìn)行?了專門的優(yōu)化，可以高效地完成TCP/IP棧的常用操作，并對(duì)網(wǎng)絡(luò)流量進(jìn)行快速的并發(fā)處理。硬件結(jié)構(gòu)設(shè)計(jì)也大多采用高速的接口技術(shù)和總線規(guī)范，具有較高的?I/O能力。它可以構(gòu)建一種硬件加速的完全可編程的架構(gòu)，這種架構(gòu)的軟硬件都易于升級(jí)，軟件可以支持新的標(biāo)準(zhǔn)和協(xié)議，硬件設(shè)計(jì)支持更高網(wǎng)絡(luò)速度，從而使產(chǎn)?品的生命周期更長。由于防火墻處理的就是網(wǎng)絡(luò)數(shù)據(jù)包，所以基于NP架構(gòu)的防火墻與X86架構(gòu)的防火墻相比，性能得到了很大的提高。 NP通過專門的指令集和配套的軟件開發(fā)系統(tǒng)，提供強(qiáng)大的編程能力，因而便于開發(fā)應(yīng)用，支持可擴(kuò)展的服務(wù)，而且研制周期短，成本較低。但是，相比于X86架?構(gòu)，由于應(yīng)用開發(fā)、功能擴(kuò)展受到NP的配套軟件的限制，基于NP技術(shù)的防火墻的靈活性要差一些。由于依賴軟件環(huán)境，所以在性能方面NP不如ASIC。NP?開發(fā)的難度和靈活性都介于ASIC和x86構(gòu)架之間，應(yīng)該說，NP是X86架構(gòu)和ASIC之間的一個(gè)折衷。目前NP的主要提供商是Intel和?Motorola，國內(nèi)基于NP技術(shù)開發(fā)千兆防火墻的廠商最多，聯(lián)想、紫光比威等都有相關(guān)產(chǎn)品推出。 從上面可以看出，X86架構(gòu)、NP和ASIC各有優(yōu)缺點(diǎn)。X86架構(gòu)靈活性最高，新功能、新模塊擴(kuò)展容易，但性能肯定滿足不了千兆需要。ASIC性能最?高，千兆、萬兆吞吐速率均可實(shí)現(xiàn)，但靈活性最低，定型后再擴(kuò)展十分困難。NP則介于兩者之間，性能可滿足千兆需要，同時(shí)也具有一定的靈活性。?
三種架構(gòu)綜合比較 選購千兆防火墻需要考慮什么 在選購千兆防火墻時(shí)，用戶首先需要明確自己的需求。安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)應(yīng)用決定了用戶需求，每個(gè)網(wǎng)絡(luò)的層次、作用、大小和結(jié)構(gòu)各不同，致使這些網(wǎng)絡(luò)所面臨的安?全風(fēng)險(xiǎn)不相同，安全需求自然也不相同。沒有重要資產(chǎn)的網(wǎng)絡(luò)沒有必要選擇高端防火墻，高安全需求的網(wǎng)絡(luò)不能選擇低安全性的防火墻，這是很淺顯的道理。同樣?地，只有10M帶寬接入互聯(lián)網(wǎng)的辦公機(jī)構(gòu)沒有必要去選擇千兆防火墻。? 其次，在防火墻的安全功能與性能之間做出折衷。防火墻存在著功能與性能的矛盾，根據(jù)預(yù)定的安全策略，防火墻在協(xié)議棧的不同層次對(duì)流量進(jìn)行檢查，決定對(duì)流量?的控制措施（允許通過或丟棄）。檢查的層次越高，防火墻消耗的資源就越多，花費(fèi)的時(shí)間就越長，性能就會(huì)越低。在應(yīng)用環(huán)境時(shí)要考慮網(wǎng)絡(luò)拓?fù)?#xff0c;用戶規(guī)模，流量?帶寬，通信類型和環(huán)境的復(fù)雜惡劣程度等。 最后，技術(shù)支持與服務(wù)，在選擇安全產(chǎn)品的時(shí)候，廠家或商家的技術(shù)支持與服務(wù)能力也應(yīng)該是重要的考慮因素。

總結(jié)

以上是生活随笔為你收集整理的防火墙x86架构和ASIC架构和NP架构的区别的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。