防火墻X86、NP、ASIC、MIPS架構對比
責編:admin |2015-06-16 15:18:34x86性能最多只能達到2Gbps
長久以來,國內許多安全廠商的防火墻產品都采用基于x86的架構,而國外廠商的多數防火墻則采用ASIC架構。幾年前,隨著技術的更新換代,隨著網絡處理器(NP)技術的興起,為了趕超國際上的先進水平,彌補國內防火墻性能上的不足,很多國內廠商開始采用“NP+ASIC”的架構。
x86架構是一種通用的“CPU+Linux”操作系統的架構。其處理機制是,數據從網卡到CPU之間的傳輸是依靠“中斷”實現,這導致了不可逾越的性能瓶頸,尤其在傳送小包的情況下(如64 Bytes的小包),數據包的通過率只能達到30%~40%左右,并且它的設計是必須依靠CPU計算,因此,很占CPU資源,這也是為什么x86防火墻性能上不去的原因。
雖然Intel提出了解決方案,將32位的PCI總線升級到了PCI-E ,總線速度最高可達16GBps,但是,小包傳送問題依然沒有解決。“如果用戶在進行小包通過率測試時,性能出現大幅度的下滑,這種防火墻多半是x86架構。提醒用戶一定不能被廠商的宣傳忽悠了,基于x86的防火墻,其最高性能只能達到2Gbps!”
所以,目前市場上大多數的x86防火墻不能作為千兆防火墻使用,只能作為百兆防火墻。
ASIC架構靈活性不夠
國外的大部分防火墻設計都采用了ASIC架構,以Juniper和Fortinet的產品為首,因為它的性能高,并且開發門檻高,一度成為國際國內廠商的技術分水嶺。
基于ASIC架構的防火墻從架構上改進了中斷機制,數據通過網卡進入系統后,不需經過主CPU處理,而是由集成在系統中的芯片直接處理,完成防火墻的功能,如路由、NAT、防火墻規則匹配等,因此,其性能得到了大幅度的提升: 性能可以達到萬兆,并且64 Bytes的小包都可以達到線速。
但問題是,這種防火墻在設計時,就必須將安全功能固化進ASIC芯片中,所以它的靈活性不夠,如果想要增添新的功能或進行系統升級,開發周期較長,對技術的要求也很高。此外,用ASIC開發復雜的功能,如垃圾郵件過濾、網絡監控、病毒防護等,其開發比較復雜,對技術要求很高。因此,ASIC架構非常適用于功能簡單的防火墻。
NP是平衡方案
國內許多廠商為了彌補防火墻性能的不足,在不斷進行技術研發,推出了基于“NP+ASIC”的防火墻架構,以解決x86架構性能不足和ASIC架構不夠靈活的問題。
NP是專門為網絡設備處理網絡流量而設計的處理器,其體系結構和指令集對于數據處理都做了專門的優化,同時輔助一些協處理器完成搜索、查表等功能,可以對網絡流量進行快速的并發處理。硬件結構設計采用高速的接口技術和總線規范,具有較高的I/O能力。這是一種硬件加速的完全可編程的架構,軟硬件都易于升級,因此產品的生命周期更長。
NP最大的優點在于它是通過專門的指令集和配套的軟件開發系統提供強大的編程能力,因而便于開發應用,可擴展性強,而且研制周期短,成本較低。但是,相比于x86架構,由于應用開發、功能擴展受到NP的配套軟件的限制,基于NP技術的防火墻的靈活性要差一些。采用微碼編程,在性能方面NP不如ASIC。NP開發的難度和靈活性都介于ASIC和x86構架之間,應該說NP是x86架構和ASIC之間的平衡方案。
多核可實現性能和綠色雙重設計
多核技術則是近年來新出現的處理器技術,它一出現,就被認為是解決信息安全產品功能與性能之間矛盾的一大硬件法寶。國外許多廠商,如SonicWall等,都推出了其多核產品。多核是在同一個硅晶片上集成了多個獨立物理核心,每個核心都具有獨立的邏輯結構,包括緩存、執行單元、指令級單元和總線接口等邏輯單元,通過高速總線、內存共享進行通信。在實際工作中,每個核心都可以達到1Ghz的主頻。因此,多核技術無論在性能、靈活性還是在開發的成本和難度方面,都是其他架構不能比擬的。
目前各種芯片廠商推出的多核芯片共分三種: 一種是Intel、AMD推出的2核、4核的通用處理器,適用于桌面筆記本電腦等通用領域; 一種是IBM、SUN分別推出的cell和SPARC架構的多核處理器,主要用于圖形處理和運算; 第三種是RMI和Cavium推出的基于MIPS架構的嵌入式多核處理器,主要應用于數據通信領域,它最適合用于信息安全產品的開發。