防火墙硬件架构NP和ASIC之比较
2006-12-05 12:38:58 来源:WEB开发网反过来说,网络处理器的软件色彩使它具有更好的灵活性,在升级维护方面有较大的优势。纯硬件的ASIC防火墙缺乏可编程性,这使得它缺乏灵活性从而跟不上防火墙功能的快速发展。
现代的ASIC技术通过增加ASIC芯片的可编程性,使其与软件更好地配合,从而同时满足来自灵活性和运行性能的要求。从实现功能方面看,ASIC技术可以比较容易地集成IDS、VPN等功能,也有产品已经实现了内容过滤和防病毒功能。而网络处理器受限于它的计算能力,这些功能一般只能靠协处理器来实现。
从今后产品的成本上看,一片网络处理器的价格在三、四百美金左右,如果需要协处理器,还要加上协处理器的成本。ASIC技术前期如果使用FPGA(Field Programmable Gate Arrays,现场可编程门阵列)来实现,两者价格大致相当。不过如果量产投片以后,ASIC的价格可以降低一个量级,因而从长远来看ASIC技术更有潜力。
灵活性:NP占先
在开发难度、开发成本和开发周期方面,网络处理器技术有比较明显的优势,毕竟网络处理器产生的一大原因就是降低这方面的门槛,这也是国内很多防火墙企业选中网络处理器的原因。
不过从技术成熟度方面来看,相比ASIC这样已经为实践证明了的成熟技术,网络处理器用于防火墙其实是近一年多才出现的。在此之前网络处理器在市场上的表现并不理想,一般只被用于低端路由器、交换机等数据通信产品。究其原因,主要是网络处理器开发需要的编程技术比预期的复杂困难,而且在实际应用中的性能往往并不理想,远低于其厂家的标称性能。这种技术应用在防火墙这样的复杂网络设备上,究竟能否在不影响功能的前提下,达到预期的性能,还有待检验。
目前防火墙的体系结构已经处于一个更新换代的门槛上,未来的发展趋势基本上是网络处理器与ASIC两条道路。从性能、功能、技术成熟度方面考虑,ASIC方案较好,从进入门槛、研发成本和灵活性考虑,则网络处理器占优。
更多精彩
赞助商链接