防火墙硬件架构NP和ASIC之比较
2006-12-05 12:38:58 来源:WEB开发网核心提示: 从目前的情况来看,国外的高端防火墙大部分采用的是ASIC技术,防火墙硬件架构NP和ASIC之比较(3),国内厂商则选用网络处理器的居多,今后高端防火墙的技术将是ASIC和网络处理器这两种主流技术并存,具有较高的I/O能力,这样基于网络处理器的网络设备的包处理能力得到了很大的提升,它们各自都
从目前的情况来看,国外的高端防火墙大部分采用的是ASIC技术,国内厂商则选用网络处理器的居多。今后高端防火墙的技术将是ASIC和网络处理器这两种主流技术并存,它们各自都会继续向前发展,在速度、功能方面都还有很大的发展空间。而用户在选择千兆防火墙产品时也要综合考虑厂商实力、实际应用需求、采购成本、防火墙技术与产品的成熟度等多种因素,全盘考虑为宜。
三大架构的不同特点
在百兆防火墙时代,国内防火墙厂商普遍采用的是通用CPU配合软件的技术方案。虽然很多厂家也把它称之为硬件防火墙,但实际上都是基于X86架构的服务器或工控机。这类防火墙一般运行在经过裁减的操作系统上(通常是Linux或BSD),所有的数据包解析和审查工作都由软件来完成。
虽然这种技术方案在百兆防火墙市场取得了很大的成功,但由于CPU处理能力和PCI总线速度的制约,在实际应用中,尤其在小包情况下,这种结构的千兆防火墙远远达不到千兆的转发速度(64字节包长时,双向转发速率一般为百分之二十以下),难以满足千兆骨干网络的应用要求。
网络处理器是专门为处理数据包而设计的可编程处理器,它的特点是内含了多个数据处理引擎。这些引擎可以并发进行数据处理工作,在处理2到4层的分组数据上比通用处理器具有明显的优势。
网络处理器对数据包处理的一般性任务进行了优化,如TCP/IP数据的校验和计算、包分类、路由查找等。同时硬件体系结构的设计也大多采用高速的接口技术和总线规范,具有较高的I/O能力。这样基于网络处理器的网络设备的包处理能力得到了很大的提升。
它具有以下几个方面的特性:完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口、第三方支持能力。
更多精彩
赞助商链接