防火墙硬件架构NP和ASIC之比较
2006-12-05 12:38:58 来源:WEB开发网基于网络处理器架构的防火墙与基于通用CPU架构的防火墙相比,在性能上可以得到很大的提高。网络处理器能弥补通用CPU架构性能的不足,同时又不需要具备开发基于ASIC技术的防火墙所需要的大量资金和技术积累,最近在国内信息安全厂商中备受关注,成为国内厂商实现高端千兆防火墙的热门选择。
采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线,优化存储器等资源的利用,是公认的使防火墙达到线速千兆,并满足千兆环境骨干级应用的技术方案。
防火墙产品的3个发展趋势
从现有的网络环境,以及用户安全需求的变化趋势来看,防火墙产品将朝着高速、多功能化、更安全的方向发展。
1、高速。目前防火墙一个很大的局限性是速度不够,真正达到线速的防火墙少之又少。防范DoS (拒绝服务)是防火墙一个很重要的任务,防火墙往往用在网络出口,如造成网络堵塞,再安全的防火墙也无法应用。应用ASIC、FPGA和网络处理器,是实现高速防火墙的主要方法,但尤以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPv6,而采用其他方法就不那么灵活。实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速。
2、多功能化。多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂。一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器,支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;支持IPSec VPN,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。据IDC统计,国外90%的加密VPN都是通过防火墙实现的。
3、安全。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。在信息安全的发展与对抗过程中,防火墙的技术一定会不断更新、日新月异,在信息安全的防御体系中,起到堡垒的作用。
更多精彩
赞助商链接