多种硬件平台解析

核心提示： 二是新建连接的速率不高，实际上这类架构产品的基础模型是ASIC+x86 CPU，多种硬件平台解析(3)，由x86 CPU负责系统管理、策略配置及连接建立，然后将相关的安全策略和连接信息同步到ASIC芯片中，性能也高，处于象限的右上角，由ASIC芯片实现基于状态的策略控制和报文过滤；ASIC

二是新建连接的速率不高，实际上这类架构产品的基础模型是ASIC+x86 CPU，由x86 CPU负责系统管理、策略配置及连接建立，然后将相关的安全策略和连接信息同步到ASIC芯片中，由ASIC芯片实现基于状态的策略控制和报文过滤；ASIC芯片与CPU的状态信息需要不断同步，因此ASIC架构的性能“短板”是新建连接的速率低。

总结ASIC架构安全网关的优缺点：

·优点：转发性能比NP、X86高；

·缺点：功能固化，新建连接的速率低，无法支持高级安全特性。

多核（Multicore）架构是目前最新的高性能安全网关解决方案。所谓多核架构，是指以多核处理器为转发核心的安全网关设备。多核处理器大多基于MIPS64体系，在一个多核处理器中同时支持2～16个独立构架的CPU。同时，多核处理器在开发时即考虑到了用户的应用要求，主流多核处理器均集成了硬件加密、正则匹配等硬件协处理器和网络应用加速器，非常适合安全网关类产品如防火墙、VPN、防病毒、入侵防御等设备采用。多核架构的安全网关从技术角度来说是相当完美的：高吞吐量、会话建立速度高、硬件支持多种高级安全功能等。

多核架构现有的不足就是开发难度大。

总结多核架构安全网关的优缺点：

·优点：转发性能比NP、X86、ASIC高，具备足够的灵活性，支持高级安全功能；

·缺点：开发难度大。

5　 多核是最适合UTM的架构

从前面的分析可以了解到每种硬件架构的特点，但对于UTM，哪种架构更加合适，这需要有统一的衡量标准。性能与功能的矛盾是硬件平台重点解决的问题，因此暂时把开发难度、研发投入等因素抛开，而从功能满足的灵活性、性能表现两个方面来对各种架构进行比较。将灵活性作为纵坐标，性能作为横坐标，x86、NP、ASIC、多核等架构的位置如图2-2所示。

可以看出，x86架构的灵活性很高，可以实现全面的应用层安全功能，但性能低；NP架构灵活性比较高，性能中等，不是UTM最佳的架构平台；ASIC性能高，但灵活性低，无法实现全面的应用层安全；多核灵活性高，性能也高，处于象限的右上角，最适合作为UTM的硬件平台。

图2-2　 硬件架构的比较