防火墙的x86、NP、ASIC和多核架构的比较

防火墙的x86、NP、ASIC和多核架构的比较 2009-02-12 10:19:25 标签:x86、NP、ASIC [推送到技术圈] 随着网络的发展，网络威胁日益严峻，目前各大安全厂商都推出了多核心防火墙，采用多核芯片，终结了x86、NP和ASIC一统天下的时代，终结了高功耗、低稳定性的时代，并且提供了全面的应用安全解决。 多核心技术真正实现了千兆的小包吞吐量，相对于以往的X86、ASIC、NP技术，有了革命性的进步。先从以往的这些架构的优缺点讲起: 国内多数安全厂商的产品基于传统的X86架构防火墙，从总线速度来看基于32位PCI总线的X86平台，做为百兆防火墙的方案是没有任何问题的。但X86平台的防火墙方案，数据从网卡到CPU之间的传输机制是靠“中断”来实现的，中断机制导致在有大量数据包的需要处理的情况下(如:64 Bytes的小包，以下简称小包)，X86平台的防火墙吞吐速率不高，大概在30%左右，并且CPU占用会很高。这是所有基于X86平台的防火墙所共同存在的问题。 因此，基于32位PCI总线的X86平台是不能做为千兆防火墙使用的问题，Intel提出了解决方案，可以把32位的PCI总线升级到了PCI-E ，即:PCI-Express，这样，PCI-E 4X的总线的速度就可以达到 2000MB Bytes/S，即:16Gbits/S，并且PCI-E各个PCI设备之间互相独立不共享总线带宽，每个基于PCI-E的网口可以使用的带宽为:2000MB Bytes/S，即:16Gbits/S，所以基于PCI-E 4X的X86从系统带宽上来说，做为千兆防火墙是没有任何问题的。但是，基于PCI-E的防火墙数据从网卡到CPU之间传输同样使用“中断”机制来传输数据，所以小包(64 Bytes)的通过率仍然为:30-40%. X86平台的防火墙其最大的缺点就是小包通速率低，只有30%,40%，造成这个问题的主要原因是因为X86平台的中断机制以及X86平台的防火墙所有数据都要经过主CPU处理。基于ASIC架构的防火墙从架构上改进了中断机制，数据从网卡收到以后，不经过主CPU处理，而是经过集成在系统中的一些芯片直接处理，由这些芯片来完成传统防火墙的功能，如:路由、NAT、防火墙规则匹配等。这样数据不经过主CPU处理，不使用中断机制。 但随之而来的问题是，ASIC架构的防火墙是芯片一级的，所有的防火墙动作由芯片来处理。这些芯片的功能比较单一，要升级维护的开发周期比较长。无法在芯片一级完成垃圾邮件过滤、网络监控、病毒防护等比较复杂的功能，所以说，ASIC架构用来做功能简单的防火墙，是完全适用的，64 Bytes的小包都可以达到线速。但是在扩展上通用CPU也是无法和专门的嵌入式CPU比较，并且在总线带宽上也无法承载太多的内部处理数据传输(Multi-core多核处理器内部是通过高速总线或者交叉矩阵式连接的)。 NP架构实现的原理和ASIC类似，但升级、维护远远好于ASIC 架构。 NP架构在的每一个网口上都有一个网络处理器，即:NPE，用来处理来自网口的数据。每个网络处理器上所运行的程序使用微码编程，其软件实现 的难度比较大，开发周期比ASIC短，但比X86长。 采用多核处理器，是在同一个硅晶片上集成了多个独立物理核心，每个核心都具有独立的逻辑结构，包括缓存、执行单元、指令级单元和总线接口等逻辑单元，通过高速总线、内存共享进行通信。在实际工作中，每个核心都可以达到1Ghz的主频，而且可以在非常节能的方式下运行。 有的多核产品支持500万并发会话64Byte吞吐量达到3G，256Byte以上吞吐达到8G，VPN吞吐达到8G，支持3万VPN通道，支持5万Policy。每秒新建TCP会话超过20万，每秒处理UDP会话超过50万。在每秒创建5000TCP会话作为背景流量，可以检测并防御80万包/每秒以上的SYN-FLOOD攻击，更是达到了万兆线速。一系列的性能测试结果足以傲视众多安全平台。 防火墙x86架构和ASIC架构和NP架构的区别 在众多的安全产品中，防火墙产品无疑是保障网络安全的第一道防线，很多企业为了保障自身服务器或数据安全都采用了防火墙。 随着Internet的迅速普及，全球范围内的计算机网络病毒、操作系统漏洞、垃圾邮件等网络安全问题也是层出不穷，网络安全产品和解决方案越来越成为各类网络用户和厂商们的聚焦点，在众多的安全产品中，防火墙产品无疑是保障网络安全的第一道防线，很多企业为了保障自身服务器或数据安全都采用了防火墙。随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据，于是千兆防火墙逐步崭露头角，频频被运用在金融、电信、教育、气象等大型的行业和机构，以及对安全要求极高的大型企业用户，其市场占有份额已经超过50,;下面就让我们来了解一下千兆防火墙的相关的产品、技术及选购方面的一些知识。 不同构架各具特色 从百兆到千兆，最初只是量变。千兆防火墙在2000年前后就进入了我国市场。由于百兆网络接口与千兆网络接口的成本相差不大，早期的千兆防火墙仅仅是将百兆接口替换为千兆接口而已。这种基于X86体系结构的千兆防火墙主体仍然是软件，其性能受到很大制约，无法达到千兆的处理速度。因此，这些防火墙只是具有千兆接入能力的防火墙，而不是真正具有千兆处理能力的防火墙因此可以说是一种“换汤不换药”的形式改变。随后几年，随着千兆网络在企业和行业用户中的不断普及，以及用户对性能需求的不断增加，千兆防火墙也逐发生了质变。 这种质的变化首先是人们把目光转移到了专用集成电路(ASIC)和网络处理器(NP)上。相对于X86架构，基于这些架构的千兆防火墙才是真正的硬件解决方案，能够实现千兆处理速度。在这里，我们不妨将X86架构、NP和ASIC放在一起进行技术比较，看看不同技术的 优缺点。 X86架构 最初的千兆防火墙是基于X86架构。X86架构采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台。其产品功能主要由软件实现，可以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。 但其性能发展却受到体系结构的制约，作为通用的计算平台，x86的结构层次较多，不易优化，且往往会受到PCI总线的带宽限制。虽然PCI总线接口理论上能达到接近2Gbps的吞吐量，但是通用CPU的处理能力有限，尽管防火墙软件部分可以尽可能地优化，很难达到千兆速率。同时很多X86架构的防火墙是基于定制的通用操作系统，安全性很大程度上取决于通用操作系统自身的安全性，可能会存在安全漏洞。 ASIC架构 相比之下，ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。新一代的高可编程ASIC采用了更灵活的设计，能够通过软件改变应用逻辑，具有更广泛的适应能力。但是，ASIC的缺点也同样明显，它的灵活性和扩展性不够，开发费用高，开发周期太长，一般耗时接近2年。 虽然研发成本较高，灵活性受限制、无法支持太多的功能，但其性能具有先天的优势，非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。目前，NetScreen在ASIC防火墙领域占有优势地位，而我国的首信也推出了我国基于自主技术的ASIC千兆防火墙产品。 NP架构 NP可以说是介于两者之间的技术，NP是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化，可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线，具有较高的I/O能力。它可以构建一种硬件加速的完全可编程的架构，这种架构的软硬件都易于升级，软件可以支持新的和，硬件设计支持更高网络速度，从而使产品的生命周期更长。由于防火墙处理的就是网络数据包，所以基于NP架构的防火墙与X86架构的防火墙相比，性能得到了很大的提高。 NP通过专门的指令集和配套的软件开发系统，提供强大的编程能力，因而便于开发应用，支持可扩展的服务，而且研制周期短，成本较低。但是，相比于X86架构，由于应用开发、功能扩展受到NP的配套软件的限制，基于NP技术的防火墙的灵活性要差一些。由于依赖软件环境，所以在性能方面NP不如ASIC。NP开发的难度和灵活性都介于ASIC和x86构架之间，应该说，NP是X86架构和ASIC之间的一个折衷。目前NP的主要提供商是Intel和Motorola，国内基于NP技术开发千兆防火墙的厂商最多，联想、紫光比威等都有相关产品推出。 从上面可以看出，X86架构、NP和ASIC各有优缺点。X86架构灵活性最高，新功能、新模块扩展容易，但性能肯定满足不了千兆需要。ASIC性能最高，千兆、万兆吞吐速率均可 实现，但灵活性最低，定型后再扩展十分困难。NP则介于两者之间，性能可满足千兆需要，同时也具有一定的灵活性。 三种架构综合比较 选购千兆防火墙需要考虑什么 在选购千兆防火墙时，用户首先需要明确自己的需求。安全风险和网络应用决定了用户需求，每个网络的层次、作用、大小和结构各不同，致使这些网络所面临的安全风险不相同，安全需求自然也不相同。没有重要资产的网络没有必要选择高端防火墙，高安全需求的网络不能选择低安全性的防火墙，这是很浅显的道理。同样地，只有10M带宽接入互联网的办公机构没有必要去选择千兆防火墙。 其次，在防火墙的安全功能与性能之间做出折衷。防火墙存在着功能与性能的矛盾，根据预定的安全策略，防火墙在协议栈的不同层次对流量进行检查，决定对流量的控制措施(允许通过或丢弃)。检查的层次越高，防火墙消耗的资源就越多，花费的时间就越长，性能就会越低。在应用环境时要考虑网络拓扑，用户规模，流量带宽，通信类型和环境的复杂恶劣程度等。 最后，技术支持与服务，在选择安全产品的时候，厂家或商家的技术支持与服务能力也应该是重要的考虑因素。