監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

計(jì)世獨(dú)家:多核打破傳統(tǒng)構(gòu)架 挑戰(zhàn)防火墻設(shè)計(jì)

申請免費(fèi)試用、咨詢電話:400-8352-114

文章來源:泛普軟件

【泛普軟件】以往的防火墻多采用x86、NP或ASIC芯片進(jìn)行設(shè)計(jì),但多核技術(shù)的出現(xiàn),將打破現(xiàn)有格局,并將防火墻的性能提升到一個新高度。 

防火墻功能和性能的矛盾一直是困擾信息安全產(chǎn)品的問題,也是最被用戶詬病之處。解決方法只有一個,那就是尋求新的硬件之道。

好在硬件技術(shù)在不斷發(fā)展,多核技術(shù)的出現(xiàn)讓廠商們看到了新曙光。目前,市面上除了傳統(tǒng)的x86、NP和ASIC架構(gòu)的防火墻外,又出現(xiàn)了一個新的防火墻設(shè)計(jì)——多核防火墻。那么,多核與以往傳統(tǒng)的x86、NP、ASIC架構(gòu)相比有何特色?人們該如何選擇不同的架構(gòu)?近日,在神州數(shù)碼網(wǎng)絡(luò)公司推出首款多核防火墻——終結(jié)者多業(yè)務(wù)網(wǎng)關(guān)2.0之際,記者采訪了神州數(shù)碼網(wǎng)絡(luò)公司技術(shù)總監(jiān)楊海濤。

x86性能最多只能達(dá)到2Gbps

長久以來,國內(nèi)許多安全廠商的防火墻產(chǎn)品都采用基于x86的架構(gòu),而國外廠商的多數(shù)防火墻則采用ASIC架構(gòu)。幾年前,隨著技術(shù)的更新?lián)Q代,隨著網(wǎng)絡(luò)處理器(NP)技術(shù)的興起,為了趕超國際上的先進(jìn)水平,彌補(bǔ)國內(nèi)防火墻性能上的不足,很多國內(nèi)廠商開始采用“NP+ASIC”的架構(gòu)。

x86架構(gòu)是一種通用的“CPU+Linux”操作系統(tǒng)的架構(gòu)。其處理機(jī)制是,數(shù)據(jù)從網(wǎng)卡到CPU之間的傳輸是依靠“中斷”實(shí)現(xiàn),這導(dǎo)致了不可逾越的性能瓶頸,尤其在傳送小包的情況下(如64 Bytes的小包),數(shù)據(jù)包的通過率只能達(dá)到30%~40%左右,并且它的設(shè)計(jì)是必須依靠CPU計(jì)算,因此,很占CPU資源,這也是為什么x86防火墻性能上不去的原因。

雖然Intel提出了解決方案,將32位的PCI總線升級到了PCI-E ,總線速度最高可達(dá)16GBps,但是,小包傳送問題依然沒有解決?!叭绻脩粼谶M(jìn)行小包通過率測試時,性能出現(xiàn)大幅度的下滑,這種防火墻多半是x86架構(gòu)。提醒用戶一定不能被廠商的宣傳忽悠了,基于x86的防火墻,其最高性能只能達(dá)到2Gbps!”楊海濤說。

所以,目前市場上大多數(shù)的x86防火墻不能作為千兆防火墻使用,只能作為百兆防火墻。

ASIC架構(gòu)

靈活性不夠

國外的大部分防火墻設(shè)計(jì)都采用了ASIC架構(gòu),以Juniper和Fortinet的產(chǎn)品為首,因?yàn)樗男阅芨?,并且開發(fā)門檻高,一度成為國際國內(nèi)廠商的技術(shù)分水嶺。

基于ASIC架構(gòu)的防火墻從架構(gòu)上改進(jìn)了中斷機(jī)制,數(shù)據(jù)通過網(wǎng)卡進(jìn)入系統(tǒng)后,不需經(jīng)過主CPU處理,而是由集成在系統(tǒng)中的芯片直接處理,完成防火墻的功能,如路由、NAT、防火墻規(guī)則匹配等,因此,其性能得到了大幅度的提升: 性能可以達(dá)到萬兆,并且64 Bytes的小包都可以達(dá)到線速。

但問題是,這種防火墻在設(shè)計(jì)時,就必須將安全功能固化進(jìn)ASIC芯片中,所以它的靈活性不夠,如果想要增添新的功能或進(jìn)行系統(tǒng)升級,開發(fā)周期較長,對技術(shù)的要求也很高。此外,用ASIC開發(fā)復(fù)雜的功能,如垃圾郵件過濾、網(wǎng)絡(luò)監(jiān)控、病毒防護(hù)等,其開發(fā)比較復(fù)雜,對技術(shù)要求很高。因此,ASIC架構(gòu)非常適用于功能簡單的防火墻。

NP是平衡方案

國內(nèi)許多廠商為了彌補(bǔ)防火墻性能的不足,在不斷進(jìn)行技術(shù)研發(fā),推出了基于“NP+ASIC”的防火墻架構(gòu),以解決x86架構(gòu)性能不足和ASIC架構(gòu)不夠靈活的問題。

NP是專門為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計(jì)的處理器,其體系結(jié)構(gòu)和指令集對于數(shù)據(jù)處理都做了專門的優(yōu)化,同時輔助一些協(xié)處理器完成搜索、查表等功能,可以對網(wǎng)絡(luò)流量進(jìn)行快速的并發(fā)處理。硬件結(jié)構(gòu)設(shè)計(jì)采用高速的接口技術(shù)和總線規(guī)范,具有較高的I/O能力。這是一種硬件加速的完全可編程的架構(gòu),軟硬件都易于升級,因此產(chǎn)品的生命周期更長。

NP最大的優(yōu)點(diǎn)在于它是通過專門的指令集和配套的軟件開發(fā)系統(tǒng)提供強(qiáng)大的編程能力,因而便于開發(fā)應(yīng)用,可擴(kuò)展性強(qiáng),而且研制周期短,成本較低。但是,相比于x86架構(gòu),由于應(yīng)用開發(fā)、功能擴(kuò)展受到NP的配套軟件的限制,基于NP技術(shù)的防火墻的靈活性要差一些。采用微碼編程,在性能方面NP不如ASIC。NP開發(fā)的難度和靈活性都介于ASIC和x86構(gòu)架之間,應(yīng)該說NP是x86架構(gòu)和ASIC之間的平衡方案。

多核可實(shí)現(xiàn)性能和綠色雙重設(shè)計(jì)

多核技術(shù)則是近年來新出現(xiàn)的處理器技術(shù),它一出現(xiàn),就被認(rèn)為是解決信息安全產(chǎn)品功能與性能之間矛盾的一大硬件法寶。國外許多廠商,如SonicWall等,都推出了其多核產(chǎn)品。多核是在同一個硅晶片上集成了多個獨(dú)立物理核心,每個核心都具有獨(dú)立的邏輯結(jié)構(gòu),包括緩存、執(zhí)行單元、指令級單元和總線接口等邏輯單元,通過高速總線、內(nèi)存共享進(jìn)行通信。在實(shí)際工作中,每個核心都可以達(dá)到1Ghz的主頻。因此,多核技術(shù)無論在性能、靈活性還是在開發(fā)的成本和難度方面,都是其他架構(gòu)不能比擬的。

楊海濤介紹,目前各種芯片廠商推出的多核芯片共分三種: 一種是Intel、AMD推出的2核、4核的通用處理器,適用于桌面筆記本電腦等通用領(lǐng)域; 一種是IBM、SUN分別推出的cell和SPARC架構(gòu)的多核處理器,主要用于圖形處理和運(yùn)算; 第三種是RMI和Cavium推出的基于MIPS架構(gòu)的嵌入式多核處理器,主要應(yīng)用于數(shù)據(jù)通信領(lǐng)域,它最適合用于信息安全產(chǎn)品的開發(fā)。

除了上述特色外,多核的另一大特點(diǎn)是非常節(jié)能。楊海濤舉例,以神碼網(wǎng)絡(luò)推出終結(jié)者多業(yè)務(wù)網(wǎng)關(guān)產(chǎn)品為例,16核的DCFW-1800E-8G單電源功耗僅120W,采用雙電源也僅僅240W,而同樣x86平臺的雙電源高達(dá)1020W,每年多費(fèi)電約7000度。1U的5千兆接口的DCFW-1800S-H-V2,功耗僅為15W,相比一般x86平臺工控機(jī)200~300W的功耗,一年節(jié)約的電費(fèi)高達(dá)2500元。

鏈接

神碼推出的多核防火墻

性能功能一覽

DCFW-1800E-8G產(chǎn)品支持500萬并發(fā)會話,64Byte小包的吞吐量達(dá)到3Gbps,256Byte以上吞吐達(dá)到8Gbps,VPN吞吐達(dá)到8Gbps,支持3萬VPN通道,支持5萬個策略。每秒新建TCP會話超過20萬,每秒處理UDP會話超過50萬。在每秒創(chuàng)建5000TCP會話作為背景流量,可以檢測并防御80萬包/秒以上的SYN-FLOOD攻擊。

功能方面實(shí)現(xiàn)了四層增益: 邊界服務(wù)增益、關(guān)鍵服務(wù)增益、全局服務(wù)增益、終端控制增益。在邊界服務(wù)增益中提供了IPSec VPN+SSL VPN解決方案和抗DoS攻擊防護(hù)能力,并且支持OSPF封裝。關(guān)鍵服務(wù)增益提供了多鏈路負(fù)載均衡、鏈路捆綁、服務(wù)器負(fù)載均衡功能。全局服務(wù)增益提供了P2P控制、IM即時通信軟件控制,顆粒度達(dá)到1K的流量整形功能。終端控制增益除了IP/MAC地址綁定之外,在底層修改了ARP協(xié)議,在驅(qū)動層實(shí)現(xiàn)了自動阻止客戶端非法ARP發(fā)包請求并且實(shí)現(xiàn)雙向ARP認(rèn)證。(泛普軟件)

發(fā)布:2007-04-22 09:08    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普重慶OA信息化其他應(yīng)用

重慶OA軟件 重慶OA新聞動態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開發(fā)公司 重慶網(wǎng)站建設(shè)公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉庫管理系統(tǒng) 重慶門禁系統(tǒng) 重慶微信營銷 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開發(fā) 重慶建筑施工項(xiàng)目管理系統(tǒng)開發(fā)