當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 重慶OA系統(tǒng) > 重慶OA信息化
計(jì)世獨(dú)家:多核打破傳統(tǒng)構(gòu)架 挑戰(zhàn)防火墻設(shè)計(jì)
【泛普軟件】以往的防火墻多采用x86、NP或ASIC芯片進(jìn)行設(shè)計(jì),但多核技術(shù)的出現(xiàn),將打破現(xiàn)有格局,并將防火墻的性能提升到一個新高度。
防火墻功能和性能的矛盾一直是困擾信息安全產(chǎn)品的問題,也是最被用戶詬病之處。解決方法只有一個,那就是尋求新的硬件之道。
好在硬件技術(shù)在不斷發(fā)展,多核技術(shù)的出現(xiàn)讓廠商們看到了新曙光。目前,市面上除了傳統(tǒng)的x86、NP和ASIC架構(gòu)的防火墻外,又出現(xiàn)了一個新的防火墻設(shè)計(jì)——多核防火墻。那么,多核與以往傳統(tǒng)的x86、NP、ASIC架構(gòu)相比有何特色?人們該如何選擇不同的架構(gòu)?近日,在神州數(shù)碼網(wǎng)絡(luò)公司推出首款多核防火墻——終結(jié)者多業(yè)務(wù)網(wǎng)關(guān)2.0之際,記者采訪了神州數(shù)碼網(wǎng)絡(luò)公司技術(shù)總監(jiān)楊海濤。
x86性能最多只能達(dá)到2Gbps
長久以來,國內(nèi)許多安全廠商的防火墻產(chǎn)品都采用基于x86的架構(gòu),而國外廠商的多數(shù)防火墻則采用ASIC架構(gòu)。幾年前,隨著技術(shù)的更新?lián)Q代,隨著網(wǎng)絡(luò)處理器(NP)技術(shù)的興起,為了趕超國際上的先進(jìn)水平,彌補(bǔ)國內(nèi)防火墻性能上的不足,很多國內(nèi)廠商開始采用“NP+ASIC”的架構(gòu)。
x86架構(gòu)是一種通用的“CPU+Linux”操作系統(tǒng)的架構(gòu)。其處理機(jī)制是,數(shù)據(jù)從網(wǎng)卡到CPU之間的傳輸是依靠“中斷”實(shí)現(xiàn),這導(dǎo)致了不可逾越的性能瓶頸,尤其在傳送小包的情況下(如64 Bytes的小包),數(shù)據(jù)包的通過率只能達(dá)到30%~40%左右,并且它的設(shè)計(jì)是必須依靠CPU計(jì)算,因此,很占CPU資源,這也是為什么x86防火墻性能上不去的原因。
雖然Intel提出了解決方案,將32位的PCI總線升級到了PCI-E ,總線速度最高可達(dá)16GBps,但是,小包傳送問題依然沒有解決?!叭绻脩粼谶M(jìn)行小包通過率測試時,性能出現(xiàn)大幅度的下滑,這種防火墻多半是x86架構(gòu)。提醒用戶一定不能被廠商的宣傳忽悠了,基于x86的防火墻,其最高性能只能達(dá)到2Gbps!”楊海濤說。
所以,目前市場上大多數(shù)的x86防火墻不能作為千兆防火墻使用,只能作為百兆防火墻。
ASIC架構(gòu)
靈活性不夠
國外的大部分防火墻設(shè)計(jì)都采用了ASIC架構(gòu),以Juniper和Fortinet的產(chǎn)品為首,因?yàn)樗男阅芨?,并且開發(fā)門檻高,一度成為國際國內(nèi)廠商的技術(shù)分水嶺。
基于ASIC架構(gòu)的防火墻從架構(gòu)上改進(jìn)了中斷機(jī)制,數(shù)據(jù)通過網(wǎng)卡進(jìn)入系統(tǒng)后,不需經(jīng)過主CPU處理,而是由集成在系統(tǒng)中的芯片直接處理,完成防火墻的功能,如路由、NAT、防火墻規(guī)則匹配等,因此,其性能得到了大幅度的提升: 性能可以達(dá)到萬兆,并且64 Bytes的小包都可以達(dá)到線速。
但問題是,這種防火墻在設(shè)計(jì)時,就必須將安全功能固化進(jìn)ASIC芯片中,所以它的靈活性不夠,如果想要增添新的功能或進(jìn)行系統(tǒng)升級,開發(fā)周期較長,對技術(shù)的要求也很高。此外,用ASIC開發(fā)復(fù)雜的功能,如垃圾郵件過濾、網(wǎng)絡(luò)監(jiān)控、病毒防護(hù)等,其開發(fā)比較復(fù)雜,對技術(shù)要求很高。因此,ASIC架構(gòu)非常適用于功能簡單的防火墻。
NP是平衡方案
國內(nèi)許多廠商為了彌補(bǔ)防火墻性能的不足,在不斷進(jìn)行技術(shù)研發(fā),推出了基于“NP+ASIC”的防火墻架構(gòu),以解決x86架構(gòu)性能不足和ASIC架構(gòu)不夠靈活的問題。
NP是專門為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計(jì)的處理器,其體系結(jié)構(gòu)和指令集對于數(shù)據(jù)處理都做了專門的優(yōu)化,同時輔助一些協(xié)處理器完成搜索、查表等功能,可以對網(wǎng)絡(luò)流量進(jìn)行快速的并發(fā)處理。硬件結(jié)構(gòu)設(shè)計(jì)采用高速的接口技術(shù)和總線規(guī)范,具有較高的I/O能力。這是一種硬件加速的完全可編程的架構(gòu),軟硬件都易于升級,因此產(chǎn)品的生命周期更長。
NP最大的優(yōu)點(diǎn)在于它是通過專門的指令集和配套的軟件開發(fā)系統(tǒng)提供強(qiáng)大的編程能力,因而便于開發(fā)應(yīng)用,可擴(kuò)展性強(qiáng),而且研制周期短,成本較低。但是,相比于x86架構(gòu),由于應(yīng)用開發(fā)、功能擴(kuò)展受到NP的配套軟件的限制,基于NP技術(shù)的防火墻的靈活性要差一些。采用微碼編程,在性能方面NP不如ASIC。NP開發(fā)的難度和靈活性都介于ASIC和x86構(gòu)架之間,應(yīng)該說NP是x86架構(gòu)和ASIC之間的平衡方案。
多核可實(shí)現(xiàn)性能和綠色雙重設(shè)計(jì)
多核技術(shù)則是近年來新出現(xiàn)的處理器技術(shù),它一出現(xiàn),就被認(rèn)為是解決信息安全產(chǎn)品功能與性能之間矛盾的一大硬件法寶。國外許多廠商,如SonicWall等,都推出了其多核產(chǎn)品。多核是在同一個硅晶片上集成了多個獨(dú)立物理核心,每個核心都具有獨(dú)立的邏輯結(jié)構(gòu),包括緩存、執(zhí)行單元、指令級單元和總線接口等邏輯單元,通過高速總線、內(nèi)存共享進(jìn)行通信。在實(shí)際工作中,每個核心都可以達(dá)到1Ghz的主頻。因此,多核技術(shù)無論在性能、靈活性還是在開發(fā)的成本和難度方面,都是其他架構(gòu)不能比擬的。
楊海濤介紹,目前各種芯片廠商推出的多核芯片共分三種: 一種是Intel、AMD推出的2核、4核的通用處理器,適用于桌面筆記本電腦等通用領(lǐng)域; 一種是IBM、SUN分別推出的cell和SPARC架構(gòu)的多核處理器,主要用于圖形處理和運(yùn)算; 第三種是RMI和Cavium推出的基于MIPS架構(gòu)的嵌入式多核處理器,主要應(yīng)用于數(shù)據(jù)通信領(lǐng)域,它最適合用于信息安全產(chǎn)品的開發(fā)。
除了上述特色外,多核的另一大特點(diǎn)是非常節(jié)能。楊海濤舉例,以神碼網(wǎng)絡(luò)推出終結(jié)者多業(yè)務(wù)網(wǎng)關(guān)產(chǎn)品為例,16核的DCFW-1800E-8G單電源功耗僅120W,采用雙電源也僅僅240W,而同樣x86平臺的雙電源高達(dá)1020W,每年多費(fèi)電約7000度。1U的5千兆接口的DCFW-1800S-H-V2,功耗僅為15W,相比一般x86平臺工控機(jī)200~300W的功耗,一年節(jié)約的電費(fèi)高達(dá)2500元。
鏈接
神碼推出的多核防火墻
性能功能一覽
DCFW-1800E-8G產(chǎn)品支持500萬并發(fā)會話,64Byte小包的吞吐量達(dá)到3Gbps,256Byte以上吞吐達(dá)到8Gbps,VPN吞吐達(dá)到8Gbps,支持3萬VPN通道,支持5萬個策略。每秒新建TCP會話超過20萬,每秒處理UDP會話超過50萬。在每秒創(chuàng)建5000TCP會話作為背景流量,可以檢測并防御80萬包/秒以上的SYN-FLOOD攻擊。
功能方面實(shí)現(xiàn)了四層增益: 邊界服務(wù)增益、關(guān)鍵服務(wù)增益、全局服務(wù)增益、終端控制增益。在邊界服務(wù)增益中提供了IPSec VPN+SSL VPN解決方案和抗DoS攻擊防護(hù)能力,并且支持OSPF封裝。關(guān)鍵服務(wù)增益提供了多鏈路負(fù)載均衡、鏈路捆綁、服務(wù)器負(fù)載均衡功能。全局服務(wù)增益提供了P2P控制、IM即時通信軟件控制,顆粒度達(dá)到1K的流量整形功能。終端控制增益除了IP/MAC地址綁定之外,在底層修改了ARP協(xié)議,在驅(qū)動層實(shí)現(xiàn)了自動阻止客戶端非法ARP發(fā)包請求并且實(shí)現(xiàn)雙向ARP認(rèn)證。(泛普軟件)
- 1協(xié)同OA系統(tǒng)的相關(guān)性任務(wù)有哪些呢?
- 2如何在云計(jì)算虛擬化期間減少安全風(fēng)險(xiǎn)?
- 3全球領(lǐng)先的OA系統(tǒng)及OA辦公系統(tǒng)平臺開發(fā)
- 4如何把云計(jì)算引進(jìn)到企業(yè)運(yùn)營中去?
- 5OA辦公系統(tǒng)的主要功能是什么?重慶哪家軟件公司開發(fā)的功能比較強(qiáng)?
- 6淺談上網(wǎng)行為管理的“URL網(wǎng)址過濾”
- 7獨(dú)家:四大關(guān)鍵詞捕捉網(wǎng)絡(luò)通信技術(shù)趨勢
- 8協(xié)同辦公軟件可持續(xù)的員工學(xué)習(xí)能力
- 9云計(jì)算在中國具有廣闊的市場空間
- 10簡易軟件-企業(yè)辦公好幫手
- 11如何讓無線路由擁有更穩(wěn)定的信號
- 12SaaS模式下的數(shù)據(jù)安全保障及滿意度亟需完善
- 13網(wǎng)絡(luò)實(shí)戰(zhàn):LVS軟件實(shí)現(xiàn)Linux集群
- 14集成國產(chǎn)辦公套件的協(xié)同辦公平臺
- 15金和OA助萬全科技藥業(yè)提高核心管理水平
- 16解析新一代數(shù)據(jù)中心的六大關(guān)鍵技術(shù)
- 17從即時監(jiān)控出發(fā) 讓網(wǎng)絡(luò)管理的效率更高
- 18泛普軟件OA辦公系統(tǒng)提供雙機(jī)熱備方案
- 19綠色數(shù)據(jù)中心:規(guī)劃是關(guān)鍵 測評是基礎(chǔ)
- 20電子政務(wù)|政府OA系統(tǒng)解決方案
- 21OA辦公在企業(yè)財(cái)務(wù)部辦公的需求是什么?
- 22協(xié)同辦公軟件市場綜述
- 23管理服務(wù)器虛擬化要注意的四大問題
- 24如何降低能耗建造綠色數(shù)據(jù)中心?
- 25普巴軟件――淺談協(xié)同辦公領(lǐng)域的發(fā)展
- 26HR人力資源管理系統(tǒng)與OA辦公軟件系統(tǒng)集成
- 27方正國際FIX ES2007西安巡展 實(shí)現(xiàn)大協(xié)同辦公
- 28囧途當(dāng)?shù)?產(chǎn)品創(chuàng)新攸關(guān)OA廠商生存
- 29實(shí)用化已成為中間件技術(shù)發(fā)展重要趨勢
- 30辨析開源SOA解決方案之利益
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓