ASIC架构防火墙性能高,灵活性不足
ASIC防火墙是通过专门设计的ASIC芯片逻辑进行硬件加速处理,通过把指令或计算逻辑固化到芯片中,获得很高的处理能力,由此,明显地提升了防火墙的性能。新一代高可编程ASIC采用了更灵活的设计,能够通过软件改变应用逻辑,具有更广泛的适应能力。另外,基于ASIC芯片架构的防火墙将包括状态表项、路由表项以及VLAN表项等存储在芯片中,以提高防火墙的处理速度。
但是,ASIC防火墙的缺点也同样明显:灵活性和扩展性不够、开发费用高、开发周期过长,还不能支持太多的功能。从每秒新建连接数这一性能指标来看,某些厂家推出的基于ASIC芯片架构的64M内存的防火墙在最理想情况下,最大并发连接数为5万,每秒新建连接数是400。如果每秒新建连接数达到900的话,其最大并发连接数只能是7190。可见,ASIC芯片本身的局限性对每秒新建连接数造成了直接影响。
NP架构防火墙可按需定制
NP的体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化,可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理。
就防火墙来说,由于处理的就是网络数据包,所以,基于NP架构的防火墙与X86、ASIC架构的防火墙相比,性能得到了很大的提高。由于NP通过专门的指令集和配套的软件开发系统,可提供强大的编程能力。因而,它便于开发应用,支持可扩展的服务,而且研制周期短、成本较低。
应用NP的高端网络设备具有以下特点:
● 可管理性:NP提供了和上层CPU标准的接口或者内置管理CPU,可以和其他CPU实现高速通信,NP一般都提供了大量硬件计数器,可以方便地实现各种MIB统计功能,为网管提供支持,对业务系统而言,没有开销,不会因为复杂、细致的网管功能影响业务系统的性能;
● 可扩展性:可以通过NP的不同形式组合或者和其他CPU的组合,实现系统的灵活配置,满足不同设备的需求;
● 可编程性:NP拥有硬件可编程功能,一旦有新的技术或者需求出现,就可以很方便地通过微码编程进行实现,系统的硬件功能可以通过软件模块(微码)的方式方便地进行添加、删除。所以,对于特殊的用户需求,基于NP的产品可以实现定制开发。
以联想推出的基于NP架构的万兆级的超性能防火墙为例,其64Bytes小数据包处理能力可达7Gbps,512Bytes以上数据包处理能力可达到万兆级。它可以根据最终用户的个性化需求灵活配置多块NP防火墙主板,可以组合配置线速千兆防火墙接口模块、线速千兆VPN模块、线速百兆阵列接口模块。在软件设计方面,不但支持硬件平台“按需配置”,而且在功能上做了大量的优化和完善。
如何按需选择NP和ASIC防火墙
ASIC防火墙对于模式简单、对吞吐量和时延指标要求较高的电信级的大流量处理更适用,由于其灵活性低,定型后再扩展十分困难。对于其他非电信行业的用户来说,并不适用,而现在的NP防火墙完全可以达到电信行业的应用要求。
除此之外,用户在选择NP和ASIC防火墙时,还应该首先明确自己的安全需求;其次,在防火墙的安全功能与性能之间作出必要的折衷。检查的层次越高,防火墙消耗的资源就越多,花费的时间就越长,性能就会越低。在应用环境时还要考虑网络拓扑、用户规模、流量带宽、通信类型以及环境的复杂恶劣程度等。
阅读(3511) | 评论(0) | 转发(0) |