按照防火墙CPU架构分类,可以分为通用CPU、ASIC(Application Specific Intagrated Circuit,专用集成电路)、NP(Network Processor,网络处理器)架构防火墙。
(一)Intel x86(通用CPU)架构防火墙
通用CPU架构目前在国内的信息安全市场上是最常见的,其多是基于Intelx86系列架构的产品,又被称为工控机防火墙。在百兆防火墙中,Intelx86架构的硬件具有高灵活性、扩展性开发、设计门槛低、技术成熟等优点。
由于采用了PCI总线接口,Intel x86架构的硬件虽然理论上能达到2Gbit/s的吞吐量,但是x86架构的硬件并非为了网络数据传输而设计,对数据包的转发性能相对较弱,在实际应用中,尤其是在小包情况下,远远达不到标称性能。
由于国内安全厂商并没有掌握x86架构的核心技术,其BIOS中存在着隐藏的漏洞,有可能影响防火墙的安全可靠性。
(二)ASIC架构防火墙
ASIC技术是国外高端网络设备几年前广泛采用的技术。采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线,优化存储器等资源的利用。基于硬件的转发模式、多总线技术、数据层面与控制层面分离等技术,ASIC架构防火墙解决了带宽容量和性能不足的问题,稳定性也得到了很好的保证。(www.daowen.com)
ASIC技术开发成本高,开发周期长,并且难度大。ASIC技术的性能优势主要体现在网络层转发上,对于需要强大计算能力的应用层数据的处理,则不占优势。由于对ASIC不可编程,所以根本无法对新的功能进行添加,而且面对频繁变异的应用安全问题,其灵活性和扩展性也难以满足要求。
(三)NP架构防火墙
NP(Network Pressor,网络处理器)是专门为处理数据包而设计的可编程处理器,特点是内含了多个数据处理引擎。这些引擎可以并发进行数据处理工作,在处理2~4层的分组数据上,比通用处理器具有明显的优势,能够直接完成网络数据处理的一般性任务。硬件体系结构大多采用高速的接口技术和总线规范,具有较高的I/O能力,包处理能力得到了很大提升。
NP具有完全的可编程性、简单的编程模式、开放的编程接口及第三方支持能力,一旦有新的技术或者需求出现,资深设计师可以很方便地通过微码编程实现。这些特性使基于NP架构的防火墙与传统防火墙相比,在性能上得到了很大的提高。NP防火墙和ASIC的防火墙实现原理相似,相比升级和维护比ASIC的防火墙好。但是从性能和编程灵活性一起考虑,多核架构防火墙会胜出。
(四)多核架构防火墙
多核处理器在同一个硅晶片上集成了多个独立物理核心(所谓核心,就是指处理器内部负责计算、接受/存储命令、处理数据的执行中心,可以理解成一个单核CPU),每个核心都具有独立的逻辑结构,包括缓存、执行单元、指令级单元和总线接口等逻辑单元,通过高速总线、内存共享进行通信。多核处理器编程开发周期短,数据转发能力强。目前国内、外大多数厂家都采用多核处理器。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。