防火墙硬件架构.pdf

网络安全 防火墙硬件架构 部署在企业网络中的防火墙设备，通常能看到机柜中一个快速闪着指示灯的 黑盒子。防火墙本身就是一台为网络而设计的计算机，与通用计算机一样防火墙 是由硬件和软件组成，现今防火墙有着多种硬件技术架构，不同的硬件架构有着 各自不同的特点。随着近年千兆网络开始在国内企业中大规模普及和应用，同时 防火墙的硬件架构也正面临着一次变革。 1 X86 架构 问题：性能不足 X86 是由 Intel 推出的一种复杂指令集，用于控制芯片的运行的程序，现在 X86 处理器已经广泛运用到了PC 领域。 基于X86 架构的防火墙，由于CPU 处理能力和PCI 总线速度的制约，在实际 应用中，尤其在小包情况下，这种结构的千兆防火墙远远达不到千兆的转发速度， 难以满足千兆骨干网络的应用要求。 X86 架构是一种通用的“CPU+Linux ”操作系统的架构。其处理机制是，数据 从网卡到CPU 之间的传输是依靠“中断”实现，这导致了不可逾越的性能瓶颈， 尤其在传送小包的情况下（如64 Bytes 的小包），数据包的通过率只能达到20%～ 30%左右，并且它的设计是必须依靠CPU 计算，因此，很占CPU 资源，这也是为 什么X86 防火墙性能上不去的原因。 虽然Intel 提出了解决方案，将32 位的PCI 总线升级到了PCI-E ，总线速度 最高可达16GBps，但是，小包传送问题依然没有解决。“如果用户在进行小包通 过率测试时，性能出现大幅度的下滑，这种防火墙多半是X86 架构。提醒用户一 定不能被厂商的宣传忽悠了，基于X86 的防火墙，其最高性能只能达到2Gbps ！” 长久以来，国内许多安全厂商的防火墙产品都采用基于X86 的架构，而国外 厂商的多数防火墙则采用ASIC 架构。 1 / 4 网络安全 所以，目前市场上大多数的X86 防火墙不能作为千兆防火墙使用，只能作为 百兆防火墙。 2 ASIC 架构 问题：灵活性不够 专用集成芯片（Application Specific Integrated Circuit ，简称ASIC ），为特定要 求和特定电子系统而设计、制造的集成电路。ASIC 的特点是面向特定需求，ASIC 在批量生产时与通用集成电路相比具有体积更小、功耗更低、可靠性提高、性能 提高、保密性增强、成本降低等优点。 国外的大部分防火墙设计都采用了ASIC 架构，以Juniper 和Fortinet 的产品 为首，因为它的性能高，并且开发门槛高，一度成为国际国内厂商的技术分水岭。 基于 ASIC 架构的防火墙从架构上改进了中断机制，数据通过网卡进入系统 后，无需经过主CPU 处理，而是由集成在系统中的芯片直接处理，完成防火墙的 功能，如路由、NAT、防火墙规则匹配等，因此，其性能得到了大幅度的提升: 性 能可以达到万兆，并且64 Bytes 的小包都可以达到线速。 但问题是，这种防火墙在设计时，就必须将安全功能固化进 ASIC 芯片中， 所以它的灵活性不够，如果想要增添新的功能或进行系统升级，开发周期较长， 对技术的要求也很高。此外，用 ASIC 开发复杂的功能，如垃圾邮件过滤、网络 监控、病毒防护等，其开发比较复杂，对技术要求很高。因此，ASIC 架构非常适 用于功能简单的防火墙。 3 NP 架构 特点：平衡方案 网络处理器（Network Processor，简称NP），采用NP 架构的防火墙，各种算 法可以通过硬件实现，在实现复杂的拥塞管理、队列调度、流分类和QoS 功能的 2 / 4 网络安全 前提下，还可以达到极高的查找、转发性能，实现“硬转发