随着互联网高速发展和移动支付等在国内大规模推广应用,企业硬件防火墙的需求已逐渐升温。在很多网络环境下,传统的基于x86体系结构的防火墙已不能满足千兆防火墙高吞吐量、低时延的要求,因此,两种新的技术,即网络处理器(network processor)和专用集成电路(asic)技术成为众多国内厂家实现千兆防火墙的主要选择。可以说,防火墙的硬件体系结构正面临着一次变革。
百兆防火墙的不足
在百兆防火墙时代,国内防火墙厂商普遍采用的是通用cpu配合软件的技术方案。虽然很多厂家也把它称之为硬件防火墙,但实际上都是基于x86架构的服务器或工控机。这类防火墙一般运行在经过裁减的操作系统上(通常是linux或bsd),所有的数据包解析和审查工作都由软件来完成。虽然这种技术方案在百兆防火墙市场取得了很大的成功,但由于cpu处理能力和pci总线速度的制约,在实际应用中,尤其在小包情况下,这种结构的千兆防火墙远远达不到千兆的转发速度(64字节包长时,双向转发速率一般为百分之二十以下),难以满足千兆骨干网络的应用要求。
企业硬件防火墙的两种技术实现
要实现真正的千兆防火墙,目前的技术途径基本上有两条:一种是采用网络处理器,另一种是采用asic。下面我们来分析一下这两种技术架构各自的特点。
网络处理器是专门为处理数据包而设计的可编程处理器,它的特点是内含了多个数据处理引擎,这些引擎可以并发进行数据处理工作,在处理2到4层的分组数据上比通用处理器具有明显的优势。网络处理器对数据包处理的一般性任务进行了优化,如tcp/ip数据的校验和计算、包分类、路由查找等。同时硬件体系结构的设计也大多采用高速的接口技术和总线规范,具有较高的i/o能力。这样基于网络处理器的网络设备的包处理能力得到了很大的提升。它具有以下几个方面的特性:完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口、第三方支持能力。基于网络处理器架构的防火墙与基于通用cpu架构的防火墙相比,在性能上可以得到很大的提高。网络处理器能弥补通用cpu架构性能的不足,同时又不需要具备开发基于asic技术的防火墙所需要的大量资金和技术积累,最近在国内信息安全厂商中备受关注,成为国内厂商实现高端千兆防火墙的热门选择。
第二种方案是采用基于asic技术的架构。netscreen是采用该技术的代表厂家。采用asic技术可以为防火墙应用设计专门的数据包处理流水线,优化存储器等资源的利用,是公认的使防火墙达到线速千兆,满足千兆环境骨干级应用的技术方案。netscreen公司也因此取得了令人瞩目的成功。但asic技术开发成本高、开发周期长且难度大,一般的防火墙厂商难以具备相应的技术和资金实力。
哪种方案更适合用户应用
网络处理器与asic方案哪种更适合千兆防火墙的应用是目前争论的一个热点。用户可以从性能、灵活性、功能完备性、成本、开发难度、技术成熟性等方面来进行比较。从性能上说,由于基于网络处理器的防火墙本质是基于软件的凯发k8国际首页的解决方案,它在很大的程度上依赖于软件设计的性能,而asic由于是将算法固化在硬件中,因而在性能上有比较明显的优势。
目前国内基于asic技术的首信防火墙已可达到4个千兆网口的全线速包转发速率,而一般基于网络处理器的防火墙在小包情况下还不能完全作到2网口的千兆线速转发。反过来说,网络处理器的软件色彩使它具有更好的灵活性,在升级维护方面有较大的优势。纯硬件的asic防火墙缺乏可编程性,这使得它缺乏灵活性从而跟不上防火墙功能的快速发展。
现代的asic技术通过增加asic芯片的可编程性,使其与软件更好地配合,从而同时满足来自灵活性和运行性能的要求。从实现功能方面看,asic技术可以比较容易地集成ids、vpn等功能,也有产品已经实现了内容过滤和防病毒功能,而网络处理器受限于它的计算能力,这些功能一般只能靠协处理器来实现。从今后产品的成本上看,一片网络处理器的价格在三、四百美金左右,如果需要协处理器,还要加上协处理器的成本。asic技术前期如果使用fpga(field programmable gate arrays,现场可编程门阵列)来实现,两者价格大致相当。不过如果量产投片以后,asic的价格可以降低一个量级,因而长远来看asic技术更有潜力。
在开发难度、开发成本和开发周期方面,网络处理器技术有比较明显的优势,毕竟网络处理器产生的一大原因就是降低这方面的门槛,这也是国内很多防火墙企业选中网络处理器的原因。不过从技术成熟度方面来看,相比asic这样已经为实践证明了的成熟技术,网络处理器用于防火墙其实是近一年多才出现的。在此之前网络处理器在市场上的表现并不理想,一般只被用于低端路由器、交换机等数据通信产品。究其原因,主要是网络处理器开发需要的编程技术比预期的复杂困难,而且在实际应用中的性能往往并不理想,远低于其厂家的标称性能。这种技术应用在防火墙这样的复杂网络设备上究竟能否在不影响功能的前提下达到预期的性能还有待检验。
目前防火墙的体系结构已经处于一个更新换代的门槛上,未来的发展趋势基本上是网络处理器与asic两条道路。从性能、功能、技术成熟度方面考虑,asic方案较好,从进入门槛、研发成本和灵活性考虑则网络处理器占优。
从目前的情况来看,国外的高端防火墙大部分采用的是asic技术,国内厂商则选用网路处理器的居多。今后高端防火墙的技术将是asic和网络处理器这两种主流技术并存,它们各自都会继续向前发展,在速度、功能方面都还有很大的发展空间。究竟谁将成为最后的赢家,只能有待时间的检验了。而用户在选择企业硬件防火墙产品时也要综合考虑厂商实力、实际应用需求、采购成本、防火墙技术与产品的成熟度等多种因素全盘考虑为宜。