科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道防火墙硬件架构NP和ASIC之比较(3)

防火墙硬件架构NP和ASIC之比较(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

x86、NP、ASIC等三大防火墙硬件技术架构中,哪种将成为防火墙产品技术发展的主流?用户该如何选择?

作者:51CTO.COM 2007年11月14日

关键字: 架构 ASIC NP 百兆防火墙

  • 评论
  • 分享微博
  • 分享邮件

  从目前的情况来看,国外的高端防火墙大部分采用的是ASIC技术,国内厂商则选用网络处理器的居多。今后高端防火墙的技术将是ASIC和网络处理器这两种主流技术并存,它们各自都会继续向前发展,在速度、功能方面都还有很大的发展空间。而用户在选择千兆防火墙产品时也要综合考虑厂商实力、实际应用需求、采购成本、防火墙技术与产品的成熟度等多种因素,全盘考虑为宜。

  三大架构的不同特点

  在百兆防火墙时代,国内防火墙厂商普遍采用的是通用CPU配合软件的技术方案。虽然很多厂家也把它称之为硬件防火墙,但实际上都是基于X86架构的服务器或工控机。这类防火墙一般运行在经过裁减的操作系统上(通常是Linux或BSD),所有的数据包解析和审查工作都由软件来完成。

  虽然这种技术方案在百兆防火墙市场取得了很大的成功,但由于CPU处理能力和PCI总线速度的制约,在实际应用中,尤其在小包情况下,这种结构的千兆防火墙远远达不到千兆的转发速度(64字节包长时,双向转发速率一般为百分之二十以下),难以满足千兆骨干网络的应用要求。

  网络处理器是专门为处理数据包而设计的可编程处理器,它的特点是内含了多个数据处理引擎。这些引擎可以并发进行数据处理工作,在处理2到4层的分组数据上比通用处理器具有明显的优势。

  网络处理器对数据包处理的一般性任务进行了优化,如TCP/IP数据的校验和计算、包分类、路由查找等。同时硬件体系结构的设计也大多采用高速的接口技术和总线规范,具有较高的I/O能力。这样基于网络处理器的网络设备的包处理能力得到了很大的提升。

  它具有以下几个方面的特性:完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口、第三方支持能力。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章