防火牆硬體架構NP和ASIC之比較

來源:互聯網
上載者:User

  在x86、NP、ASIC等三大防火牆硬體技術架構中,哪種將成為防火牆產品技術發展的主流?使用者該如何選擇?帶著這些問題,記者採訪了天融信公司防火牆產品經理段亞峰。

  他表示,防火牆產品經過多年的發展,經過了從軟體防火牆到硬體防火牆的變化。目前國內使用者普遍能接受的就是市場上廣泛銷售的硬體防火牆,但是隨著防火牆產品同質化現象的日益明顯,廠家和使用者都把注意力轉移到了技術架構體繫上,尤其在近兩年愈演愈烈的硬體架構之爭,給使用者選擇防火牆產品帶來很多困惑。

  防火牆硬體體繫結構面臨變革

  段亞峰認為,防火牆的硬體體繫結構正面臨著一次變革。硬體架構之爭是隨著近年千兆網路開始在國內大規模推廣應用而升溫的。在多數網路環境下,傳統的基於X86體繫結構的防火牆已不能滿足千兆防火牆高輸送量、低時延的要求。因此,兩種新的技術,即網路處理器(NetworkProcessor)和專用整合電路(ASIC)技術成為眾多國內廠家實現千兆防火牆的主要選擇。

  可以說,防火牆的硬體體繫結構正面臨著一次變革,會出現多種結構並存互動的局面,但任何一種技術都不會成為主流而替代另一種。最後,只有為使用者實際需求服務的技術,才是能在變革中生存下來的技術。

  網路處理器與ASIC方案,哪種更適合千兆防火牆的應用,是目前爭論的一個熱點。使用者可以從效能、靈活性、功能完備性、成本、開發難度、技術成熟性等方面來進行比較。從效能上說,由於基於網路處理器的防火牆本質是基於軟體的解決方案,它在很大的程度上依賴於軟體設計的效能,而ASIC由於是將演算法固化在硬體中,因而在效能上有比較明顯的優勢。

  關於多功能ASIC架構有潛力

  目前國內銷售的基於ASIC技術的防火牆,已可達到4個千兆網口的全線速包轉寄速率。而一般基於網路處理器的防火牆在小包情況下,還不能完全做到2網口的千兆線速轉寄。

  反過來說,網路處理器的軟體色彩使它具有更好的靈活性,在升級維護方面有較大的優勢。純硬體的ASIC防火牆缺乏可程式化性,這使得它缺乏靈活性從而跟不上防火牆功能的快速發展。

  現代的ASIC技術通過增加ASIC晶片的可程式化性,使其與軟體更好地配合,從而同時滿足來自靈活性和運行效能的要求。從實現功能方面看,ASIC技術可以比較容易地整合IDS、VPN等功能,也有產品已經實現了內容過濾和防病毒功能。而網路處理器受限於它的計算能力,這些功能一般只能靠副處理器來實現。

  從今後產品的成本上看,一片網路處理器的價格在三、四百美金左右,如果需要副處理器,還要加上副處理器的成本。ASIC技術前期如果使用FPGA(Field Programmable Gate Arrays,現場可程式化門陣列)來實現,兩者價格大致相當。不過如果量產投片以後,ASIC的價格可以降低一個量級,因而從長遠來看ASIC技術更有潛力。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。