防火牆三大體系架構前景分析(轉)
賽迪顧問的統計分析顯示,2004年以來,防火牆市場依然保持了高速的增長,僅第2季度,防火牆市場在整個網路安全市場的份額高達40%以上。 在現有的x86、NP、ASIC架構的防火牆產品中,誰將成為市場的主流?三大架構防火牆產品的不同技術特點是什麼?[@more@] 工控機時代漸行漸遠 目前在國內的資訊保安市場上,防火牆多是基於Intel x86系列架構的產品,又被稱為工控機防火牆,其具有開發、設計門檻低,技術成熟等優點。 但是,缺陷也是顯而易見的,由於x86架構的硬體並非為了網路資料傳輸而設計,它對資料包的轉發效能相對較弱。並且由於國內安全廠商並不掌握x86架構的核心技術,其BIOS中存在著隱藏的漏洞,有可能影響防火牆的安全可靠性。而且工控機的產業鏈條非常複雜,國內廠商在其中能發揮的影響力很有限,不利於國內資訊保安產業的長期發展。 未來引領防火牆市場的會是哪一種技術,這是一直以來困擾業界的問題。隨著網路頻寬的增長和千兆網路在國內的大規模推廣應用,市場對基於高頻寬網路中安全裝置的需求也迅速增長。在未來的網路環境下,傳統的基於x86體系結構的工控機防火牆已不能滿足寬頻網路高吞吐量、低時延的要求,而網路處理器(Network Processor)和專用積體電路(ASIC)技術被認為是未來千兆防火牆的主要方向。 三大技術優勢互現 先來看基於ASIC技術的防火牆。採用ASIC技術可以為防火牆應用設計專門的資料包,是公認的滿足千兆環境骨幹級應用的技術方案。但ASIC技術開發成本高、開發週期長且難度大,而且ASIC技術在國外已經歷了10多年的發展,技術成熟、穩定,而國內廠商要採用ASIC技術難度卻很大。 NP(網路處理器)是專門為處理資料包而設計的可程式設計處理器,它具有完全的可程式設計性、簡單的程式設計模式、最大化系統靈活性、高處理能力、高度功能整合、開放的程式設計介面以及第三方支援能力。 這些特性使基於NP架構的防火牆與傳統防火牆相比,在效能上得到了很大的提高,同時又具有極佳的靈活擴充套件性。 NP技術可以支援程式設計,一旦有新的技術或者需求出現,資深設計師可以很方便地透過微碼程式設計實現。 對於特殊的使用者需求,基於NP的NetEye防火牆產品可以實現定製開發,即可以透過模組刪減來開發出滿足不同使用者的需求的產品。而用ASIC實現的情況下,由於對ASIC不可程式設計,因此根本無法對新的功能進行新增。 在新功能開發的時間上,按照業界的經驗數字,基於微碼的功能開發週期一般為6個月甚至更短,用ASIC實現的時間通常需要2~3年的時間。 NP,如何叫好又叫座? 2003年,國內廠商開始推出基於NP架構的防火牆,NP概念一下子火爆異常。但很快人們發現,NP平臺也並非坦途。由於受技術成熟因素和成本因素兩方面制約,國內已推出的NP防火牆產品或侷限於個別型號,或是乾脆停留在實驗階段,並沒有大規模進入主流市場。一時間,NP陷入了叫好不叫座的尷尬局面。 從產品特性上講,NP架構下的產品批次生產成本比x86架構要高,而NP的計算能力又比ASIC要低。這都是NP架構防火牆必須面對的問題,但NP防火牆具有更高的整合度,並以分散式的儲存系統,能夠勝任高頻寬的線速處理。 千兆防火牆:ASIC略勝一籌 以千兆防火牆為例,採用ASIC技術可以為防火牆應用設計專門的資料包處理流水線,最佳化儲存器等資源的利用,是公認的使防火牆達到線速千兆,滿足千兆環境骨幹級應用的技術方案。但ASIC技術開發成本高、開發週期長且難度大,一般的防火牆廠商難以具備相應的技術和資金實力。 網路處理器(NP)是專門為處理資料包而設計的可程式設計處理器,它的特點是內含了多個資料處理引擎,這些引擎可以併發進行資料處理工作,在處理2到4層的分組資料上比通用處理器具有明顯的優勢,能夠直接完成網路資料處理的一般性任務。硬體體系結構大多采用高速的介面技術和匯流排規範,具有較高的I/O能力,包處理能力得到了很大提升。 從效能的角度分析,基於Intel x86架構的千兆防火牆,由於受CPU處理能力和PCI匯流排速度的制約,效能和功能不能達到網路安全和網路效能間的統一。 從功能的角度分析,基於通用處理器的x86架構上開發的防火牆,功能強大,可擴充性非常好;基於ASIC的防火牆雖然在效能上非常強大,但是在功能性、靈活性和可擴充性等方面就差很多了。 因基於ASIC的防火牆開發難度大、週期長、產品靈活性差等原因,不適合技術和資金積累較薄弱的國內廠商發展。所以,隨著NP技術的成熟和發展,開發基於NP的網路安全產品成為國內廠商的首選。 只是此消彼漲,不是誰消滅誰 基於網路處理器架構的防火牆與基於通用CPU架構的防火牆相比,在效能上可以得到很大的提高。基於NP的防火牆可以集x86架構防火牆的功能與ASIC防火牆的效能於一身。網路處理器能彌補通用CPU架構效能的不足,同時又不需要具備開發基於ASIC技術的防火牆所需要的大量資金和技術積累,最近在國內資訊保安廠商中備受關注,成為國內廠商實現高階千兆防火牆的熱門選擇。因此,在高階千兆市場,基於NP的防火牆將是重要的趨勢。 但是,這種趨勢是此消彼長的關係,不是誰消滅誰的關係,這三種防火牆在市場上將長期保持共存的局面。未來,在低端千兆市場上,x86架構的防火牆將成為主流;在高階千兆市場上,基於NP的防火牆將佔有較大的市場分額。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10144097/viewspace-934668/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 全面分析防火牆及防火牆的滲透(轉)防火牆
- 防火牆、UTM產品硬體平臺架構詳細解析(轉)防火牆架構
- 構築Unix系統內防火牆體系的多種方案(轉)防火牆
- 軟體防火牆與硬體防火牆詳解防火牆
- 建立防火牆的主動性網路安全體系(轉)防火牆
- 硬體防火牆選購指南(轉載)防火牆
- 看不懂的硬體防火牆(轉)防火牆
- 簡單分析用SPI實現防火牆 (轉)防火牆
- 用Linux防火牆構建軟路由(轉)Linux防火牆路由
- 選用單防火牆DMZ還是雙防火牆DMZ(轉)防火牆
- 建立防火牆的主動性網路安全防護體系(轉)防火牆
- Juniper防火牆簡介(轉)防火牆
- 防火牆介紹(1)(轉)防火牆
- 防火牆介紹(2)(轉)防火牆
- 動態 iptables 防火牆(轉)防火牆
- NAT iptables防火牆(script)(轉)防火牆
- 防火牆埠(下)(轉載)防火牆
- 防火牆埠(中)(轉載)防火牆
- 防火牆埠(上)(轉載)防火牆
- 防火牆軟體:Snail for mac防火牆AIMac
- 八種防火牆產品評測(企業級防火牆)(轉)防火牆
- XP系統故障 都是“防火牆”惹的禍(轉)防火牆
- WAb防火牆與傳統防火牆防火牆
- 防火牆軟體Netfilter之NAT技術(轉)防火牆Filter
- FreeBSD防火牆技術(轉)防火牆
- 深入淺出談防火牆(轉)防火牆
- 動態iptables防火牆dynfw(轉)防火牆
- 輕輕鬆鬆穿透防火牆(轉)穿透防火牆
- 防火牆防火牆
- 使用 FirewallD 構建動態防火牆防火牆
- 防火牆的虛擬系統防火牆
- 恆訊科技分析:什麼是vps防火牆?如何設定vps防火牆?防火牆
- 大型網站架構之:MySpace的體系架構一(轉載)網站架構
- 大型網站架構之:MySpace的體系架構二(轉載)網站架構
- 開源的firewall(防火牆) SINUS (轉)防火牆
- 淺析Windows防火牆的缺陷(轉)Windows防火牆
- Linux防火牆程式設計(轉)Linux防火牆程式設計
- 用FWTK配置Linux防火牆(轉)Linux防火牆