隨著網絡的發展,網絡威脅日益嚴峻,目前各大安全廠商都推出了多核心防火墻,采用多核芯片,終結了x86、NP和ASIC一統天下的時代,終結 了高功耗、低穩定性的時代,并且提供了全面的應用安全解決方案。
多核心技術真正實現了千兆的小包吞吐量,相對于以往的X86、ASIC、NP技術,有了革命性的進步。先從以往的這些架構的優缺點講起:
國內多數安全廠商的產品基于傳統的X86架構防火墻,從總線速度來看基于32位PCI總線的X86平臺,做為百兆防火墻的方案是沒有任何問 題的。但X86平臺的防火墻方案,數據從網卡到CPU之間的傳輸機制是靠“中斷”來實現的,中斷機制導致在有大量數據包的需要處理的情況下(如:64 Bytes的小包,以下簡稱小包),X86平臺的防火墻吞吐速率不高,大概在30%左右,并且CPU占用會很高。這是所有基于X86平臺的防火墻所共同存 在的問題。
因此,基于32位PCI總線的X86平臺是不能做為千兆防火墻使用的問題,Intel提出了解決方案,可以把32位的PCI總線升級到了 PCI-E ,即:PCI-Express,這樣,PCI-E 4X的總線的速度就可以達到 2000MB Bytes/S,即:16Gbits/S,并且PCI-E各個PCI設備之間互相獨立不共享總線帶寬,每個基于PCI-E的網口可以使用的帶寬 為:2000MB Bytes/S,即:16Gbits/S,所以基于PCI-E 4X的X86從系統帶寬上來說,做為千兆防火墻是沒有任何問題的。但是,基于PCI-E的防火墻數據從網卡到CPU之間傳輸同樣使用“中斷”機制來傳輸數 據,所以小包(64 Bytes)的通過率仍然為:30-40%.
X86平臺的防火墻其最大的缺點就是小包通速率低,只有30%-40%,造成這個問題的主要原因是因為X86平臺的中斷機制以及X86平臺 的防火墻所有數據都要經過主CPU處理。基于ASIC架構的防火墻從架構上改進了中斷機制,數據從網卡收到以后,不經過主CPU處理,而是經過集成在系統 中的一些芯片直接處理,由這些芯片來完成傳統防火墻的功能,如:路由、NAT、防火墻規則匹配等。這樣數據不經過主CPU處理,不使用中斷機制。
但隨之而來的問題是,ASIC架構的防火墻是芯片一級的,所有的防火墻動作由芯片來處理。這些芯片的功能比較單一,要升級維護的開發周期比 較長。無法在芯片一級完成垃圾郵件過濾、網絡監控、病毒防護等比較復雜的功能,所以說,ASIC架構用來做功能簡單的防火墻,是完全適用的,64 Bytes的小包都可以達到線速。但是在擴展上通用CPU也是無法和專門的嵌入式CPU比較,并且在總線帶寬上也無法承載太多的內部處理數據傳輸 (Multi-core多核處理器內部是通過高速總線或者交叉矩陣式連接的)。
NP架構實現的原理和ASIC類似,但升級、維護遠遠好于ASIC 架構。NP架構在的每一個網口上都有一個網絡處理器,即:NPE,用來處理來自網口的數據。每個網絡處理器上所運行的程序使用微碼編程,其軟件實現的難度 比較大,開發周期比ASIC短,但比X86長。
采用多核處理器,是在同一個硅晶片上集成了多個獨立物理核心,每個核心都具有獨立的邏輯結構,包括緩存、執行單元、指令級單元和總線接口等邏輯單元,通過 高速總線、內存共享進行通信。在實際工作中,每個核心都可以達到1Ghz的主頻,而且可以在非常節能的方式下運行。
有的多核產品支持500萬并發會話64Byte吞吐量達到3G,256Byte以上吞吐達到8G,VPN吞吐達到8G,支持3萬VPN通 道,支持5萬Policy。每秒新建TCP會話超過20萬,每秒處理UDP會話超過50萬。在每秒創建5000TCP會話作為背景流量,可以檢測并防御 80萬包/每秒以上的SYN-FLOOD攻擊,更是達到了萬兆線速。一系列的性能測試結果足以傲視眾多安全平臺。