亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

防火墻x86、NP、ASIC和多核架構比較
2010-02-07   網絡

隨著網絡的發(fā)展,網絡威脅日益嚴峻,目前各大安全廠商都推出了多核心防火墻,采用多核芯片,終結了x86、NP和ASIC一統(tǒng)天下的時代,終結 了高功耗、低穩(wěn)定性的時代,并且提供了全面的應用安全解決方案。

        多核心技術真正實現(xiàn)了千兆的小包吞吐量,相對于以往的X86、ASIC、NP技術,有了革命性的進步。先從以往的這些架構的優(yōu)缺點講起:
  國內多數(shù)安全廠商的產品基于傳統(tǒng)的X86架構防火墻,從總線速度來看基于32位PCI總線的X86平臺,做為百兆防火墻的方案是沒有任何問 題的。但X86平臺的防火墻方案,數(shù)據(jù)從網卡到CPU之間的傳輸機制是靠“中斷”來實現(xiàn)的,中斷機制導致在有大量數(shù)據(jù)包的需要處理的情況下(如:64 Bytes的小包,以下簡稱小包),X86平臺的防火墻吞吐速率不高,大概在30%左右,并且CPU占用會很高。這是所有基于X86平臺的防火墻所共同存 在的問題。
  因此,基于32位PCI總線的X86平臺是不能做為千兆防火墻使用的問題,Intel提出了解決方案,可以把32位的PCI總線升級到了 PCI-E ,即:PCI-Express,這樣,PCI-E 4X的總線的速度就可以達到 2000MB Bytes/S,即:16Gbits/S,并且PCI-E各個PCI設備之間互相獨立不共享總線帶寬,每個基于PCI-E的網口可以使用的帶寬 為:2000MB Bytes/S,即:16Gbits/S,所以基于PCI-E 4X的X86從系統(tǒng)帶寬上來說,做為千兆防火墻是沒有任何問題的。但是,基于PCI-E的防火墻數(shù)據(jù)從網卡到CPU之間傳輸同樣使用“中斷”機制來傳輸數(shù) 據(jù),所以小包(64 Bytes)的通過率仍然為:30-40%.
  X86平臺的防火墻其最大的缺點就是小包通速率低,只有30%-40%,造成這個問題的主要原因是因為X86平臺的中斷機制以及X86平臺 的防火墻所有數(shù)據(jù)都要經過主CPU處理。基于ASIC架構的防火墻從架構上改進了中斷機制,數(shù)據(jù)從網卡收到以后,不經過主CPU處理,而是經過集成在系統(tǒng) 中的一些芯片直接處理,由這些芯片來完成傳統(tǒng)防火墻的功能,如:路由、NAT、防火墻規(guī)則匹配等。這樣數(shù)據(jù)不經過主CPU處理,不使用中斷機制。
  但隨之而來的問題是,ASIC架構的防火墻是芯片一級的,所有的防火墻動作由芯片來處理。這些芯片的功能比較單一,要升級維護的開發(fā)周期比 較長。無法在芯片一級完成垃圾郵件過濾、網絡監(jiān)控、病毒防護等比較復雜的功能,所以說,ASIC架構用來做功能簡單的防火墻,是完全適用的,64 Bytes的小包都可以達到線速。但是在擴展上通用CPU也是無法和專門的嵌入式CPU比較,并且在總線帶寬上也無法承載太多的內部處理數(shù)據(jù)傳輸 (Multi-core多核處理器內部是通過高速總線或者交叉矩陣式連接的)。
  NP架構實現(xiàn)的原理和ASIC類似,但升級、維護遠遠好于ASIC 架構。NP架構在的每一個網口上都有一個網絡處理器,即:NPE,用來處理來自網口的數(shù)據(jù)。每個網絡處理器上所運行的程序使用微碼編程,其軟件實現(xiàn)的難度 比較大,開發(fā)周期比ASIC短,但比X86長。
           采用多核處理器,是在同一個硅晶片上集成了多個獨立物理核心,每個核心都具有獨立的邏輯結構,包括緩存、執(zhí)行單元、指令級單元和總線接口等邏輯單元,通過 高速總線、內存共享進行通信。在實際工作中,每個核心都可以達到1Ghz的主頻,而且可以在非常節(jié)能的方式下運行。
  有的多核產品支持500萬并發(fā)會話64Byte吞吐量達到3G,256Byte以上吞吐達到8G,VPN吞吐達到8G,支持3萬VPN通 道,支持5萬Policy。每秒新建TCP會話超過20萬,每秒處理UDP會話超過50萬。在每秒創(chuàng)建5000TCP會話作為背景流量,可以檢測并防御 80萬包/每秒以上的SYN-FLOOD攻擊,更是達到了萬兆線速。一系列的性能測試結果足以傲視眾多安全平臺。

熱詞搜索:

上一篇:什么是虛擬化技術--虛擬化技術詳解
下一篇:防火墻PIX、NETSCREEN、ASA功能比較

分享到: 收藏