隨著網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)威脅日益嚴(yán)峻,目前各大安全廠商都推出了多核心防火墻,采用多核芯片,終結(jié)了x86、NP和ASIC一統(tǒng)天下的時(shí)代,終結(jié) 了高功耗、低穩(wěn)定性的時(shí)代,并且提供了全面的應(yīng)用安全解決方案。
多核心技術(shù)真正實(shí)現(xiàn)了千兆的小包吞吐量,相對(duì)于以往的X86、ASIC、NP技術(shù),有了革命性的進(jìn)步。先從以往的這些架構(gòu)的優(yōu)缺點(diǎn)講起:
國(guó)內(nèi)多數(shù)安全廠商的產(chǎn)品基于傳統(tǒng)的X86架構(gòu)防火墻,從總線速度來(lái)看基于32位PCI總線的X86平臺(tái),做為百兆防火墻的方案是沒(méi)有任何問(wèn) 題的。但X86平臺(tái)的防火墻方案,數(shù)據(jù)從網(wǎng)卡到CPU之間的傳輸機(jī)制是靠“中斷”來(lái)實(shí)現(xiàn)的,中斷機(jī)制導(dǎo)致在有大量數(shù)據(jù)包的需要處理的情況下(如:64 Bytes的小包,以下簡(jiǎn)稱小包),X86平臺(tái)的防火墻吞吐速率不高,大概在30%左右,并且CPU占用會(huì)很高。這是所有基于X86平臺(tái)的防火墻所共同存 在的問(wèn)題。
因此,基于32位PCI總線的X86平臺(tái)是不能做為千兆防火墻使用的問(wèn)題,Intel提出了解決方案,可以把32位的PCI總線升級(jí)到了 PCI-E ,即:PCI-Express,這樣,PCI-E 4X的總線的速度就可以達(dá)到 2000MB Bytes/S,即:16Gbits/S,并且PCI-E各個(gè)PCI設(shè)備之間互相獨(dú)立不共享總線帶寬,每個(gè)基于PCI-E的網(wǎng)口可以使用的帶寬 為:2000MB Bytes/S,即:16Gbits/S,所以基于PCI-E 4X的X86從系統(tǒng)帶寬上來(lái)說(shuō),做為千兆防火墻是沒(méi)有任何問(wèn)題的。但是,基于PCI-E的防火墻數(shù)據(jù)從網(wǎng)卡到CPU之間傳輸同樣使用“中斷”機(jī)制來(lái)傳輸數(shù) 據(jù),所以小包(64 Bytes)的通過(guò)率仍然為:30-40%.
X86平臺(tái)的防火墻其最大的缺點(diǎn)就是小包通速率低,只有30%-40%,造成這個(gè)問(wèn)題的主要原因是因?yàn)閄86平臺(tái)的中斷機(jī)制以及X86平臺(tái) 的防火墻所有數(shù)據(jù)都要經(jīng)過(guò)主CPU處理?;贏SIC架構(gòu)的防火墻從架構(gòu)上改進(jìn)了中斷機(jī)制,數(shù)據(jù)從網(wǎng)卡收到以后,不經(jīng)過(guò)主CPU處理,而是經(jīng)過(guò)集成在系統(tǒng) 中的一些芯片直接處理,由這些芯片來(lái)完成傳統(tǒng)防火墻的功能,如:路由、NAT、防火墻規(guī)則匹配等。這樣數(shù)據(jù)不經(jīng)過(guò)主CPU處理,不使用中斷機(jī)制。
但隨之而來(lái)的問(wèn)題是,ASIC架構(gòu)的防火墻是芯片一級(jí)的,所有的防火墻動(dòng)作由芯片來(lái)處理。這些芯片的功能比較單一,要升級(jí)維護(hù)的開(kāi)發(fā)周期比 較長(zhǎng)。無(wú)法在芯片一級(jí)完成垃圾郵件過(guò)濾、網(wǎng)絡(luò)監(jiān)控、病毒防護(hù)等比較復(fù)雜的功能,所以說(shuō),ASIC架構(gòu)用來(lái)做功能簡(jiǎn)單的防火墻,是完全適用的,64 Bytes的小包都可以達(dá)到線速。但是在擴(kuò)展上通用CPU也是無(wú)法和專門的嵌入式CPU比較,并且在總線帶寬上也無(wú)法承載太多的內(nèi)部處理數(shù)據(jù)傳輸 (Multi-core多核處理器內(nèi)部是通過(guò)高速總線或者交叉矩陣式連接的)。
NP架構(gòu)實(shí)現(xiàn)的原理和ASIC類似,但升級(jí)、維護(hù)遠(yuǎn)遠(yuǎn)好于ASIC 架構(gòu)。NP架構(gòu)在的每一個(gè)網(wǎng)口上都有一個(gè)網(wǎng)絡(luò)處理器,即:NPE,用來(lái)處理來(lái)自網(wǎng)口的數(shù)據(jù)。每個(gè)網(wǎng)絡(luò)處理器上所運(yùn)行的程序使用微碼編程,其軟件實(shí)現(xiàn)的難度 比較大,開(kāi)發(fā)周期比ASIC短,但比X86長(zhǎng)。
采用多核處理器,是在同一個(gè)硅晶片上集成了多個(gè)獨(dú)立物理核心,每個(gè)核心都具有獨(dú)立的邏輯結(jié)構(gòu),包括緩存、執(zhí)行單元、指令級(jí)單元和總線接口等邏輯單元,通過(guò) 高速總線、內(nèi)存共享進(jìn)行通信。在實(shí)際工作中,每個(gè)核心都可以達(dá)到1Ghz的主頻,而且可以在非常節(jié)能的方式下運(yùn)行。
有的多核產(chǎn)品支持500萬(wàn)并發(fā)會(huì)話64Byte吞吐量達(dá)到3G,256Byte以上吞吐達(dá)到8G,VPN吞吐達(dá)到8G,支持3萬(wàn)VPN通 道,支持5萬(wàn)Policy。每秒新建TCP會(huì)話超過(guò)20萬(wàn),每秒處理UDP會(huì)話超過(guò)50萬(wàn)。在每秒創(chuàng)建5000TCP會(huì)話作為背景流量,可以檢測(cè)并防御 80萬(wàn)包/每秒以上的SYN-FLOOD攻擊,更是達(dá)到了萬(wàn)兆線速。一系列的性能測(cè)試結(jié)果足以傲視眾多安全平臺(tái)。