千兆防火墻技術名詞陷阱

申請免費試用、咨詢電話：400-8352-114

2003年國內(nèi)廠商紛紛推出基于NP或ASIC架構的千兆防火墻系統(tǒng)，而用戶面對“線速千兆”、“自主研發(fā)”、“純硬件”、“NP”、“ASIC”等大量字眼極其困惑。是否國內(nèi)大部分廠商都擁有自主研發(fā)基于NP或設計ASIC芯片的能力？是否采用了NP或ASIC架構就一定帶來高性能？什么樣的可以被叫做線速千兆防火墻系統(tǒng)，衡量標準是什么？

陷阱一：千兆線速

性能對于千兆防火墻而言是很重要的一個指標，但是大量廠商均號稱自己的千兆防火墻為“千兆線速”，因此對于用戶而言很難從本質(zhì)上了解千兆防火墻的性能指標，而僅僅通過并發(fā)連接數(shù)等指標考察產(chǎn)品性能，其實這是一個很大的誤區(qū)。

吞吐量測試數(shù)據(jù)、丟包率測試數(shù)據(jù)和延遲測試數(shù)據(jù)才是衡量一個千兆防火墻性能的指標參數(shù)。以太網(wǎng)吞吐量最大理論值稱為線速，即指網(wǎng)絡設備有足夠的能力以全速處理最小的數(shù)據(jù)封包轉(zhuǎn)發(fā)。因此一個千兆防火墻系統(tǒng)要達到千兆線速，必須在全速處理最小的數(shù)據(jù)封包（64字節(jié)）轉(zhuǎn)發(fā)時可達到100%吞吐率。

然而目前還沒有一款千兆防火墻在64字節(jié)幀長時可以達到100%的吞吐率（最好的測試數(shù)據(jù)僅為72%）。因此號稱“千兆線速”的防火墻也僅僅是在幀長為128字節(jié)時可能達到100%，然而根據(jù)RFC定義，這樣的設備并不能稱為“線速”。

因此用戶在選購千兆防火墻設備時，不要被廠商的市場宣傳字眼迷惑，考慮性能時必須從吞吐量、延遲、丟包率等數(shù)據(jù)確定產(chǎn)品的性能。

陷阱二：“基于NP或ASIC結構”

一些網(wǎng)絡安全廠商在市場宣傳上大幅度強調(diào)采用了NP或ASIC架構，然而對于用戶而言，采用何種結構并不是關鍵點，如果采用NP架構設計的千兆防火墻在性能上同Intel X86架構的千兆防火墻一樣，那么對于用戶而言就沒有任何的價值可取。

無論采用哪種結構（Intel X86、NP、ASIC），只是在數(shù)據(jù)處理方式方面有所不同，并不能確定采用了NP或者ASIC設計的千兆防火墻在性能上就一定優(yōu)越于通用CPU結構的千兆防火墻。就拿NP架構的千兆防火墻而言，必須在微碼的優(yōu)化、中間判斷環(huán)節(jié)的減少、策略決策模塊同執(zhí)行模塊的分離上面進行技術優(yōu)化，這樣設計出來的千兆防火墻在性能上才能很大程度地優(yōu)于通用CPU架構的防火墻系統(tǒng)。例如國內(nèi)的清華紫光比威自主研發(fā)的雙NP架構千兆防火墻系統(tǒng)，通過兩片網(wǎng)絡處理器協(xié)同工作，使性能在64字節(jié)時吞吐率可達80%左右。

背景資料：千兆防火墻的硬件實現(xiàn)技術主要有三種：Intel X86架構工控機、ASIC硬件加速技術和NP加速技術。

Intel X86架構 曾經(jīng)以其高靈活性和擴展性在百兆防火墻上獲得過巨大的成功，然而對于千兆網(wǎng)來說，X86架構的CPU由于考慮了各種應用的需要，具有一般化的通用體系結構和指令集，以求支持復雜的運算并容易開發(fā)新的功能，所以其處理速度相對較慢，很難滿足千兆網(wǎng)絡對于高線速的需求。

ASIC架構 通過把指令或計算邏輯固化到硬件中，可以獲得很高的處理能力。但是ASIC將指令或計算邏輯固化到了硬件中，缺乏靈活性，也不便于修改和升級；深層次包分析（L4+）增加ASIC的復雜度；ASIC的開發(fā)周期長，典型設計周期18個月；ASIC設計費用昂貴且風險較大。

NP（網(wǎng)絡處理器）采用微碼編程，是專門為進行網(wǎng)絡分組處理而開發(fā)的，具有優(yōu)化的體系結構和指令集，所以比X86 CPU具備更高的處理性能；而且NP有專門的指令集和配套的軟件開發(fā)系統(tǒng)，具有很強的編程能力，能夠方便地開發(fā)各種應用，支持可擴展的服務，因而比ASIC更具靈活性。

來源：每周電腦報