防火牆NP架構綜述

2021-09-04 13:14:00 字數 2226 閱讀 8895

如果我們回顧一下近期網路安全領域出境率最高的詞彙,np一定榜上有名。np是網路處理器(net processor)的簡稱,顧名思義,np是專門設計用於網路封包處理的一種處理器,做為被業內普遍推崇的一種革命性技術,np至今尚未能達到人們預期的應用水平;做為np技術的主要目標客戶群,通訊廠商們的態度正由熱捧回歸冷靜,而在網路安全裝置特別是硬體防火牆市場上,np的應用卻正呈現出一片欣欣向榮的景象,繼2023年4月中科網威發布了國內首款基於np架構的硬體防火牆之後,國內的大部分重量級防火牆廠商紛紛推出了自己的np架構防火牆產品,而做為佔據國內防火牆市場頭把交椅的東軟,更是將自己的主力產品全部轉向np平台。

為了能夠透徹的了解np在防火牆領域造成的這種強大的衝擊效應,我們需要先來回顧一下防火牆硬體平台的基本情狀。在過去的幾年時間裡,市場上硬體防火牆產品通常都基於兩種架構:aisc(專用積體電路)和以x86為代表的通用處理器。可以說,aisc是硬體防火牆領域無可爭議的主流技術,因為利用這種硬體架構可以獲得相當高的效能和穩定性,全球最主要的硬體防火牆產品**商netscreen就一直推崇以aisc晶元為核心的高效能硬體防火牆,但aisc技術也在某種程度上存在著設計周期長、開發成本高的問題,所以並不是所有廠商都能在這種平台上發展出完善的產品;相應的,基於通用處理器進行產品研發的門檻相比aisc要低的多,所以在百兆防火牆做為主流的時期,這種解決方案受到很多廠商的歡迎,但利用通用處理器平台實現防火牆產品同樣存在著不可迴避的缺陷,那就是通用處理器並非為特定任務設計,在實現同樣功能的前提下,其資源耗費要遠高於aisc,這也導致了在現今資料量不斷膨脹的網路環境中,基於這種硬體平台的防火牆產品在效能方面受到的挑戰越來越大。現今百兆防火牆正逐漸失去主導地位,特別是在主幹網部分,千兆網的應用需求成長迅速。基礎環境的變化,成為了擺在防火牆廠商面前的主要難題,特別是國內的防火牆廠商,大部分都是以x86通用處理器平台做為自己產品的硬體平台,繼續在這種架構上發展自己的產品,已經無法滿足效能方面的要求,雖然很多廠商都宣稱可以生產千兆級產品,但其實僅僅是能夠達到千兆的傳輸速率而已,實際的應用效果大都不甚理想,包處理率等指標無法達到令人滿意的程度;而且不象已經有多年技術積累的頂級品牌,大多數硬體防火牆**商沒有足夠的資源在aisc架構上進行產品開發,也沒有足夠的能力壓低成本與大廠抗衡,所以在面對千兆防火牆這一巨大市場時,在設計上兼顧效能與靈活性的np技術被視為搶占千兆防火牆市場的重要契機而被寄予厚望就不難被人理解了。

在了解了np架構的特點之後,大家可能都在思索,在硬體防火牆市場np技術到底會起到怎樣的作用呢?國內的防火牆廠商紛紛將自己的研發力量投入到np架構之上,主要的原因就是想借np突破通用處理器在效能上的瓶頸,進而促成和採用aisc的一線廠商直接對話的局面;因為在低端的百兆防火牆市場,各個廠商之間的差距已經越來越小,基本已經開始進入微利階段,如何在千兆防火牆領域佔據有利位置,對於硬體防火牆廠商來說無疑已成為生死攸關的問題。

從目前的情況來看,np所展現給我們的前景還是相當美好的,但這並不代表加入np陣營的防火牆廠商就得到了致勝之鑰,np在硬體防火牆領域的應用並非一片坦途。以intel網路處理器產品為例,其結構設計反應了當今最主流的np技術內容,其資料處理能力確實足以勝任千兆網的資料傳輸負荷,但主要的效能提公升仍集中於網路封包的處理,如資料校驗、路由匹配等,完成常見網路裝置的職責非常出色,但是對於更加複雜的資料應用,例如資料報重組和加密處理等,其表現就往往不那麼搶眼了;我們知道,防火牆產品並不是用來進行資料報**的,更重要的是需要其對資料進行判斷和處理,尤其是現在防火牆功能的不斷擴充套件,對處理效能的要求也在快速增長,單純提公升基本資料處理能力,尚無法保證np能滿足硬體防火牆的要求,intel的產品主要著眼於資料處理和控制方面,在功能管理層面支援相對不足,之所以有眾多廠商仍選擇以intel的網路處理器發展硬體防火牆產品,可能是希望利用原有的產品技術積累,因為很多廠商的產品是在x86通用處理器架構上以bsd和linux做為軟體平台開發而成的。為了應對上述這種局面,np**商也在不斷優化自己的解決方案,希望在利用np優秀網路資料處理能力的同時,可以滿足更高層次的應用要求,sibyte推出的np產品,基於mips處理器,在固守通用處理器開發優勢的同時,力爭提供媲美aisc的效能表現,還有一些廠商推出了融合aisc技術和np概念的產品,為硬體防火牆等網路裝置的開發提供了豐富的選擇。

我們認為,np架構的防火牆雖然有廣闊的發展天地,但還遠未達到顛覆aisc架構的程度,因為np技術畢竟才經過幾年時間的發展,各方面的積累相對薄弱,而aisc技術也仍未停止發展的腳步,正努力改善其難於開發的現狀。目前在千兆防火牆市場,aisc仍處於領先地位,np架構的應用確實能以相對較低的投入在較短時間內發展出逼近aisc架構的產品,但同時也需要提醒廠商,認真選擇適合自身需求的np產品,以充分發揮np架構的優勢。

防火牆NP架構綜述

如果我們回顧一下近期網路安全領域出境率最高的詞彙,np一定榜上有名。np是網路處理器 net processor 的簡稱,顧名思義,np是專門設計用於網路封包處理的一種處理器,做為被業內普遍推崇的一種革命性技術,np至今尚未能達到人們預期的應用水平 做為np技術的主要目標客戶群,通訊廠商們的態度正由...

防火牆 防火牆安全

作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...

防火牆系列(一) 何為防火牆

簡單解釋下內聯網路和外聯網路 內聯網路類似於區域網是指某個企業或者單位內部互動的網路,外聯網路就是外部的internet 部署在使用者內聯網路和外聯網路之間的一道屏障,一切內外聯網路交換的資料都應該通過防火牆裝置。以預先定義好的安全規則為標準,防火牆將對通過他的資料進行安全監測,符合安全規則的資料流...