防火墙三大体系构架 你该选择哪一种

日期: 2008-10-16 作者:xiaohai 来源:TechTarget中国 英文

  防火墙作为整个安全体系中最基础的保护环节,其重要性自然不言而喻,但由于硬件防火墙所采用的体系构架不同,其产品的市场定位和服务对象也是不同的。X86、NP以及ASIC基于这三类体系构架的防火墙该如何选择呢?下文讲给你进行解答。

  一 基于X86体系构架的防火墙

  X86架构采用通用CPU和PCI总线接口,具有很高的灵活性和可扩展性,过去一直是防火墙开发的主要平台。其产品功能主要由软件实现,可以根据用户的实际需要而做相应调整,增加或减少功能模块,产品比较灵活,功能十分丰富。由于出现的时间较长,现在已属于入门级的构架,这里入门既是对厂家的,也是对用户的。对于厂家来说,X86体系构架的防火墙是开发门槛比较低,所以国内大多数防火墙厂家都会有X86的防火墙产品。但是,由于X86本质上是一个通用CPU,没有对网络或者安全进行特殊处理,所以对用户来说,其性能不足,做到百兆线速还可以,千兆的时候就会有点吃力,现在的万兆更是望而兴叹。当然,正是由于这个构架出现的较早,其在很多安全厂商手里经过多年的锤炼,稳定性是非常出色,如果你是对性能要求不高,又对价格比较敏感的普通用户,那么X86构架的防火墙还是可以选择的。

  二 基于NP体系构架的防火墙

  随着IP网络的快速发展,路由器交换机逐渐从百兆走到了千兆甚至是万兆,对防火墙的转发性能和延迟有了更高要求。这种情况下,NP技术加入到安全领域,成为较高性能防火墙技术的象征。

  NP通过专门的指令集和配套的软件开发系统,提供强大的编程能力,因而便于开发应用,支持可扩展的服务,而且研制周期短,成本较低。

  NP网络加速能力非常好,这是它的专长。但是NP弱点也非常明显, NP这个技术从初始设计目的上,是针对路由器进行加速的,它拥有非常好的3层转发加速能力,但是在4-7层的数据处理上,对安全处理上,没有过多考虑。所以现在的多数NP构架的防火墙,主要还要外挂一个高性能CPU进行4-7层处理,这一方面增大了系统成本,另一方面,在实际网络环境下,在比较强的攻击情况下,这种体系构架的NP性能会明显下降。尽管如此,NP构架的防火墙开发难度和先期投入相对较小,我们国内的很多安全厂家都选择了NP构架防火墙路线。在安全策略不太复杂的情况下,NP防火墙做到千兆线速是不成问题,所以对于一些都网络安全有一定要求的中小企业来说,选择NP防火墙是最佳的选择,既能兼顾性能还能节约成本。

  三 基于ASIC体系构架的防火墙

  ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中,获得了很高的处理能力,因而明显提升了防火墙的性能。ASIC是专用加速芯片,这就如同一张白纸,完全按照设计者的目的去设计硬件电路,优化相应的功能模块,然后固化完成ASIC。这种功能专一和完全硬件电路处理,ASIC不会出现NP这种非通用加速芯片的性能问题,特别是在安全策略复杂,网络攻击频繁的情况下,性能不会下降。但是ASIC也有其弱点,不可编程灵活性非常低。特别是研发一款ASIC的前期投入费用非常的大,开发周期,技术实力都远远超过NP。这也是为什么全世界防火墙厂家,也就几个大公司才有自己的专用ASIC,其他的小防火墙公司更多是直接购买别人的ASIC芯片和知识产权。这种情况下,一旦ASIC发现设计缺陷,或者用户有了新需求而必须修改的话,但这种前期的NRE就等于打了水漂了。这点来说,NP对于设备制造商来说,开发风险和难度会小的多。

  随着可编程ASIC的出现,ASIC的弱点也几乎消失。虽然它本质上还是ASIC,拥有和ASIC几乎相同的特性,但是它又不是完全固化的,它只是固化了设计者认为不需要修改的处理单元——如内存控制器、MAC单元、交换单元等,内部预留了很多的可编程模块,可以根据实际情况按需改进。这点上来说,它实际拥有了NP的最重要特性——灵活可变。虽然可编程ASIC芯片依旧对开发者要求很高,需要大投入长周期。但是一旦完成开发后,成本都可以得到比较好的控制,价格几乎和ASIC没有太多差别。因此选择可编程的ASIC防火墙是最佳选择,当然,昂贵的价格也注定其只能为电信级的大型企业来服务,但如果你的网络攻击太过复杂,那么使用基于ASIC的产品也是你的最佳选择。

  通过上面的介绍相信你对该如何选则防火墙已经有了一定得了解,随着技术的不断发展,新技术的不断涌现,以及更高速度级的网络设备的出现,ASIC构架的产品也会越来越普遍。而新的构架也可能很快会出现,使得网络环境更加安全。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • NSS实验室评估下一代防火墙

    根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]

  • 为什么单靠网络外围安全行不通?

    近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…

  • “外围”消亡 企业安全防护需要新形态

    外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。

  • 怎样正确地测试和维护防火墙?

    大多数企业认为防火墙是一种成熟的技术,且通常安全专家也不会过多考虑防火墙。在审计或评估防火墙时,企业通常只是简单地勾选表明防火墙在保护网络的选项就完事……