防火墻三大體系構(gòu)架你該如何選擇

防火墻作為整個(gè)安全體系中最基礎(chǔ)的保護(hù)環(huán)節(jié)，其重要性自然不言而喻，但由于硬件防火墻所采用的體系構(gòu)架不同，其產(chǎn)品的市場(chǎng)定位和服務(wù)對(duì)象也是不同的。X86、NP以及ASIC基于這三類體系構(gòu)架的防火墻該如何選擇呢?下文講給你進(jìn)行解答。
    一 基于X86體系構(gòu)架的防火墻
    X86架構(gòu)采用通用CPU和PCI總線接口，具有很高的靈活性和可擴(kuò)展性，過(guò)去一直是防火墻開(kāi)發(fā)的主要平臺(tái)。其產(chǎn)品功能主要由軟件實(shí)現(xiàn)，可以根據(jù)用戶的實(shí)際需要而做相應(yīng)調(diào)整，增加或減少功能模塊，產(chǎn)品比較靈活，功能十分豐富。由于出現(xiàn)的時(shí)間較長(zhǎng)，現(xiàn)在已屬于入門(mén)級(jí)的構(gòu)架，這里入門(mén)既是對(duì)廠家的，也是對(duì)用戶的。對(duì)于廠家來(lái)說(shuō)，X86體系構(gòu)架的防火墻是開(kāi)發(fā)門(mén)檻比較低，所以國(guó)內(nèi)大多數(shù)防火墻廠家都會(huì)有X86的防火墻產(chǎn)品。但是，由于X86本質(zhì)上是一個(gè)通用CPU，沒(méi)有對(duì)網(wǎng)絡(luò)或者安全進(jìn)行特殊處理，所以對(duì)用戶來(lái)說(shuō)，其性能不足，做到百兆線速還可以，千兆的時(shí)候就會(huì)有點(diǎn)吃力，現(xiàn)在的萬(wàn)兆更是望而興嘆。當(dāng)然，正是由于這個(gè)構(gòu)架出現(xiàn)的較早，其在很多安全廠商手里經(jīng)過(guò)多年的錘煉，穩(wěn)定性是非常出色，如果你是對(duì)性能要求不高，又對(duì)價(jià)格比較敏感的普通用戶，那么X86構(gòu)架的防火墻還是可以選擇的。
    二 基于NP體系構(gòu)架的防火墻
    隨著IP網(wǎng)絡(luò)的快速發(fā)展，路由器交換機(jī)逐漸從百兆走到了千兆甚至是萬(wàn)兆，對(duì)防火墻的轉(zhuǎn)發(fā)性能和延遲有了更高要求。這種情況下，NP技術(shù)加入到安全領(lǐng)域，成為較高性能防火墻技術(shù)的象征。
    NP通過(guò)專門(mén)的指令集和配套的軟件開(kāi)發(fā)系統(tǒng)，提供強(qiáng)大的編程能力，因而便于開(kāi)發(fā)應(yīng)用，支持可擴(kuò)展的服務(wù)，而且研制周期短，成本較低。
    NP網(wǎng)絡(luò)加速能力非常好，這是它的專長(zhǎng)。但是NP弱點(diǎn)也非常明顯， NP這個(gè)技術(shù)從初始設(shè)計(jì)目的上，是針對(duì)路由器進(jìn)行加速的，它擁有非常好的3層轉(zhuǎn)發(fā)加速能力，但是在4-7層的數(shù)據(jù)處理上，對(duì)安全處理上，沒(méi)有過(guò)多考慮。所以現(xiàn)在的多數(shù)NP構(gòu)架的防火墻，主要還要外掛一個(gè)高性能CPU進(jìn)行4-7層處理，這一方面增大了系統(tǒng)成本，另一方面，在實(shí)際網(wǎng)絡(luò)環(huán)境下，在比較強(qiáng)的攻擊情況下，這種體系構(gòu)架的NP性能會(huì)明顯下降。盡管如此，NP構(gòu)架的防火墻開(kāi)發(fā)難度和先期投入相對(duì)較小，我們國(guó)內(nèi)的很多安全廠家都選擇了NP構(gòu)架防火墻路線。在安全策略不太復(fù)雜的情況下，NP防火墻做到千兆線速是不成問(wèn)題，所以對(duì)于一些都網(wǎng)絡(luò)安全有一定要求的中小企業(yè)來(lái)說(shuō)，選擇NP防火墻是的選擇，既能兼顧性能還能節(jié)約成本。
    三 基于ASIC體系構(gòu)架的防火墻
    ASIC防火墻通過(guò)專門(mén)設(shè)計(jì)的ASIC芯片邏輯進(jìn)行硬件加速處理。ASIC通過(guò)把指令或計(jì)算邏輯固化到芯片中，獲得了很高的處理能力，因而明顯提升了防火墻的性能。ASIC是專用加速芯片，這就如同一張白紙，完全按照設(shè)計(jì)者的目的去設(shè)計(jì)硬件電路，優(yōu)化相應(yīng)的功能模塊，然后固化完成ASIC。這種功能專一和完全硬件電路處理，ASIC不會(huì)出現(xiàn)NP這種非通用加速芯片的性能問(wèn)題，特別是在安全策略復(fù)雜，網(wǎng)絡(luò)攻擊頻繁的情況下，性能不會(huì)下降。但是ASIC也有其弱點(diǎn)，不可編程靈活性非常低。特別是研發(fā)一款A(yù)SIC的前期投入費(fèi)用非常的大，開(kāi)發(fā)周期，技術(shù)實(shí)力都遠(yuǎn)遠(yuǎn)超過(guò)NP。這也是為什么全世界防火墻廠家，也就幾個(gè)大公司才有自己的專用ASIC，其他的小防火墻公司更多是直接購(gòu)買(mǎi)別人的ASIC芯片和知識(shí)產(chǎn)權(quán)。這種情況下，一旦ASIC發(fā)現(xiàn)設(shè)計(jì)缺陷，或者用戶有了新需求而必須修改的話，但這種前期的NRE就等于打了水漂了。這點(diǎn)來(lái)說(shuō)，NP對(duì)于設(shè)備制造商來(lái)說(shuō)，開(kāi)發(fā)風(fēng)險(xiǎn)和難度會(huì)小的多。
    隨著可編程ASIC的出現(xiàn)，ASIC的弱點(diǎn)也幾乎消失。雖然它本質(zhì)上還是ASIC，擁有和ASIC幾乎相同的特性，但是它又不是完全固化的，它只是固化了設(shè)計(jì)者認(rèn)為不需要修改的處理單元——如內(nèi)存控制器、MAC單元、交換單元等，內(nèi)部預(yù)留了很多的可編程模塊，可以根據(jù)實(shí)際情況按需改進(jìn)。這點(diǎn)上來(lái)說(shuō)，它實(shí)際擁有了NP的最重要特性——靈活可變。雖然可編程ASIC芯片依舊對(duì)開(kāi)發(fā)者要求很高，需要大投入長(zhǎng)周期。但是一旦完成開(kāi)發(fā)后，成本都可以得到比較好的控制，價(jià)格幾乎和ASIC沒(méi)有太多差別。因此選擇可編程的ASIC防火墻是選擇，當(dāng)然，昂貴的價(jià)格也注定其只能為電信級(jí)的大型企業(yè)來(lái)服務(wù)，但如果你的網(wǎng)絡(luò)攻擊太過(guò)復(fù)雜，那么使用基于ASIC的產(chǎn)品也是你的選擇。
    通過(guò)上面的介紹相信你對(duì)該如何選則防火墻已經(jīng)有了一定得了解，隨著技術(shù)的不斷發(fā)展，新技術(shù)的不斷涌現(xiàn)，以及更高速度級(jí)的網(wǎng)絡(luò)設(shè)備的出現(xiàn)，ASIC構(gòu)架的產(chǎn)品也會(huì)越來(lái)越普遍。而新的構(gòu)架也可能很快會(huì)出現(xiàn)，使得網(wǎng)絡(luò)環(huán)境更加安全。