防火牆作爲整個安全體系中最基礎的保護環節,其重要性自然不言而喻,但由於硬件防火牆所採用的體系構架不同,其產品的市場定位和服務對象也是不同的。X86、NP以及ASIC基於這三類體系構架的防火牆該如何選擇呢?下文講給你進行解答。
一 基於X86體系構架的防火牆
X86架構採用通用CPU和PCI總線接口,具有很高的靈活性和可擴展性,過去一直是防火牆開發的主要平臺。其產品功能主要由軟件實現,可以根據用戶的實際需要而做相應調整,增加或減少功能模塊,產品比較靈活,功能十分豐富。由於出現的時間較長,現在已屬於入門級的構架,這裏入門既是對廠家的,也是對用戶的。對於廠家來說,X86體系構架的防火牆是開發門檻比較低,所以國內大多數防火牆廠家都會有X86的防火牆產品。但是,由於X86本質上是一個通用CPU,沒有對網絡或者安全進行特殊處理,所以對用戶來說,其性能不足,做到百兆線速還可以,千兆的時候就會有點吃力,現在的萬兆更是望而興嘆。當然,正是由於這個構架出現的較早,其在很多安全廠商手裏經過多年的錘鍊,穩定性是非常出色,如果你是對性能要求不高,又對價格比較敏感的普通用戶,那麼X86構架的防火牆還是可以選擇的。
二 基於NP體系構架的防火牆
隨着IP網絡的快速發展,路由器交換機逐漸從百兆走到了千兆甚至是萬兆,對防火牆的轉發性能和延遲有了更高要求。這種情況下,NP技術加入到安全領域,成爲較高性能防火牆技術的象徵。
NP通過專門的指令集和配套的軟件開發系統,提供強大的編程能力,因而便於開發應用,支持可擴展的服務,而且研製週期短,成本較低。
NP網絡加速能力非常好,這是它的專長。但是NP弱點也非常明顯, NP這個技術從初始設計目的上,是針對路由器進行加速的,它擁有非常好的3層轉發加速能力,但是在4-7層的數據處理上,對安全處理上,沒有過多考慮。所以現在的多數NP構架的防火牆,主要還要外掛一個高性能CPU進行4-7層處理,這一方面增大了系統成本,另一方面,在實際網絡環境下,在比較強的***情況下,這種體系構架的NP性能會明顯下降。儘管如此,NP構架的防火牆開發難度和先期投入相對較小,我們國內的很多安全廠家都選擇了NP構架防火牆路線。在安全策略不太複雜的情況下,NP防火牆做到千兆線速是不成問題,所以對於一些都網絡安全有一定要求的中小企業來說,選擇NP防火牆是最佳的選擇,既能兼顧性能還能節約成本。
三 基於ASIC體系構架的防火牆
ASIC防火牆通過專門設計的ASIC芯片邏輯進行硬件加速處理。ASIC通過把指令或計算邏輯固化到芯片中,獲得了很高的處理能力,因而明顯提升了防火牆的性能。ASIC是專用加速芯片,這就如同一張白紙,完全按照設計者的目的去設計硬件電路,優化相應的功能模塊,然後固化完成ASIC。這種功能專一和完全硬件電路處理,ASIC不會出現NP這種非通用加速芯片的性能問題,特別是在安全策略複雜,網絡***頻繁的情況下,性能不會下降。但是ASIC也有其弱點,不可編程靈活性非常低。特別是研發一款ASIC的前期投入費用非常的大,開發週期,技術實力都遠遠超過NP。這也是爲什麼全世界防火牆廠家,也就幾個大公司纔有自己的專用ASIC,其他的小防火牆公司更多是直接購買別人的ASIC芯片和知識產權。這種情況下,一旦ASIC發現設計缺陷,或者用戶有了新需求而必須修改的話,但這種前期的NRE就等於打了水漂了。這點來說,NP對於設備製造商來說,開發風險和難度會小的多。
隨着可編程ASIC的出現,ASIC的弱點也幾乎消失。雖然它本質上還是ASIC,擁有和ASIC幾乎相同的特性,但是它又不是完全固化的,它只是固化了設計者認爲不需要修改的處理單元——如內存控制器、MAC單元、交換單元等,內部預留了很多的可編程模塊,可以根據實際情況按需改進。這點上來說,它實際擁有了NP的最重要特性——靈活可變。雖然可編程ASIC芯片依舊對開發者要求很高,需要大投入長週期。但是一旦完成開發後,成本都可以得到比較好的控制,價格幾乎和ASIC沒有太多差別。因此選擇可編程的ASIC防火牆是最佳選擇,當然,昂貴的價格也註定其只能爲電信級的大型企業來服務,但如果你的網絡***太過複雜,那麼使用基於ASIC的產品也是你的最佳選擇。
通過上面的介紹相信你對該如何選則防火牆已經有了一定得了解,隨着技術的不斷髮展,新技術的不斷涌現,以及更高速度級的網絡設備的出現,ASIC構架的產品也會越來越普遍。而新的構架也可能很快會出現,使得網絡環境更加安全.