10年网络安全变迁 网神全线多核产品五大超越

    9月25日，伴随神七成功上天，网御神州发布了全线多核FW/UTM产品，开启了网络安全产品的多核新时代。全线多核产品在性能、稳定行、易升级等方面相对于传统的X86单核、ASIC、NP产品，有了突破性的超越。

    让我们在网络安全产品的10年变迁中感受多核一统天下的必然。

    1998年，状态检测防火墙出现并兴起

    以PowerPC为代表的SOC平台，以其低功耗、高稳定性、低成本和强大数据处理能力逐渐被国外厂商用来做为防火墙平台，最为典型的是CISCO的PIX防火墙，这些厂商的产品占据着国内的主要市场。

    而此时，以工控机为代表的通用架构平台以其强大的运算能力开始大显身手。

    由于编程灵活性高、开发门槛低、软件易移植等通用平台特有优势，逐渐成为国内安全厂商的主要安全产品平台。借助于X86通用平台，国内安全厂商打破了以CISCO为代表的国际厂商用嵌入式平台一统防火墙市场的局面

    2001年开始，网络基础设施建设增速，千兆高端防火墙产品吞吐量瓶颈出现，安全产品“百家争鸣”

    通用架构防火墙遭遇性能瓶颈

    虽然通用架构防火墙在第一轮的发展中突飞猛进，但在网络规模不断升级的背景下，其处理性能的不足限制了其在中高端市场的发展。因为X86平台的硬件架构限制和处理逻辑注定了较低的网络吞吐量。一方面，32位的PCI共享式总线大大限制了内部的交换带宽，另一方面，数据从网卡到CPU之间的传输机制是靠“中断”机制来实现的，中断机制导致在有大量数据包的需要处理的情况下，数据转发性能完全依赖于CPU的中断处理能力，而单核架构下只有一个CPU，中断处理能力很有限。

    国外安全厂商借助ASIC架构防火墙产品，力图一统高端市场

    以JUNIPER为代表国外网络安全公司纷纷将ASIC架构安全产品引入国内。ASIC架构的安全产品从架构上改进了中断机制，数据从网卡收到以后，不经过主CPU处理，而是经过集成在系统中的ASIC芯片直接处理，由这些芯片来完成路由、NAT、防火墙规则匹配等网络层数据处理的功能。因此，其性能得到了大幅度的提升:吞吐可以达到64Bytes小包线速。

    但问题是，这种防火墙在设计时，就必须将安全功能固化进ASIC芯片中，所以它的灵活性不够，如果想要增添新的功能或进行系统升级，开发周期较长，对技术的要求也很高，几乎没有国内安全厂商能够做到。

    国内安全厂商看到NP在路由/交换领域的成功，扎堆投入精兵强将进行研发，试图与国外厂商在高端市场一决高下

    NP架构实现的原理和ASIC类似，但升级、维护远远好于ASIC架构。NP架构内部有多核网络处理引擎，并行处理来自网口的数据，再辅以多个硬件加速协处理器完成查表等复杂操作，其在数据转发性能方面毫不孙色于ASIC。同时，通过专门的指令集（微码）和配套的软件开发系统提供较强的编程能力，因而相对ASIC，容易开发新的应用。

【我要评论】

【大 中 小】 【打印】