口腔门诊建设网站,wordpress用户上传资源验证码,网站推广计划效果,如何自己写一个网页防火墙本身就是一台为网络而设计的计算机#xff0c;与通用计算机一样防火墙是由硬件和软件组成#xff0c;现今防火墙有着多种硬件技术架构#xff0c;不同的硬件架构有着各自不同的特点。先说明一下什么是处理器体系结构和体系架构。体 系 架 构 #xff1a;CPU架构是CPU…防火墙本身就是一台为网络而设计的计算机与通用计算机一样防火墙是由硬件和软件组成现今防火墙有着多种硬件技术架构不同的硬件架构有着各自不同的特点。先说明一下什么是处理器体系结构和体系架构。 体 系 架 构 CPU架构是CPU厂商给属于同一系列的CPU产品定的一个规范主要目的是为了区分不同类型的CPU 。 体 系 结 构 在计算世界的 体系结构 一词被用来描述一个抽象的机器而不是一个具体的机器实现 。一般而言一个CPU的体系结构有一个指令集加上一些寄存器而组成。 “ 指令集”与“ 体系结构 ” 这两个术语是同义词 。 指令集 指令集可分为复杂指令集CISC和精简指令集RISC两个类型。MIPS是一种RISC处理器 X86是一种cisc架构的处理器。 X86架构 优点灵活性高扩展性好。 缺点性能差小包速率低30%-40%。 X86是由Intel推出的一种复杂指令集用于控制芯片的运行的程序现在X86处理器已经广泛运用到了PC领域。基于X86架构的防火墙由于CPU处理能力和PCI总线速度的制约在实际应用中尤其在小包情况下这种结构的千兆防火墙远远达不到千兆的转发速度难以满足千兆骨干网络的应用要求。 X86架构是一种通用的“CPULinux”操作系统的架构。其处理机制是数据从网卡到CPU之间的传输是依靠“中断”实现这导致了不可逾越的性能瓶颈尤其在传送小包的情况下如64 Bytes的小包数据包的通过率只能达到20%30%左右并且它的设计是必须依靠CPU计算因此很占CPU资源这也是为什么X86防火墙性能上不去的原因。虽然Intel提出了解决方案将32位的PCI总线升级到了PCI-E 总线速度最高可达16GBps但是小包传送问题依然没有解决。但X86的产业化规模最大随着Intel的不断优化性能已经不差且在应用层的处理速度要比MIPS架构好。 ASIC架构 优点性能高。 缺点灵活性低扩展性差开发费用高开发周期长。 专用集成芯片Application Specific Integrated Circuit简称ASIC为特定要求和特定电子系统而设计、制造的集成电路。ASIC的特点是面向特定需求ASIC在批量生产时与通用集成电路相比具有体积更小、功耗更低、可靠性提高、性能提高、保密性增强、成本降低等优点。 国外的大部分防火墙设计都采用了ASIC架构以Juniper和Fortinet的产品为首因为它的性能高并且开发门槛高一度成为国际国内厂商的技术分水岭。 基于ASIC架构的防火墙从架构上改进了中断机制数据通过网卡进入系统后无需经过主CPU处理而是由集成在系统中的芯片直接处理完成防火墙的功能如路由、NAT、防火墙规则匹配等因此其性能得到了大幅度的提升: 性能可以达到万兆并且64 Bytes的小包都可以达到线速。 但问题是这种防火墙在设计时就必须将安全功能固化进ASIC芯片中所以它的灵活性不够如果想要增添新的功能或进行系统升级开发周期较长对技术的要求也很高。此外用ASIC开发复杂的功能如垃圾邮件过滤、网络监控、病毒防护等其开发比较复杂对技术要求很高。因此ASIC架构非常适用于功能简单的防火墙但不适合用于功能复杂的UTM。 线速达到线速标准的设备避免了非线速设备的转发瓶颈称作“无阻塞处理”。即厂商标称交换能力大于设备上所有类型各个接口的带宽总和的2倍全双工。 NP架构 特点平衡方案 网络处理器Network Processor简称NP采用NP架构的防火墙各种算法可以通过硬件实现在实现复杂的拥塞管理、队列调度、流分类和QoS功能的前提下还可以达到极高的查找、转发性能实现“硬转发”。 NP是专门为网络设备处理网络流量而设计的处理器其体系结构和指令集对于数据处理都做了专门的优化同时辅助一些协处理器完成搜索、查表等功能可以对网络流量进行快速的并发处理。硬件结构设计采用高速的接***术和总线规范具有较高的I/O能力。这是一种硬件加速的完全可编程的架构软硬件都易于升级因此产品的生命周期更长。 NP最大的优点在于它是通过专门的指令集和配套的软件开发系统提供强大的编程能力因而便于开发应用可扩展性强而且研制周期短成本较低。但是相比于X86架构由于应用开发、功能扩展受到NP的配套软件的限制基于NP技术的防火墙的灵活性要差一些。采用微码编程在性能方面NP不如ASIC。NP开发的难度和灵活性都介于ASIC和X86构架之间应该说NP是X86架构和ASIC之间的平衡方案。 NP架构实现的原理和ASIC类似但升级、维护远远好于ASIC 架构。NP架构在的每一个网口上都有一个网络处理器即NPE用来处理来自网口的数据。每个网络处理器上所运行的程序使用微码编程其软件实现的难度比较大开发周期比ASIC短但比X86长。作为UTM由于NP架构每个网口上的网络处理器性能不高所以同样无法完成像网关杀毒、垃圾邮件、过滤、访问监控等复杂功能。 可能有人会问ASIC 和 NP为什么不可以把网关杀毒、和垃圾邮件过滤、访问监控等这些功能放在主CPU上来实现这样不就可以作为UTM方案使用了吗这个问题问得很好目前有很多基于NP和ASIC的UTM都是这样做的但问题是ASIC和NP架构的防火墙其主CPU性能很低如Intel基于IXP2400的千高端NP方案主CPU只有1.0G处理能力还比不上Celeron 1.0G大家可以对照一下与其主频相当的X86平台的处理能力。所以如果以ASIC和NP架构来实现一个UTM网关只能是作为低端的方案来使用如桌面型的UTM而并不能作为中、高端的UTM来使用。 MIPS架构 特点多核方案 MIPS (Microprocessor without interlocked piped stages) 是RISC精简指令集处理器。它最早是在80年代初期由斯坦福(Stanford)大学Hennessy教授领导的研究小组研制出来的。MIPS是高性能、低功耗嵌入式系统处理器广泛应用于网络/通讯、无线、存储和控制应用等领域的安全产品国际上主要的网络/通讯/无线等厂商都有使用MIPS的解决方案。 MIPS多核技术则是近年来新出现的处理器技术它一出现就被认为是解决信息安全产品功能与性能之间矛盾的一大硬件法宝。国外许多厂商如SonicWall等都推出了其多核产品。多核是在同一个硅晶片上集成了多个独立物理核心每个核心都具有独立的逻辑结构包括缓存、执行单元、指令级单元和总线接口等逻辑单元通过高速总线、内存共享进行通信。在实际工作中每个核心都可以达到2Ghz以上的主频。因此多核技术无论在性能、灵活性还是在开发的成本和难度方面都是其他架构不能比拟的。目前各种芯片厂商推出的多核芯片共分三种一种是Intel、AMD推出的2核、4核的通用处理器适用于桌面笔记本电脑等通用领域一种是IBM、SUN分别推出的Cell和SPARC架构的多核处理器主要用于图形处理和运算第三种是RMI和Cavium推出的基于MIPS架构的嵌入式多核处理器主要应用于数据通信领域它最适合用于信息安全产品的开发。 同时MIPS架构同ARM架构对比来看也存在一些不足之处一是MIPS的内存地址起始有问题这导致了MIPS在内存和cache的支持方面都有限制即MIPS单内核无法面对高容量内存配置;二是MIPS技术演进方向是并行线程类似INTEL的超线程而ARM未来的发展方向是物理多核从目前核心移动设备的发展趋势来看物理多核占据了上风;三是MIPS虽然结构更加简单但是到现在还是顺序单/双发射ARM则已经进化到了乱序双/三发射执行指令流水线周期远不如ARM高效;四是MIPS学院派发展风格导致其商业进程远远滞后于ARM当ARM与高通、苹果、NVIDIA等芯片设计公司合作大举进攻移动终端的时候MIPS还停留在高清盒子、打印机等小众市场产品中;五是MIPS自身系统的软件平台也较为落后应用软件与ARM体系相比要少很多。 资料来自于网络欢迎大家探讨转载于:https://www.cnblogs.com/yyxianren/p/10710040.html
