扫一扫
关注微信公众号

统一威胁管理(UTM)多种硬件平台解析
2010-07-14   网络

处理 UTM中性能与功能的矛盾,通常有两种途径:挑选合适的高性能硬件平台或对软件执行 体系架构的优化。挑选合适的硬件平台是比较直接、快捷的方式。安全产品的硬件承载平台通常有X86、NP、ASIC、多核SOC等几种。
    1  x86架构
    x86架构,也称为CPU架构,采用通用的x86 CPU作为整个系统的转发核心,具有很高的灵活性和可扩展性,一直是安全网关开发的首要平台。其产品功能首要由软件实现,还能够根据用户的实际须要做相应 调整,添加或降低功能模块,产品比较灵活,功能十分丰厚。比方,现在安全网关的趋势就是向UTM方向成长,在一个产品中集成防火墙、入侵防御、防病毒及内 容过滤等特性 ,x86架构的安全网关能够很方便地集成上述功能。
    但该架构的性能成长受到CPU体系结构的制约,作为通用的计算平台,x86的结构层次较多,不易优化,特别是在小包处理中,x86的进程调度、中断处理等 都会大幅降低整机吞吐量。同时,x86作为通用CPU,没有为网络转发及安全计算执行 优化,因此基于x86的硬件平台仍很难达到千兆速率。
    x86架构安全网关的特性:
    ·优点:灵活,功能丰厚,开放性好,是百兆和千兆中低端防火墙的首要架构;。缺点:性能提高难处,特别是小包处理时性能降低严重。
    NP(Network Processor:网络处理器)是专门为网络装备处理网络流量而设计的处理器,在其体系结构和指令集中对网络装备常用的包过滤、转发等算法和操作都执行 了专门的优化,能够高效地完成TCP/IP协议栈的常用操作,并对网络流量执行 高速的并发处理。NP议决专门的指令集和配套的软件开发系统,提供强悍的面向网络报文处理的编程能力,因而便于开发使用,支持可扩展的服务,并且研制周期 相对较短,成本比开发ASIC低。
    但是,相比于x86架构,由于使用开发、功能扩展受到NP的配套软件的限定,故基于NP技能的防火墙的灵活性要差一些,并且还依靠软件环境,所以在性能方 面NP不如 ASIC.特别是在防火墙的重要性指标——“多策略庞杂环境下的吞吐量”上,NP架构的劣势更加清楚。NP芯片的基本结构如图2-2所示,核心是 xScale CPU,该CPU是一款低端arm内核的CPU,其处理能力仅相当于Intel P3 CPU,而NP架构防火墙的查表(安全策略表)操作只好由该xScale CPU处理,因此在大流量、多安全策略环境下,NP架构防火墙的吞吐量会出现清楚降低。(注:在高端NP路由器中,由外置TCAM芯片实现查找路由表的操 作,但该技能无法 使用到NP网关中)
    同时,NP芯片首要的设计方向是路由器类的网络装备,几乎没有任何针对安全装备的加快功能,所以NP庞杂且相对固话的报文处理流程决定了这类架构的安全网关几乎不可能提供高级安全特性 ,如入侵防御、病毒过滤等,而只好作为纯粹的防火墙运用。
    NP架构安全网关特性。
    ·优点:灵活性优于ASIC,性能优于x86,开发流程要比ASIC短。

·缺点:性能低于ASIC,灵活性低于x86;多安全策略环境下性能降低;无法升级到UTM装备,无法 提供高级安全特性 。
    ASIC(Application Specific Intergrated Circuits)架构安全网关议决专门设计的ASIC芯片逻辑执行 硬件加快处理,这种ASIC完全按照设计者的目标去设计硬件电路,优化相应的功能模块,然后固化完成ASIC.ASIC架构的优势是性能高,转发性能与安 全策略数目无关。
    ASIC架构的首要缺点表现在以下两个方面:
    一是灵活性不够,开发费用高,开发周期太长。由于ASIC架构的固定性与安全网关须要面对的庞杂恐吓相互矛盾,因此ASIC架构从开发周期上无法 应对层出不穷的安全恐吓,只适合于功能固化的防火墙、VPN类产品。
    二是新建连接的速率不高,实际上这类架构产品的基本模型是ASIC+x86 CPU,由x86 CPU负责系统维护、策略配置及连接建立,然后将相关 的安全策略和连接信息同步到ASIC芯片中,由ASIC芯片实现基于状态的策略控制和报文过滤;ASIC芯片与CPU的状态信息须要不断同步,因此 ASIC架构的性能“短板”是新建连接的速率低。
    总结ASIC架构安全网关的优缺点:
    ·优点:转发性能比NP、X86高;
    ·缺点:功能固化,新建连接的速率低,无法 支持高级安全特性 。
    多核(Multicore)架构是当前最新的高性能安全网关处理方案。所谓多核架构,是指以多核处理器为转发核心的安全网关装备。多核处理器大多基于 MIPS64体系,在一个多核处理器中同时支持2~16个独立构架的CPU.同时,多核处理器在开发时即思虑到了用户的使用要求,主流多核处理器均集成了 硬件加密、正则匹配等硬件协处理器和网络使用加快器,特别适合安全网关类产品如防火墙、VPN、防病毒、入侵防御等装备采用。多核架构的安全网关从技能角 度来说是相当圆满的:高吞吐量、会话建立速度高、硬件支持多种高级安全功能等。
    多核架构现有的不足就是开发难度大。
    总结多核架构安全网关的优缺点:
    ·优点:转发性能比NP、X86、ASIC高,具备足够的灵活性,支持高级安全功能;
    ·缺点:开发难度大。
    5  多核是最适合UTM的架构
    从前面的剖析能够明白到每种硬件架构的特性,但对于UTM,哪种架构更加合适,这须要有统一的衡量规则。性能与功能的矛盾是硬件平台重点处理的疑问,因此 暂时把开发难度、研发投入等因素抛开,而从功能满足的灵活性、性能表现两个方面来对各种架构执行 比较。将灵活性作为纵坐标,性能作为横坐标,x86、NP、ASIC、多核等架构的位置如图所示。

能够看出,x86架构的灵活性很高,能够实现彻底的使用层安全功能,但性能低;NP架构灵活性比较高,性能中等,不是UTM最好的架构平台;ASIC性能 高,但灵活性低,无法 实现彻底的使用层安全;多核灵活性高,性能也高,处于象限的右上角,最适合作为UTM的硬件平台。

 

热词搜索:

上一篇:UTM功能、性能和管理性三方面全面考量
下一篇:UTM与防火墙产品硬件平台架构优缺点

分享到: 收藏