ASIC防火墙灵活性之我见.pdf

专用集成电路(ASIC)和NP(网络处理器)技术。相对于传统的x86架构，这两种较新架构的防火墙才是真正 的于兆硬件防火墙解决方案，能够保证防火墙的处理速度。ASIC防火墙通过专门设计的ASIC芯片逻辑进 行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获 得了很高的处理能力，因而明显提升了防火墙的性能。新一代的 高可编程ASIC采用了更灵活的设计，能够通过软件改变应用逻 AslC 辑，具有更广泛的适应能力。 j} NP是专门为网络设备处理网络流量而设计的处理器，其体系 结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进 行了专门的优化，可以高效地完成TCP／IP栈的常用操作，并对 图1 ASIC防火墙体系架构 网络流量进行快速的并发处理。由于NP架构的防火墙面世比较早，无论是防火墙生产厂家还是最终使用防 火墙的客户，对其比较认可，而ASIC防火墙是近几年才出现的新事物，大家对其了解不足，因此也造成了 很多误解，最常见的说法就是ASIC防火墙虽然在性能上有优势，但是缺点也同样明显，最突出的就是灵活 性和扩展性不够，而且还不能支持太多的功能。那么，事实真的如此吗?要想把这个问题解释清楚，就不 得不从ASIC防火墙的架构说起。一个ASIC防火墙的完整构成如图1所示。 一说起ASIC防火墙，所有人的第一反应是ASIC芯片完成了防火墙所有功能。其实不是这样。由于设 计ASIC芯片投入巨大，一旦完成生产，就不能对该芯片进行修改(除非重新投片)，因此，在决定ASIC实 现何种功能时，需要遵循以下几个原则： ——ASIC芯片中实现的技术要有延续性。不能说今天设计完成的芯片，没有用几天就因为技术进步而 被淘汰。一般来说，ASIC芯片中实现的都是非常基础和成熟的技术，比如转发、路由、地址转换(NAT)， 无论防火墙的技术如何发展，这些技术都是基本功能，是不会变化的。 ——考虑到ASIC的设计成本，在进行设计的时候，ASIC内部就根据不同产品的需求预置了各种不同的工 作模式，有的芯片内部，这种工作模式多迭上千种。这些工作模式可以通过软件的编程来进行启动或者关 闭，从而确保ASIC可以适应尽可能多的产品需求。 ——ASIC芯片在设计的时候，要考虑芯片功能的可扩展性。网络上的应用千变万化，新的应用层出不 的执行者，在芯片设计的时候，要进行合理的分工，有些功能是能够在ASIC中全部完成的，有些功能是需 要ASIC和系统中的CPU配合来一起完成的，在这些功能中，哪一部分工作需要由ASIC完成，哪一部分 工作需要由CPU完成，都要考虑清楚。 下面举个简单的例子来说明ASIC防火墙是如何工作的，就拿大家都比较熟悉的FTP功能来说，在ASIC 防火墙芯片中，没有任何一个功能和FTP协议直接相关，但是ASIC防火墙依然能够很好地完成FTP的功 能，原理是什么呢?先简单介绍一下FTP协议的工作原理，FTP协议即文件传输协议，它是一个标准 协议，也是应用TCP／IP协议的应用协议标准，是在计算机和网络之间交换文件的最简单的方法。一个 完整的FTP过程由两个不同的连接组成，一个是 Ctm自∞Icanne∞on 』 k 控制连接(control 、 r connection)，一个是数据连接 FrP Data clie擅 c啪ecnm FrpⅨⅣ日 ^ (data h connection)，如图2所示。诸如用户名输入， N