浅谈网络安全_硬件架构.doc

浅谈网络安全的硬件设备·概述随着互联网的飞速发展，基于互联网的各种应用也无处不在，对于网络安全的功能和性能的要求也越来越复杂和越来越高。现今的网络安全产品，已经从过去单一的防火墙和VPN，到入侵检测，到增加了防病毒功能的UTM,再到现在基于行为和内容管理的下一代防火墙。从过去的百兆产品到了千兆产品，而现在对万兆产品的需求也越来越大。有很多人很容易混淆网安产品和通讯产品，往往觉得网络安全产品和通讯产品的交换机，路由器差不多，最多就是在通讯产品增加了安全功能。其实这是非常错误的，简单来说一般的通讯产品只对三层内的协议进行分析、处理和转发，而网络安全产品就是要对三层和三层以上的数据及内容进行分析、处理和转发。传统通讯产品一般会把处理机制分成两个层面，一个数据层，一个是管理层。数据层主要是对数据包进行转发，而管理层只是对三层以内的数据特别是包头处理，例如建立各种转发的表项等，等管理层面处理完之后或者连接建立以后，发给数据层进行转发。而同一个数据连接的数据包就不需要再经过管理层就可以直接进行转发了。这样的机制就大大提高了数据的转发效率和传输能力。所以传统的通讯设备往往能到千兆线速、万兆线速的性能，其数据层一般是由交换芯片实现，而管理层则由CPU(处理器)来实现。因为传统的通讯产品对三层以上的数据基本不做处理，所以他们对CPU处理能力特别是运算能力要求不是很高。而网络安全产品因为要对三层以上的数据包进行处理，不能单纯的分为数据层和管理层，数据层和管理层是相对比较模糊的，数据包需要经过大量分析和处理之后才能进行转发。应该分为数据层和处理层，所以要求其有很高的转发能力和处理能力。·硬件架构技术发展历程早期X86 基于以上特性，最先应用于网络安全的硬件架构产品是基于CISC(复杂指令集)即x86处理器的产品。为什么是x86架构呢？首先要从操作系统说起，网络安全产品很多都是基于Linux开发，因为Linux系统内已经嵌入很多基本的网络安全模块比如防火墙功能等，再者因为是开源的缘故使后续的很多安全功能很容易加载在系统之上。而我们也知道所谓的x86系统，主要是基于Intel架构的硬件系统，而这种系统在PC上得到了最广泛的应用。早期的x86产品主要是由CPU、北桥和南桥三部分组成，CPU(处理器)进行数据处理，北桥挂内存和图像处理器，南桥挂各种I.O接口。这种架构有利于复杂图形数据处理和各种数据处理，再加CPU的主频不断提高使其处理能力很高但功耗也很高。由于I.O一般都采用传统的PCI总线上挂载网卡的方式，而且总线上会挂载多个PCI设备使本来带宽就不大的总线开销大大增加，所以传输数据包的效率就大大降低。以33MHz 32位PCI总线上挂载4个PCI网卡来说，经过测试64Byte小包只有20MByte的性能，大包也不能达到百兆线速。〃PowerPC由于X86架构上的这些问题，后来出现了RISC处理器，就是精简指令集处理器。首先是飞思卡尔的PowerPC处理器，此处理器是SOC架构，把内存管理器和所有的I/O都集中在一个芯片上，而且使用了像GMII/SGMII/Xauio等高速通讯总线，大大提高了包传输效率。PowerPC是一种RISC多发射体系结构，飞思卡尔凭借其Power PC架构的系列处理器霸守在通信处理器市场，优点是PowerPC的指令格式简单统一，长度固定，寻址方式也经过优化，提供了更高级的扩展能力。在硬件规模相当的情况下，RISC处理器可比CISC处理器的速度快40%—70%不等。而且对于处理必须的纠错能力和安全性能来说，RISC先天具有非常好的发挥空间。实时嵌入式操作系统，飞思卡尔的PowerQUICC系列处理器由嵌入式的PowerPC核和通信处理模块CPM两部分集成而来。这种双处理器的结构由于CPM承接了嵌入式Power PC核的外围接口任务，另外支持微码复用，比较适合在通信行业使用。因为有以上的特点使得PowerPC的转发能力非常强，一般在单纯转发的情况下可以达到千兆线速。缺点是：由于RISC结构的特点，硬件和软件的兼容性都不强，运算能力比CISC低。近年来PowerPC也推出了多核的产品，但由于以上的特性主要还是在通讯类产品应用很多，而在网络安全上的应用很少。缺点：1）主频低，一般不到2G，计算能力要弱于X86，不适合用在IPS、UTM等对内容层处理较高的应用。2）PowerPC主要流行的实时操作系统Vxworks已经被竞争对手Intel收购，飞思卡尔准备走两条路：一条是与其它实时操作系统厂商更紧密的合作；另一个将会寻求在Linux上开发实时操作系统。3）多核方面以及计算能力不如X86和Mips发展好，不适合做高端防火墙以及IPS等产品4）由于RISC结构的特点，硬件和软件的兼容性都不强。MIPS近年来出现了另外一种RISC结构