必威体育精装版天融信防火墙技术培训教材.ppt

主要有三种： Intel X86架构工控机 ASIC硬件加速技术 网络处理器（NP）加速技术 基于NP技术的防火墙 什么是NP技术？ NP的理论优点 乐观者如是认为 NP技术发展现实 什么是NP？ 网络处理器（Network Processor，简称NP）顾名思义即专为网络数据处理而设计的芯片或芯片组。 能够直接完成网络数据处理的一般性任务，如TCP/IP数据的校验和计算、包分类、路由查找等，同时，硬件体系结构的设计也弥补了传统IA体系的不足，它们大多采用高速的接口技术和总线规范，具有较高的I/O能力。 基于网络处理器的网络设备的包处理能力得到了很大提升，很多需要高性能的领域，如千兆交换机、防火墙、路由器的设计都可以采用网络处理器来实现。 NP的理论优点 网络处理器可以通过良好的体系结构设计和专门针对网络处理优化的部件，为上层提供了一个可编程控制的环境，可以很好地解决硬件加速和软件可扩展的折衷问题。 一方面，网络处理器独立于CPU之外，是专门为进行网络分组处理而开发的，具有优化的体系结构和指令集，因此它比CPU有着更高的处理性能，能够满足网络高速发展的需求。 另一方面，它具有专门的指令集和配套的软件开发系统，具有很强的编程能力，能够很方便地开发各种应用，支持可扩展的服务，从而能够很好地满足网络业务多样化的发展趋势，比ASIC更灵活地应对日益更新的网络需求。 乐观者如是认为 网络处理器以其杰出的包处理性能及可编程性成为构筑网络转发引擎不可替代的核心，它将成为新一代网络设备的核心处理器，是未来网络设备的发展趋势。 它被认为是推动下一代网络发展的一项核心技术，并开始越来越多地受到业界的关注。 国内外的许多公司和大学纷纷投入力量展开了对网络处理器的相关研究，并将其用于中高端网络设备的研究与开发之中。  NP技术发展现实一 网络处理器都是由国外厂商设计制造的。 根据网络处理器权威分析机构Linley Group Inc.的报告，2002年网络处理器（NPU）的全球市场份额为6500万美元，各主要产品提供商的市场份额按销售额排列如下： 1 AMCC 38% 2 IBM 19% 3 Motorola 15% 4 Intel 11% 5 Agere 9% 2002年，为应对NPU市场竞争，各个主要厂商平均投入约5000万美元。在该类产品上，目前全部厂商均处于亏损状态。目前大小厂商共几十家，有些已经逐渐退出或被收购，如Vitesse等，但仍有新厂商不断加入。 NP技术发展现实二 NP产品远未成熟，包括Terago公司倒闭（10Gbit/sNP） NP不少，产品接口却不统一，无法完成无缝的整合； NPU论坛（网络处理器论坛（NPF））正在推动相关标准的制定，但还很不完善； NP防火墙产品的测试标准并没有推出，有关测试方法的Benchmark都还没有制定出来 对复杂应用数据， NP的表现就不令人满意。例如分片数据包的重组和加密的处理。 目前在网络数据厂商中，采用NP技术的数量非常有限。 基于NP技术的防火墙的发展 NP技术与产品的成熟与大规模应用还需要相当长时间 基于NP技术开发稳定、高性能的防火墙还有相当距离 无疑，NP技术的出现为国内防火墙厂商提供了一个机会 防火墙的“胖”与“瘦” “胖”、“瘦”防火墙的定义 “胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台； “瘦”防火墙是指功能少而精的防火墙，它只作访问控制的专职工作，对于综合安全解决方案，则采用多家安全厂商联盟的方式来实现。 胖防火墙的优势 首先是功能全 其次是控制力度细 第三是协作能力强 降低采购和管理成本 胖防火墙的不足 主要表现在性能降低 其次是自身安全性差 还有专业性不强，表现为功能模块的拼凑 第四是稳定性差，系统越大，BUG越多 最后是配置复杂，不合理的配置会带来更大的安全隐患。 瘦防火墙的优势 首先是性能高 其次是注重核心功能，专业性强 第三是整体安全性更高 最后一点是配置简单，简化对管理员的专业要求。 瘦防火墙的不足 首先是功能单一 其次是整体防护能力较弱 胖瘦防火墙之争 一种观点认为，要采取分工协作，防火墙应该做得精瘦，只做防火墙的专职工作，可采取多家安全厂商联盟的方式来解决； 另一种观点认为，把防火墙做得尽量的胖，把所有安全功能尽可能多地附加在防火墙上，成为一个集成化的网络安全平台。 用户的价值取向一 “胖”防火墙追求的是一站式服务，目前它只适应中小型企业，尤其是低端用户。他们出于经济上的考虑以及管理上的成本，更主要的是出于安全的实际需求，希望一个设备可以为这种小型网络实现整体安全防护，所以对这种大而全的“胖”东西非常感兴趣