透视NP防火墙__www0的数字家园

等级： IT币：

文章：回复：

网摘：相册：

加为好友发短消息

我的数字装备

我最近使用的标签

我的工会

我的好友

我的粉丝

友情链接

透视NP防火墙

作者/www0　时间/2006-2-10 17:43:00　类别/综合查看/

　发表评论　以论坛方式查看

标签：网络

    基于NP（网络处理器）架构的高端线速防火墙,以其优异的性能，受到了业界普遍认可，同时，它给了国内众多安全厂商一条快速加盟高端网络安全设备制造商的捷径。于是，众多安全厂商纷纷公布其相关计划，并先后推出了自己的NP防火墙产品，国内高端NP防火墙市场呈现一片繁荣。

    但是，繁荣背后也隐藏了问题，通常一种创新型优秀产品出现后，往往会有大量跟进者，甚至假冒伪劣者。目前国内的NP防火墙市场上同样出现了鱼龙混杂的局面，“NP＝高端+高性能”的口号充斥市场，一时间NP“满天飞”，某些基于高性能的X86CPU、多核CPU的防火墙也打出NP防火墙的旗号，使得用户难以区分。那么，用户应该如何擦亮双眼，识别出真正的NP防火墙呢？

测试可识别真假NP防火墙

    首先，需要明确的是，目前市场上所有号称是NP防火墙的产品并非都是真正的NP防火墙，例如高端X86 CPU架构、多核CPU架构的防火墙，其实根本就不是真正的NP防火墙。用户要想做出准确的判断，不能仅仅凭借销售人员的口头宣传，一定要认真对设备进行实际测试。测试可以采用Smartbits或IXIA等通用网络测试设备。测试和实际环境中的使用，是识别真假NP防火墙的试金石，只要经过简单的性能测试，很多假冒品就会“露馅”。

    真正基于NP架构的防火墙在性能上都有不错的表现，一般来讲，真NP防火墙在吞吐率上可以达到64字节小包线速转发，并发连接数达到百万以上，处理延迟在20微秒以内。

假NP防火墙从哪来

    仔细分析，你就会发现，其实某些所谓的NP防火墙在制造中往往采用了以下某种方式：

    一、虽然采用了NP芯片，但是没有基于微引擎实现防火墙功能，而是将其传递给控制CPU来做；

    二、    OEM国外某些小公司的不成熟产品；

    三、虽然进行了部分的自主开发，但是并未掌握全线核心技术，产品稳定性有待考察。

    采用上述第一种方式制造出的假NP防火墙，其最终试用效果和X86体系没有本质区别；对于后两种方式制造出的防火墙，一旦用户在使用中出了问题，厂商很难快速、准确地给出解决方案。

如何实现高性能的NP防火墙

    怎样才能研制出真正性能稳定、高效的NP防火墙？这主要依靠NP芯片选型、硬件板设计与生产以及软件开发三个要素。

    NP芯片选型。NP作为面向网络数据通讯的专用芯片，其在架构和设计实现上有很多方式，因此，也就出现了多种NP芯片。选择不同的NP芯片对于基于NP技术的防火墙在性能和安全性上将有直接影响。目前，国内应用于防火墙的NP芯片主要来自于Intel公司的IXP系列和IBM的POWER NP系列。表一针对这两类芯片的三个系列做了简要分析与比较。

    表一 Intel的IXP系列和IBM的POWERNP系列芯片分析与比较

    硬件板设计与生产。一款优秀的硬件平台可以成就一个卓越的产品；相反，一块问题不断的板卡也可以毁掉一个精妙的设计。高端防火墙设备在网络拓扑中的位置一般都很关键，这就对硬件平台的稳定性、可靠性提出了很高的要求。在稳定性方面，很多在低速设备遇不到的问题在千兆线速设备上将变得格外突出，比如，高速环境下的高频串扰等问题；在可靠性方面，需要在板卡设计上引入关键电路的冗余设计、灾难恢复机制等。这些问题如果解决不好，会直接导致产品无法使用。

    软件开发。防火墙是一种软硬一体的产品，硬件平台再好，终归只是给开发高性能防火墙打下了一个良好的基础，至于该防火墙是否能够最终成为一款优秀的产品，还要靠核心软件的配合。好的硬件并不一定能产生好的产品，只有硬件和软件达到默契配合，才会最终实现高品质的系统，这点尤其适用于像防火墙这么复杂的系统。

    信息安全行业同IT行业的其他分支相比，具有自己鲜明的特点，它要求从业厂商对信息安全技术有自己深刻的理解和全方位的把握。从全球网络安全设备市场的发展趋势来看，对于高端防火墙这类安全设备，只有从硬件到软件全方位地掌握核心技术，才能密切跟踪网络安全攻防的演进趋势，为客户提供高稳定、高性能的设备，以及可靠、持续、具有个性化的服务，最终为用户所信赖，占领市场；否则，只会出现“安全产品不安全”的难堪局面，不但浪费了用户的大量投资，甚至给某些要害部门带来无法弥补的损失。

联想网御用心打造高端NP防火墙

    联想网御在部署NP高端防火墙的初始阶段，充分分析了基于NP开发防火墙涉及到的种种技术问题，慎重地采用了IBM POWERNP网络处理器NPS43C，为成功开发NP防火墙奠定了坚实的基础。在NP防火墙硬件板设计生产上，投入了大量资源，进行自主研发，在详细分析NPS43C技术特点的基础上，采用电信级网络设备的板卡设计技术进行优化和革新，掌握了高端防火墙硬件板设计核心技术。在软件开发方面，联想网御从2001年项目启动开始，进行了4年的微码开发经验积累。

    联想网御NP高端防火墙厚积薄发，在成功地推出了网御7000系列NP千兆线速防火墙之后，又于近期成功推出了网御9000系列万兆防火墙。这充分证明了，只有真正掌握了NP防火墙开发的核心技术，顺应NP防火墙开发的客观规律，才能为国内高端线速NP墙市场的健康发展做出贡献。

查看该用户更多文章>>