虽然研发成本较高,灵活性受限制、无法支持太多的功能,但其性能具有先天的优势,非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。ASIC芯片集网络包处理和内容处理为一身,芯片首先完成流重组,然后直接在网络层匹配规则,并执行动作处理安全事件,需要进一步分析的才送CPU。网络中90%以上的数据在ASIC芯片中直接完成处理。
基于ASIC架构的防火墙从架构上改进了中断机制,数据从网卡收到以后,不经过主CPU处理,而是经过集成在系统中的一些芯片直接处理,由这些芯片来完成传统防火墙的功能,如:路由、NAT、防火墙规则匹配等。这样数据不经过主CPU处理,不使用中断机制。但随之而来的问题是,ASIC架构的防火墙是芯片一级的,所有的防火墙动作由芯片来处理。这些芯片的功能比较单一,要升级维护的开发周期比较长。
几年前,以Intel为代表的国际芯片厂商推出了具有革命性意义的网络处理器(NP),业界观察家也曾十分看好并极力称颂,NP将引发不可预期的网络革命。然而,NP并没有如观察家所期待的那样结出硕果,各NP厂商的NP业务基本都处于亏损状态。 从2002年开始NP开始在网络安全领域应用,2003年IBM就把NP业务卖给了Hifn,2006年6月27日,Intel正式宣布把NP业务卖给Marvell。
网络处理器比较典型的产品有Marvell(Intel)公司的IXP1200系列、IXP2400系列和IXP2800系列和Freescale(motorola)公司的C-5、Cisco公司的Toaster 2、Hifn(IBM)的NP3G4S等。
NP架构实现的原理和ASIC类似,但升级、维护远远好于ASIC 架构。NP架构在的每一个网口上都有一个网络处理器,即:NPE,用来处理来自网口的数据。每个网络处理器上所运行的程序使用微码编程,其软件实现的难度比较大,开发周期比ASIC短,但比X86长。
最早提出网络处理器开发的时间是1997年,正式的商用芯片于2000年面世。Intel、IBM、Motorola、MMC Networks、Ezchip、Lucent、Vitesse(Sitera)等厂商参与了网络处理器的早期研究。这一阶段仅仅是研究阶段,而真正将网络处理器投入商业应用的厂商是中国的华为,2000年华为开始开发基于网络处理器的核心路由器,并率先推出了基于NP的NE80/NE40系列核心路由器产品。
当你的防火墙要对付高流量,小包攻击ddos。请选用嵌入式,arm,NP,mips构架防火墙硬件,操作系统就直接选择linux正营吧,其代表就是起源于ciso/syslink系统的opoenwrt或者dd-wrt,tomato(国人的支持多wan口叠加其实就是策略路由),为什么不选择freebsd-因为freebsd不支持硬件,为什么不选择netbsd/openbsd,因为性能低下,很多无线,新硬件,网卡不支持!而且防火墙不开放什么服务器软件,不需要太高的防渗透入侵,强制访问安全等等。这其中我建议选择openwrt吧,免费、可定制非常高,就和一台linux机器一样的配置!dd-wrt收费!tomato也是根据openwrt来的,作者配置好了策略路由支持双、四wan!至于route,ros也是国人改的linux系统,收费,功能繁琐,网吧可以考虑下!
