ccidnet????

出版日期:2004-12-27 总期号:600 本年期号:50

本期导读
综合报道
硬件世界
整机与数码
软件.net
培训与职场 
网络与安全 
教育信息化
读者俱乐部
 防火墙 洗芯革面
——防火墙NP架构综述


  如果我们回顾一下近期网络安全领域出境率最高的词汇,“NP”一定榜上有名。NP是网络处理器(Net Processor)的简称,顾名思义,NP是专门设计用于网络封包处理的一种处理器,作为被业内普遍推崇的一种革命性技术,NP至今尚未能达到人们预期的应用水平。作为NP技术的主要目标客户群,通信厂商们的态度正由热捧回归冷静,而在网络安全设备特别是硬件防火墙市场上,NP的应用却正呈现出一片欣欣向荣的景象。国内的大部分重量级防火墙厂商纷纷推出了自己的NP架构防火墙产品,而作为占据国内防火墙市场头把交椅的东软,更是将自己的主力产品全部转向NP平台。

  ■ 防火墙硬件架构综述

  为了能够透彻地了解NP在防火墙领域造成的这种强大的冲击效应,我们需要先来回顾一下防火墙硬件平台的基本情况。在过去的几年时间里,市场上硬件防火墙产品通常都基于两种架构:AISC(专用集成电路)和以X86为代表的通用处理器。

  可以说,AISC是硬件防火墙领域无可争议的主流技术,因为利用这种硬件架构可以获得相当高的性能和稳定性。全球最主要的硬件防火墙产品供应商NetScreen就一直推崇以AISC芯片为核心的高性能硬件防火墙,但AISC技术也在某种程度上存在着设计周期长、开发成本高的问题,所以并不是所有厂商都能在这种平台上发展出完善的产品。相应的,基于通用处理器进行产品研发的门槛相比AISC要低的多,所以在百兆防火墙作为主流的时期,这种解决方案受到很多厂商的欢迎。但利用通用处理器平台实现防火墙产品同样存在着不可回避的缺陷,那就是通用处理器并非为特定任务设计,在实现同样功能的前提下,其资源耗费要远高于AISC,这也导致了在现今数据量不断膨胀的网络环境中,基于这种硬件平台的防火墙产品在性能方面受到的挑战越来越大。

  现今百兆防火墙正逐渐失去主导地位,特别是在主干网部分,千兆网的应用需求成长迅速。基础环境的变化,成为了摆在防火墙厂商面前的主要难题,特别是国内的防火墙厂商,大部分都是以X86通用处理器平台作为自己产品的硬件平台,继续在这种架构上发展自己的产品,已经无法满足性能方面的要求。虽然很多厂商都宣称可以生产千兆级产品,但其实仅仅是能够达到千兆的传输速率而已,实际的应用效果大都不甚理想,包处理率等指标无法达到令人满意的程度,而且不像已经有多年技术积累的顶级品牌,大多数硬件防火墙供应商没有足够的资源在AISC架构上进行产品开发,也没有足够的能力压低成本与大厂抗衡。所以在面对千兆防火墙这一巨大市场时,在设计上兼顾性能与灵活性的NP技术被视为抢占千兆防火墙市场的重要契机而被寄予厚望就不难被人理解了。

  ■ NP技术概观

  NP采用了ASIP(Application Specific Processor)和SoC(System on Chip)等体系结构技术,同时为了保证运算性能,现在的NP产品通常都拥有多个RISC处理器及协处理器,并采用分布式的存储系统,最大限度地突破存储瓶颈,使得不同的应用操作可以由这些处理器并发执行,从而获得逼近AISC的效能。同时NP在灵活性方面又要好于AISC,因为其具有很强的编程能力,能够方便地进行各种应用开发,随着市场需要对功能进行扩展和修正,另外由于其开发周期较短(通常不超过6个月,AISC的开发周期一般都超过12个月),可以保证产品快速投放市场,降低厂商的风险。

  目前业内占据最大市场份额的网络处理器供应商是AMCC,主要为Cisco等顶级厂商提供产品,Intel经过一段时间的苦心经营,市场份额已经跃升至第二位,国内基于NP研发硬件防火墙的厂商通常都是基于Intel的产品,其他主要的NP供货商还包括摩托罗拉和IBM等。

  总体来说,NP主要提供了一种介于AISC和通用处理器之间的折衷方案,其在提供高于通用处理器性能的同时,也很好的解决了AISC在灵活性和可编程性方面的问题,为有效缓解网络传输高速发展导致的网络节点处理能力不足提供了一条全新思路。

  ■ NP防火墙现状及前景

  在了解了NP架构的特点之后,大家可能都在思索,在硬件防火墙市场NP技术到底会起到怎样的作用呢?国内的防火墙厂商纷纷将自己的研发力量投入到NP架构之上,主要的原因就是想借NP突破通用处理器在性能上的瓶颈,进而促成和采用AISC的一线厂商直接对话的局面。因为在低端的百兆防火墙市场,各个厂商之间的差距已经越来越小,基本已经开始进入微利阶段,如何在千兆防火墙领域占据有利位置,对于硬件防火墙厂商来说无疑已成为生死攸关的问题。

  从目前的情况来看,NP所展现给我们的前景还是相当美好的,但这并不代表加入NP阵营的防火墙厂商就得到了制胜之钥,NP在硬件防火墙领域的应用并非一片坦途。以Intel网络处理器产品为例,其结构设计反应了当今最主流的NP技术内容,其数据处理能力确实足以胜任千兆网的数据传输负荷,但主要的性能提升仍集中于网络封包的处理。如数据校验、路由匹配等,完成常见网络设备的职责非常出色,但是对于更加复杂的数据应用,例如数据包重组和加密处理等,其表现就往往不那么抢眼了。

  我们知道,防火墙产品并不是用来进行数据包转发的,更重要的是需要其对数据进行判断和处理,尤其是现在防火墙功能的不断扩展,对处理性能的要求也在快速增长,单纯提升基本数据处理能力,尚无法保证NP能满足硬件防火墙的要求,Intel的产品主要着眼于数据处理和控制方面,在功能管理层面支持相对不足。

  之所以有众多厂商仍选择以Intel的网络处理器发展硬件防火墙产品,可能是希望利用原有的产品技术积累,因为很多厂商的产品是在X86通用处理器架构上以BSD和Linux作为软件平台开发而成的。为了应对上述这种局面,NP供应商也在不断优化自己的解决方案,希望在利用NP优秀网络数据处理能力的同时,可以满足更高层次的应用要求。还有一些厂商推出了融合AISC技术和NP概念的产品,为硬件防火墙等网络设备的开发提供了丰富的选择。

  ■ 结语

  NP架构的防火墙虽然有广阔的发展天地,但还远未达到颠覆AISC架构的程度,因为NP技术毕竟才经过几年时间的发展,各方面的积累相对薄弱,而AISC技术也仍未停止发展的脚步,正努力改善其难于开发的现状。目前在千兆防火墙市场,AISC仍处于领先地位,NP架构的应用确实能以相对较低的投入在较短时间内发展出逼近AISC架构的产品,但同时也需要提醒厂商,认真选择适合自身需求的NP产品,以充分发挥NP架构的优势。张昕楠

  

  防火墙市场的新趋势

  瑞星公司研发部 朱成

  以前硬件防火墙市场主要是以x86体系的架构为主体。所有的防火墙都是基于Linux开发的,并且,真正实现功能的地方都靠软件。所以在大型的网络应用中,这种架构的防火墙明显体现出速度上的不足。

  针对这种情况,防火墙安全市场的格局出现了新的变化,主要分为NP芯片架构和ASIC芯片架构。首先说说ASIC芯片架构的防火墙的特点。ASIC芯片架构的防火墙可以算是真正纯硬件的防火墙,他所有实现功能的程序都被烧录在ASIC芯片中,这样一来使得基于ASIC芯片架构的防火墙在处理速度上有着其他架构防火墙无法比拟的优势。但是由于是完全将程序固化到芯片中,所以灵活性大大降低,给这种防火墙升级非常的困难。

  而NP技术的突出优点是完全可编程,系统的“硬件”功能可以通过软件模块(微码)的方式方便地进行修改、完善。所以,现今大部分厂商都倾向于基于NP芯片架构的防火墙,虽然基于NP芯片架构的防火墙也不能算是纯硬件防火墙。但是由于基于NP架构的防火墙将以前一部分功能交给了NP芯片处理,与x86架构相比NP架构的防火墙在速度上就有了明显的优势。虽然在速度上与ASIC架构还有一定的差距,但从灵活性的角度出发,大多数安全厂家还是趋向于NP架构的防火墙开发。虽然现在的形势看来,x86架构的防火墙还有占据大量的市场,但是从今后的厂商角度出发,防火墙安全市场的趋势一定是基于NP芯片架构的防火墙的产品。

  

  厚积薄发 出击2005

  ——方正熊猫在京发布新品

  方正安全继2004年12月8日大型巡展之后,于12月15日马不停蹄地在京召开了方正熊猫2005新品发布会,正式推出方正熊猫2005年的主打新品:方正熊猫硬件安全网关PAGD、方正熊猫WebAdmin和方正熊猫TruPrevent。这其中,尤以方正熊猫硬件安全网关PAGD这一划时代的硬件安全网关引人注目。

  方正熊猫硬件安全网关PAGD融合防病毒、 反垃圾 、内容过滤三大功能于一身,支持最常用的6种通信协议(HTTP、FTP、SMTP、POP3、IMAP4和NNTP)。应用的过程中,能够分担网络中工作站和服务器上传统防病毒软件的负载,优化网络资源。它提供极好的性能和最高的扫描能力,每小时可以最多扫描600000条信息(SMTP协议)和最高支持每秒30M/b(HTTP协议)流量,并对企业网络用户完全透明。

  方正硬件安全网关PAGD通过其反垃圾邮件模块可在未被请求的邮件到达用户信箱之前进行阻断或修改这些信息的主题,管理员可以限制客户端Internet访问,管理员可以定义不受欢迎内容目录、授权和非授权网页,允许管理员控制公司网络资源。阻止未知病毒和蠕虫进入公司网络,提供详尽的病毒、垃圾邮件和内容过滤的报告,并可自定义警告和通知。

  方正硬件安全网关可适应所有小型、中型和大型企业,最多支持40000台工作站。其内置的负载均衡功能无需其他软件和硬件支持,它允许负载在多台设备间共享,极大地提高了稳定性和扫描性能。

  

  使用Ghost导致数据丢失的现象

  很多朋友喜欢装完系统后用Ghost做一个系统镜像,当系统崩溃时,只需要几分钟时间,就可以恢复到当初的状态。

  飞客提醒:在众多的数据恢复案例里,因为Ghost使用不当而造成的数据丢失现象屡见不鲜往往给用户带来无法弥补的损失!

  现象一:使用Ghost恢复系统,重启计算机之后发现全部或部分分区丢失。很多使用Ghost的用户都遇到过这种问题,而且并不是由于误操作造成的。这种情况可能是Ghost软件本身的缺陷所致,此时用户不要着急,只要不对硬盘进行写操作的话,通过一些分区表修复软件或者找专业的工程师对分区表操作,修复的几率相当大。

  现象二:由于用户误操作,致使目标分区选择错误,从而使其他分区被覆盖。这种情况进行数据恢复相对比较复杂,用普通的软件来进行恢复往往不能成功,有经验的数据恢复工程师会采取手工方式将需要恢复的文件一个个提取出来。这个工作费时费力,对工程师的水平和经验要求颇高,而且恢复出来的数据通常不完整!

  为了方便保险起见,如果硬盘有重要数据的话,尽量先将数据备份出来,再进行Ghost操作!如果发生意外,切忌贸然操作,谨防二次数据损坏。