面试之防火墙软硬件架构
纯软件的防火墙大多都是基于PC架构的,可能会采用经过优化的OS作为其运行的平台,特点是:扩展性好、适应性强、容易升级而且成本远低于基于硬件的防火墙。
基于硬件的防火墙大多采用ASIC,而不需要OS的支持,其特点是:速度快、稳定性好、安全系数要高于软件的防火墙,但成本较高、扩展性和易升级性不如软件防火墙。
ASIC的全称为Application Specific Integrated Circuit,意思是专用集成电路,是一种带有逻辑处理的加速处理器,简单地说,ASIC就是利用硬件的逻辑电路实现软件的功能。网络产品采用ASIC技术的目的在于把一些原先由CPU完成的经常性工作交给专门硬件来负责完成,从而在性能上实现突破性的提高。ASIC技术目前已广泛应用于交换机、路由器、防火墙以及智能型IC卡身份证等领域。
CPU芯片与ASIC芯片各有优缺点。CPU最大的优点是灵活性高,它利用指令集和软件完成各种各样的工作,但是CPU的实际处理能力往往受PC机和通用操作系统的规格限制。ASIC则是以单一功能的集成电路来完成进程处理,虽然牺牲了灵活性但换来了高可靠性和强大的处理能力,属于“专用硬件”处理范畴。
ASIC芯片与CPU各有特点,在应用上也各有针对性。为了适应多种应用需求,人们希望采用CPU;在相对比较单一的领域,人们则希望ASIC能带来较高的运算效率。由于CPU和ASIC针对的应用领域不同,所以我们不能将两者进行简单对比,而是要看其具体应用领域而定。在某些技术的发展初期,为了节省开发成本,人们往往采用基于CPU的通用PC机来完成一些应用。随着技术的成熟以及应用程序的日趋复杂,人们开始考虑采用ASIC以达到更严格、高效的性能。这一发展趋势的典型例子是路由器的演变历程:PC路由软件->专用路由器->基于ASIC的路由交换机、交换路由器。同样,在安全领域,防火墙也正经历着一个相似的发展历程。防火墙的发展可大致概括为三个阶段:纯软件防火墙、软硬结合防火墙和ASIC硬件防火墙。
纯软件防火墙基于PC机,并运行在通用操作系统如Unix、Windows平台上。一般的操作系统并不是为网络安全定制的,因此不可避免地存在许多漏洞或Bug。这样,即使是经过防火墙过滤被认为是正常的数据包,也有可能是一个被用来攻击操作系统的“炸弹”。一旦操作系统被攻陷,防火墙也失去了价值。加上这类防火墙没有专有的资源,所有的工作都要与其他任务进程使用相同的资源,包括公用的CPU、RAM、PCI总线等等,防火墙的性能自然受到影响。
软硬结合的防火墙不再使用通用操作系统,而采用专用或自主研发(优化)的操作系统。这些为网络安全而定制的操作系统,从根本上解决了软件防火墙存在的安全性隐患,在整体处理性能上也比软件防火墙有了大的提高。但是这类防火墙的基本加密和解密等处理过程,仍然需要依靠软件去完成,仍属于PC结构的防火墙。
ASIC硬件防火墙近来有了长足的发展。随着网络建设复杂性的提高以及宽带网络的发展与普及,人们发现软硬结合防火墙在速度、功能、稳定性方面仍不尽如人意,这都成为促进ASIC硬件防火墙发展的动力。ASIC硬件防火墙采用ASIC芯片和多总线、并行处理方式,使原先需要上千甚至上万条指令才能完成的过程在瞬间由数个循环就可以完成,多总线结构保证在端口上有数据传送时防火墙内部仍然可以同时进行高效数据处理,不再受传统的“中断”限制。ASIC硬件防火墙采用专用操作系统,具有很高的安全性。事实上,这类防火墙的CPU通常只采用中端产品,但这并不妨碍独立工作的ASIC具有超高速处理能力,这是因为此类防火墙的操作系统和CPU只起ASIC硬件驱动和提供管理接口作用,只负责总体协调却不参与任何防火墙的基本处理。在ASIC芯片全力投入数据处理的时候,CPU仍然处于较低的使用状态,而不会影响到对设备管理的响应速度。所以ASIC硬件防火墙可以全面发挥自身的速度和处理能力,不受会话数量的影响。并且ASIC硬件防火墙彻底摆脱了PC结构的影响。
下面我们来对PC结构的防火墙和ASIC结构的防火墙作一个比较。PC结构的防火墙如果倾其所能去完成某一项任务时(如单策略、单会话状态下的地址转换),也可以达到或接近ASIC防火墙的处理能力,但是在典型的宽带应用环境中,数万甚至数十万的并行会话不仅对PC结构的防火墙带来更多的中断,而且使它的处理能力急剧下降;ASIC结构则不存在这个问题,会话数的多少对处理能力几乎没有影响。在加密、解密能力方面,PC结构的防火墙需要借助昂贵的加密卡才能达到一定处理速度;而ASIC芯片集成了防火墙基本操作,即便在运行高强度加、解密的情况下处理速度也不会有太大的降低。在短期与长期成本方面,ASIC防火墙购置成本虽然要比软件防火墙高,但是考虑到企业网络未来的升级,ASIC防火墙能够有效保护企业的现有投资,节省日常维护费用。
面试之防火墙软硬件架构相关推荐
- 防火墙x86架构和ASIC架构和NP架构的区别
防火墙x86架构和ASIC架构和NP架构的区别 在众多的安全产品中,防火墙产品无疑是保障网络安全的第一道防线,很多企业为了保障自身服务器或数据安全都采用了防火墙. 随着Internet的迅速普及,全 ...
- 深度解析HashMap高频面试及底层实现架构!
深度解析HashMap高频面试及底层实现架构! HashMap高频面试题 1,Map接口和List接口是什么关系? 2.Map有哪些常用的实现类? 3.请阐述HashMap的put过程? 4.链表中是 ...
- CUDA编程学习3——并行计算初窥CUDA的软硬件架构
目录 并行计算概述 查看GPU相关信息 软硬件架构基础 物理层(物理结构) 逻辑层(kernel组织) 物理层和逻辑层的总结 参考 并行计算概述 所谓并行计算的概念定义 同时多个计算资源一起工作(逻辑 ...
- 函数计算 GB 镜像秒级启动:下一代软硬件架构协同优化
作者:修踪 审核&校对:Chang Shuai.望宸 编辑&排版:雯燕 背景 函数计算在 2020 年 8 月创新地提供了容器镜像的函数部署方式.AWS Lambda 在 2020 年 ...
- 函数计算GB镜像秒级启动:下一代软硬件架构协同优化
简介: 优化镜像加速冷启动大致分为两种做法:降低绝对延迟和降低冷启动概率.自容器镜像上线以来我们已经通过镜像加速技术,分阶段降低了绝对延迟.本文在此基础上,介绍借助函数计算下一代IaaS底座神龙裸金属 ...
- DARPA Grand挑战赛Overbot的软硬件架构,轨迹规划和车辆控制
原文标题: Trajectory Generation and Control Methodology for an Autonomous Ground Vehicle 论文来源: Autonomou ...
- 浅谈Redis面试热点之工程架构篇[1]
前言 前面用两篇文章大致介绍了Redis热点面试中的底层实现相关的问题,感兴趣的可以回顾一下: [决战西二旗]|Redis面试热点之底层实现篇 [决战西二旗]|Redis面试热点之底层实现篇(续) 接 ...
- 智能计算之服务器软硬件架构
服务器是软件和硬件组成的,本次博客会介绍关于服务器的软硬件的组成和架构,服务器的演进.分类和组成,服务器软件的分类,以及日常软件的功能介绍. 服务器硬件架构介绍 首先,先了解一下服务器的基本概念.服务 ...
- 认识工业防火墙硬件架构
现如今,在网上很少能找到关于一款产品的硬件设计描述类的文章了,大部分是关于软件功能实现的描述,阅读软件功能实现总让我们这些搞嵌入式出身的人不过瘾,总觉得隔着点什么.看到一个铁盒子,总想把它拆开看看里面 ...
- 面试官:作为架构师,请你谈谈Saas 应用如何搭建?
点击上方蓝字,关注我们 引言 如今,软件通常会作为一种服务来交付,它们被称为网络应用程序,或软件即服务(SaaS).12-Factor 为构建如下的 SaaS 应用提供了方法论: 使用标准化流程自动配 ...
最新文章
- oracle外部表使用详解,详解Oracle外部表的一次维护(图文)
- 中国水产饲料市场发展深度调研及十四五前景预测报告2022年版
- C++之智能指针std::shared_ptr简单使用和理解
- STM32F1笔记(十一)ADC
- 模板匹配中差值的平方和(SSD)与互相关准则的关系
- 头条鼓励内容营销吗?创作商品营销内容会不会限制推荐?
- Vue 学习笔记(1) Vue 基础语法 + Axios 基本使用
- Emit学习-进阶篇-异常处理
- python爬取教务系统_python 爬取 强智科技教务系统(湖南)
- spark mysql java_使用Spark/Java将数据框架中的记录插入到MySQL表中
- 《程序是怎样跑起来的》第七章
- 一个壮观的雨瀑布视频
- 软件项目进度控制表(自制)
- 关于VS2008 SP1和 VS2010备忘
- ESP8285开发、比ESP8266好,利用率比ESP-01更好
- Iometer存储测试工具参数说明- 2 Access Specifications
- 【学习笔记】【MAC】sdk自带uiautomatorviewer启动报错问题解决
- 使用Lens管理多云Kubernetes
- 如何修改网易邮箱大师电脑端的消息提示音?超简单
- Elasticsearch:如何制作 GeoJSON 文件并进行地理位置搜索