author : liucy

1 信息安全产品已经已经从x86 --> np --> ASIC-->高端多核mips结构

2 X86架构

　　最初的千兆防火墙是基于X86架构。X86架构采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，曾经是防火墙开发的主要平台。

    优点: 产品功能主要由软件实现; 容易增加或减少功能模块.

　　缺点: x86作为通用的计算平台，不易优化; 带宽受PCI总线的限制; CPU的处理能力有限，很难达到千兆速率; X86架构是基于定制的通用操作系统，安全性取决于通用操作系统自身的安全性。

3 ASIC架构

    ASIC通过专门设计的ASIC芯片逻辑进行硬件加速处理。

    优点: ASIC把指令或计算逻辑固化到芯片，获得很高的处理能力;具有更广泛的适应能力。

    缺点: 灵活性和扩展性不够; 开发周期太长，一般耗时接近2年; 研发成本较高，灵活性受限制、无法支持太多的功能;

      其性能具有先天的优势，非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。

4 NP架构

    NP是介于两者之间的技术，是专门为网络设备处理网络流量而设计的处理器. 其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化，高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线规范，具有较高的I/O能力。可以构建一种硬件加速的完全可编程的架构，这种架构的软硬件都易于升级，软件可以支持新的标准和协议，硬件设计支持更高网络速度，从而使产品的生命周期更长。

5 MIPS多核架构

    我重点从事了这个架构的内核os实现. mips体系是高端安全嵌入式发展方向. 目前有rmi和Cavium两个厂家比较有名. 我们用的是rmi的多核架构,他使用了fmn技术, 一个芯片8个cpu, 每一个cpu有4个线程, 因此可以说有32个cpu. 对网络数据包在硬件上做了优化,有多种数据分发模式.重点说一下加密引擎,底层驱动开发很难,而且还要对外的软件加密库提供一致的接口,当时搞的很累.而且采用mips指令, 速度相当的快. 因此从硬件结构+指令极大提高性能.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课