-
-
[原创]高性能安全产品硬件发展
-
2009-3-19 00:30
9627
-
author : liucy
1 信息安全产品已经已经从x86 --> np --> ASIC-->高端多核mips结构
2 X86架构
最初的千兆防火墙是基于X86架构。X86架构采用通用CPU和PCI总线接口,具有很高的灵活性和可扩展性,曾经是防火墙开发的主要平台。
优点: 产品功能主要由软件实现; 容易增加或减少功能模块.
缺点: x86作为通用的计算平台,不易优化; 带宽受PCI总线的限制; CPU的处理能力有限,很难达到千兆速率; X86架构是基于定制的通用操作系统,安全性取决于通用操作系统自身的安全性。
3 ASIC架构
ASIC通过专门设计的ASIC芯片逻辑进行硬件加速处理。
优点: ASIC把指令或计算逻辑固化到芯片,获得很高的处理能力;具有更广泛的适应能力。
缺点: 灵活性和扩展性不够; 开发周期太长,一般耗时接近2年; 研发成本较高,灵活性受限制、无法支持太多的功能;
其性能具有先天的优势,非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。
4 NP架构
NP是介于两者之间的技术,是专门为网络设备处理网络流量而设计的处理器. 其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化,高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线规范,具有较高的I/O能力。可以构建一种硬件加速的完全可编程的架构,这种架构的软硬件都易于升级,软件可以支持新的标准和协议,硬件设计支持更高网络速度,从而使产品的生命周期更长。
5 MIPS多核架构
我重点从事了这个架构的内核os实现. mips体系是高端安全嵌入式发展方向. 目前有rmi和Cavium两个厂家比较有名. 我们用的是rmi的多核架构,他使用了fmn技术, 一个芯片8个cpu, 每一个cpu有4个线程, 因此可以说有32个cpu. 对网络数据包在硬件上做了优化,有多种数据分发模式.重点说一下加密引擎,底层驱动开发很难,而且还要对外的软件加密库提供一致的接口,当时搞的很累.而且采用mips指令, 速度相当的快. 因此从硬件结构+指令极大提高性能.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
学习了
