需要明确的是,目前市场上所有号称是NP防火墙的产品并非都是真正的NP防火墙,例如高端X86 CPU架构、多核CPU架构的防火墙,其实不是真正的NP防火墙。用户一定要认真对设备进行实际测试。测试可以采用Smartbits或IXIA等通用网络测试设备。测试和实际环境中的使用,是识别真假NP防火墙的试金石,只要经过简单的性能测试,很多假冒品就会“露馅”。
真正基于NP架构的防火墙在性能上都有不错的表现,一般来讲,真NP防火墙在吞吐率上可以达到64字节小包线速转发,并发连接数达到百万以上,处理延迟在20微秒以内。
假NP防火墙从哪来
某些所谓的NP防火墙在制造中往往采用了以下某种方式:1.虽然采用了NP芯片,但是没有基于微引擎实现防火墙功能,而是将其传递给控制CPU来做;2.OEM国外某些小公司的不成熟产品;3.虽然进行了部分的自主开发,但是并未掌握全线核心技术,产品稳定性有待考察。
采用上述第一种方式制造出的假NP防火墙,其最终试用效果和X86体系没有本质区别;对于后两种方式制造出的防火墙,一旦用户在使用中出了问题,厂商很难快速、准确地给出解决方案。
如何实现高性能的NP防火墙
怎样才能研制出真正性能稳定、高效的NP防火墙?这主要依靠NP芯片选型、硬件板设计与生产以及软件开发三个要素。
NP芯片选型。NP作为面向网络数据通信的专用芯片,其在架构和设计实现上有很多方式,因此,也就出现了多种NP芯片。选择不同的NP芯片对于基于NP技术的防火墙在性能和安全性上将有直接影响。目前,国内应用于防火墙的NP芯片主要来自于Intel公司的IXP系列和IBM的POWER NP系列。
硬件板设计与生产。高端防火墙设备在网络拓扑中的位置一般都很关键,这就对硬件平台的稳定性、可靠性提出了很高的要求。在稳定性方面,很多在低速设备遇不到的问题在千兆线速设备上将变得格外突出,比如,高速环境下的高频串扰等问题;在可靠性方面,需要在板卡设计上引入关键电路的冗余设计、灾难恢复机制等。
软件开发。防火墙是一种软硬一体的产品,硬件平台再好,终归只是给开发高性能防火墙打下了一个良好的基础,至于该防火墙是否能够最终成为一款优秀的产品,还要靠核心软件的配合。只有硬件和软件达到默契配合,才会最终实现高品质的系统。
联想网御用心打造高端NP防火墙
联想网御在部署NP高端防火墙的初始阶段,充分分析了基于NP开发防火墙涉及到的种种技术问题,慎重地采用了IBM POWER NP网络处理器NPS43C,为成功开发NP防火墙奠定了坚实的基础。在NP防火墙硬件板设计生产上,投入了大量资源,进行自主研发,在详细分析NPS43C技术特点的基础上,采用电信级网络设备的板卡设计技术进行优化和革新,掌握了高端防火墙硬件板设计核心技术。在软件开发方面,联想网御从2001年项目启动开始,进行了4年的微码开发经验积累。
联想网御NP高端防火墙厚积薄发,在成功地推出了网御7000系列NP千兆线速防火墙之后,又于近期成功推出了网御9000系列万兆防火墙。这充分证明了,只有真正掌握了NP防火墙开发的核心技术,顺应NP防火墙开发的客观规律,才能为国内高端线速NP墙市场的健康发展做出贡献。