《猎豹 防火墙白皮书》由会员分享,可在线阅读,更多相关《猎豹 防火墙白皮书(16页珍藏版)》请在金锄头文库上搜索。
1、网络卫士防火墙系统 网络卫士防火墙系统 猎豹系列 猎豹系列 产品说明产品说明 天融信 TOPSEC 北京市海淀区上地东路 1 号华控大厦 100085 电话:+861082776666 传真:+861082776677 服务热线:+86108008105119 http: /版权声明版权声明 本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有, 未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形 式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、 利益损失, 天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅
2、供参考, 有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有 不得翻印 19952009 天融信公司 商标声明商标声明 本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的 注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 TopSEC天融信 信息反馈信息反馈 http:/网络卫士防火墙猎豹系列产品说明 服务热线:4006105119/8008105119 i 1 可编程可编程 ASIC 技术技术.1 1.1 ASIC 技术的发展.1 1.2 可编程 ASIC 技术特点.2 1.3 可编程 ASIC 在安全领域应用的必然.3 2 猎豹系列防火
3、墙介绍猎豹系列防火墙介绍.4 2.1 产品概述.4 2.2 产品特点.5 3 猎豹系列防火墙功能猎豹系列防火墙功能.7 4 运行环境与标准运行环境与标准.10 5 典型应用典型应用.12 5.1 典型应用一:猎豹在大型网络中的应用.12 5.2 典型应用二:猎豹在千百兆混合网络中的应用.13 目 目 录录网络卫士防火墙猎豹系列产品说明 服务热线:4006105119/8008105119 1 1 可编程可编程 ASIC 技术技术 在确定技术总体方案时,选择合适的硬件体系结构是非常重要的。如果硬件架构选 择不当,就无法保证千兆线速防火墙必须具备的高性能、高灵活性和足够的稳定性。 目前实现千兆防火
4、墙的硬件体系结构可以分为通用 CPU 架构、可编程 ASIC 架构和 网络处理器架构三种,他们各自的特点分别如下: ? 通用 CPU 架构 通用 CPU 架构最常见的是基于 Intel X86 架构的防火墙, 在百兆防火墙中 Intel X86 架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐;由于采用了 PCI 总线接 口,Intel X86 架构的硬件虽然理论上能达到 2Gbps 的吞吐量甚至更高,但是在实际应 用中,尤其是在小包情况下,远远达不到标称性能,通用 CPU 的处理能力也很有限。 ? 可编程 ASIC 架构 可编程 ASIC(Application Specific In
5、tegrated Circuit,专用集成电路)技术 是当前高端网络设备广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层 面与控制层面分离等技术,可编程 ASIC 架构防火墙解决了带宽容量和性能不足的问题, 稳定性也得到了很好的保证。 ? 网络处理器架构 由于网络处理器所使用的微码编写有一定技术难度,难以实现产品的最优性能,因 此网络处理器架构的防火墙产品难以占有大量的市场份额。 因此,采用可编程 ASIC 架构是目前千兆高端防火墙的主流技术。 1.1 ASIC 技术的发展技术的发展 从概念上来讲,从有电路的一刻起,就开始了 ASIC(Application-Specific Int
6、egrated Circuit,专用集成电路)的开发与应用,ASIC 采用硬接线的固定模式,最 早的 ASIC 确实是完全量身订造,并经过了数十年的发展,现在每年 ASIC 市场超过 90 亿美元。可编程芯片则从 70 年代初期开始起步,可编程逻辑装置(Programmable Logic Device;PLD)经历了 PLA、PAL、GAL、PEEL、EPLD、CPLD、SPLD、FPGA 等阶段,现在 每年主流的 FPGA(Field Programmable Gate Array,现场可编程门阵列)市场超过 30 亿 美元,FPGA 在小量应用或大量但低复杂度的应用中具有光明的前景。 当
7、前自主研发芯片的网络 IT 设备大多采用了 ASIC 或者 FPGA 技术。厂商在考虑选 用ASIC和FPGA时, 硅芯片成本、 NRE(非重复性工程设计, Non-Recurring Engineering) 、 封装和测试费用等是厂商考虑的主要因素。当设计要求具有极高的性能、极大的容量或网络卫士防火墙猎豹系列产品说明 服务热线:4006105119/8008105119 2 最低的功耗时,标准单元 ASIC 很可能仍将是首选的技术,只要产量和价格能满足业务 的需要。 然而,最新的统计显示,大约 80%的 ASIC 从来没有达到 50 万片以上的投产量。目 前, 中等设计复杂度大约是 120
8、 万门(80 万逻辑单元和 40 万储存单元)。 尽管 FPGA 供货 商并不承认, 但最大型的 FPGA 仍必须突破 100 万逻辑闸的门坎。 结果, 越来越多的 ASIC 用户正寻求可行的替代方案。这些趋势说明,不论 ASIC 还是 FPGA 都不能有效满足某些 设计需要,而且这样的设计变得越来越多,FPGA 与标准单元 ASIC 之间存在巨大的市场 空白。传统的 ASIC 和 FPGA 设计方法,都能够满足网络 IT 设备部份需要,但随着应用的 多样化,这两种技术都也暴露了一些大缺陷: 1)虽然 ASIC 一旦投产,就能提供良好的性价比,但 ASIC 设计、工具和光罩的巨 额成本令大多数
9、公司望而却步。严格的 ASIC 设计流程和硬联机的实现方式不能提供相 应的灵活性,因而无法及时抓住稍纵即逝或新兴的市场机会。缺乏灵活性还导致可升级 能力较弱,因为诸如通讯基础设备等许多应用的关键需求之一是具备现场可升级能力。 2) FPGA 能解决上市时间以及 ASIC 缺乏灵活性的问题, 并能避免在工具上的前端高 额投资以及 NRE 费用。然而,高昂的 FPGA 单片成本限制了它们在成本感应型应用中的 使用。高功耗、低性能以及有限容量等技术因素使 FPGA 在很多应用中显得不切实际或 缺乏经济上的可行性。 日益缩短的产品生命周期以及不断提高的性能和容量需求迫使产品开发商采用创 新的 IC 技
10、术,以满足这些市场需求。为解决传统设计方法的缺陷,特别是弥补 FPGA 和 高端 ASIC 之间的需求间隔,从 2002 年开始众多厂商先后提出并开发了可编程 ASIC(Programmable ASIC),可编程 ASIC 融合了 FPGA 和 ASIC 的优点,克服了它们的缺 陷。 1.2 可编程可编程 ASIC 技术特点技术特点 可编程 ASIC 是将多个电路迭层(Layer)的 ASIC,将其中数层的电路改成 FPGA 的 型态(允许变动、调整电路),并保留几层为原有的传统 ASIC 型态(不允许再行调整 电路)。如此,可编程 ASIC 的价位成本、变更弹性、设计周期、效能、用电等各种
11、特 性,皆能介于 ASIC 与 FPGA 之间。这种电路结构、特性上采复合、混种的设计正好填补 了今日 ASIC 与 FPGA 所难兼顾的市场需求。 可编程 ASIC 的设计如图所示, 在七层的电路迭层, 其中三层允许可程序化调整 (类 似 FPGA),其它层仍为传统 ASIC 的固定光罩制成。网络卫士防火墙猎豹系列产品说明 服务热线:4006105119/8008105119 3 图 11 可编程 ASIC 的七层迭层电路 由于可编程ASIC的设计不同于以往的ASIC, 也不同于以往的FPGA, 鉴于可编程ASIC 的技术优势,众多全球性大公司参与其中,很多知名的开发厂商都提供了相应工具,形
12、 成了一个完整的可编程 ASIC 的产业链。 在可编程 ASIC 中固定的或低风险的设计功能例如防火墙系统的路由、交换、 以及报文队列等,可以用传统 ASIC 电路实现,而高风险模块和需要现场可升级能力的 功能可以被置于可编程的电路层中实现。这种方案能提供类似 FPGA 的设计流程和灵活 性,同时达到类似 ASIC 的性能、功耗和成本。 传统 ASIC 在 TAT(Turn-Around Time;设计、验证、修正微调的周期往返时间)周 期时间上需时 50 多个星期,而改用可编程 ASIC 可缩短至 1820 个星期,大大加速芯 片产品及时上市的时间。同时基于可编程 ASIC 的产品的 NRE 费用接近 FPG
