开发硬件防火墙的主要步骤(2)

　　本文介绍的，是中档的企业级百兆防火墙的开发的主要步骤。这一级防火墙，是目前企业采购的主要对象，也是最需要的产品类型。国产防火墙，基本上集中在这个区间，操作系统一般选用开源的Linux或者BSD；相比之下，BSD的应用程序升级速度不算快，所以大部分防火墙选用的是Linux。

　　要决定开发一个百兆的防火墙，需要选定一款合适的服务器主板，或者工控机，另外就是要选定一个好的网卡，通常是服务器专用网卡。虽然象Linux 这样的操作系统可以自动适应不同的主板，（只要它符合象PC2000这样的标准），Linux的最新内核也总能支持较新的主板的性能，（如PIII的超线程）；但每个主板和CPU之间还是有少许不同的；作为一个防火墙，除非对极端性能要求不是太严格，否则，需要针对主板和CPU的一些特性，如寄存器， SMP，超线程等等对内核进行针对性的修改和优化，否则，默认的内核就只能使用这些主板/CPU最基本的部分。举个例子说，防火墙有一个重要的性能指标叫最大会话数速率，或称每秒最大生成会话数，如果使用普适形的内核用到P3CPU上，能够达到的最大数值大致也就只有几千；但经过对针对主板设计（这种说明可以从主板和CPU厂商获取）进行优化，可以把性能提高到3-5万左右。同样，单纯升级主板和CPU不见得能提高性能，象把防火墙从P3升级到P4，如果没有支持P4的特殊性能，如超线程，最大会话能力就仍与P3没有区别，不如不升值，还可以减点成本。而专门的优化，则可以把性能达到50万，这也是这类防火墙的使用Intel架构主板目前所能达到的极限。针对选定硬件的优化工作尽管独立于防火墙开发的主体软件工作，一般情况下也不会显出它的必要性，但当防火墙进行极端的使用环境或评测环境时，显出的差距就非常大。针对网卡的开发驱动程序除了优化性能外，另一个目的就是要把防火墙与网关绑定在一起，以免被盗版。这个驱动程序与定造的防火墙内核一起，就令盗版显得困难得多了。