科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道开发硬件防火墙的主要步骤(2)

开发硬件防火墙的主要步骤(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这里说的虽然是硬件防火墙,但几乎所有的工作都是软件工作。要决定开发一个百兆的防火墙,需要选定一款合适的服务器主板,或者工控机,另外就是要选定一个好的网卡,通常是服务器专用网卡。

作者:51CTO.COM 2008年4月14日

关键字: 内核 防火墙 硬件 Linux

  • 评论
  • 分享微博
  • 分享邮件

  本文介绍的,是中档的企业级百兆防火墙的开发的主要步骤。这一级防火墙,是目前企业采购的主要对象,也是最需要的产品类型。国产防火墙,基本上集中在这个区间,操作系统一般选用开源的Linux或者BSD;相比之下,BSD的应用程序升级速度不算快,所以大部分防火墙选用的是Linux。

  要决定开发一个百兆的防火墙,需要选定一款合适的服务器主板,或者工控机,另外就是要选定一个好的网卡,通常是服务器专用网卡。虽然象Linux 这样的操作系统可以自动适应不同的主板,(只要它符合象PC2000这样的标准),Linux的最新内核也总能支持较新的主板的性能,(如PIII的超线程);但每个主板和CPU之间还是有少许不同的;作为一个防火墙,除非对极端性能要求不是太严格,否则,需要针对主板和CPU的一些特性,如寄存器, SMP,超线程等等对内核进行针对性的修改和优化,否则,默认的内核就只能使用这些主板/CPU最基本的部分。举个例子说,防火墙有一个重要的性能指标叫最大会话数速率,或称每秒最大生成会话数,如果使用普适形的内核用到P3CPU上,能够达到的最大数值大致也就只有几千;但经过对针对主板设计(这种说明可以从主板和CPU厂商获取)进行优化,可以把性能提高到3-5万左右。同样,单纯升级主板和CPU不见得能提高性能,象把防火墙从P3升级到P4,如果没有支持P4的特殊性能,如超线程,最大会话能力就仍与P3没有区别,不如不升值,还可以减点成本。而专门的优化,则可以把性能达到50万,这也是这类防火墙的使用Intel架构主板目前所能达到的极限。针对选定硬件的优化工作尽管独立于防火墙开发的主体软件工作,一般情况下也不会显出它的必要性,但当防火墙进行极端的使用环境或评测环境时,显出的差距就非常大。针对网卡的开发驱动程序除了优化性能外,另一个目的就是要把防火墙与网关绑定在一起,以免被盗版。这个驱动程序与定造的防火墙内核一起,就令盗版显得困难得多了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章