关于硬件防火墙的"芯片级"与"线速"

　　现在DDOS拒绝服务攻击防御的厂商在进行自己产品推广时，无所不用其极，往往对外宣称自己是芯片级防火墙、能提供线速防御等等，对防火墙技术和网络技术了解不深的使用者又往往对这些专业名词不甚了解，容易轻易相信这些宣传，在这里中国DDOS防御研究实验室（www.chinaddos.com）就宣传得最多的“线速”和“芯片级”进行一些简单说明，希望能帮助正在选择DDOS硬件防火墙的人群。

　　1、 关于芯片级防火墙

　　谈到芯片级防火墙，我们需要先了解一下现行主流的硬件防火墙架构，现在我们在防火墙市场上能接触到的有“X86架构”、“RISC架构”，“ASIC架构”等。

　　X86架构：

　　实际上X86架构跟我们日常使用的PC机在硬件结构上无异，也是由主板、CPU、风扇、内存、硬盘等组成，可以说，X86的硬件防火墙实际上是由一台PC机和在其上运行的操作系统和防火墙软件组成。只是X86架构的防火墙使用专门的工控主板，屏蔽了我们所熟悉的VGA、鼠标、键盘等接口，机箱使用1U或2U的机架式机箱，从外观上不容易区分和其他架构的区别。

　　X86架构的防火墙在开发上最简单，一般X86防火墙产品使用的底层操作系统是Linux或FreeBSD，有极少数产品采用Windows。

　　X86架构的防火墙发展受到体系结构的制约，作为通用的计算平台，X86的结构层次较多，不易优化，且往往会受到PCI总线的带宽限制。虽然PCI总线接口理论上能达到接近2Gbps的吞吐量，但是通用CPU的处理能力有限，尽管防火墙软件部分可以尽可能地优化，很难达到千兆速率。同时很多X86架构的防火墙是基于定制的通用操作系统，安全性很大程度上取决于通用操作系统自身的安全性，可能会存在安全漏洞。

　　由于没有对网络处理提供额外的硬件支持，X86架构在网络处理性能上是所有防火墙架构中最低的。

　　RISC架构：

　　RISC架构和X86架构类似，只是芯片是采用PowerPC、Motorola、Intel IXP 2XX ~ 4XX等RISC（精简指令集）的CPU，为网络数据包和加解密等提供了额外的硬件芯片支持，能有效提高网络性能。

　　RISC架构防火墙上运行的操作系统一般为Linux、FreeBSD、VxWorks等支持嵌入式编译的操作系统。

　　RISC架构在网络处理性能上，优于同档X86防火墙的网络处理性能。

　　ASIC架构：

　　相比之下，ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。新一代的高可编程ASIC采用了更灵活的设计，能够通过软件改变应用逻辑，具有更广泛的适应能力。但是，ASIC的缺点也同样明显，它的灵活性和扩展性不够，开发费用高，开发周期太长，一般耗时接近2年。

　　抗DDOS（拒绝服务攻击）硬件产品的现状

　　在拒绝服务攻击领域，市面上所有的产品全部都是X86架构的，虽然很多抗拒绝服务攻击厂商对外宣称自己的防火墙产品是芯片级等等，但无法逃避的是，其使用的仍然是X86的系统架构。用户在选择抗DDOS防火墙时，一定要认清其本质，小心甄别。

　　2、 关于线速

　　线速的概念最早是出现在交换机领域，其含义是设备指能够按照网络通信线上的数据传输速度实现无瓶颈的数据交换，简单来说，线速是指包转发速度能达到光纤或五类线直接连接的无瓶颈速度。

　　实际上，一种标称线速交换的网络设备，其任何交换端口应该能提供等同于网线般无延迟的交换性能。例如，一个6端口的DDOS千兆防火墙，就应该能提供6*1480000个64字节小包转发的性能。

　　但现状是，所有的DDOS防火墙采用的都是X86架构，X86架构无法提供千兆线速转发的性能，这是业界公认的事实。也就是说，无论厂商如何宣称其是千兆线速防御等等，我们都要清楚的认识到，这不可能。

　　其实，拒绝服务攻击防御领域使用“线速”这个词实有偷换概念之嫌，DDOS防火墙厂商所宣称的“线速防御”并不是“线速交换”，其的理论基础是“当外网入口线路到达的数据包数量达到1480000个时，能够从中甄别出攻击的数据包和正常访问的数据包”，这样称之为“线速防御”。这和通用基于状态检测的包过滤防火墙使用的“线速”概念完全不同，用户应该了解清楚。