浅谈网络安全的硬件设备
随着互联网的飞速发展,基于互联网的各种应用也无处不在,对于网络安全的功能和性能的要
求也越来越复杂和越来越高。现今的网络安全产品,已经从过去单一的防火墙和 VPN,到入侵
检测,到增加了防病毒功能的 UTM,再到现在基于行为和内容管理的下一代防火墙。从过去的百
兆产品到了千兆产品,而现在对万兆产品的需求也越来越大。
有很多人很容易混淆网安产品和通讯产品,往往觉得网络安全产品和通讯产品的交换机,路由
器差不多,最多就是在通讯产品增加了安全功能。其实这是非常错误的,简单来说一般的通讯
产品只对三层内的协议进行分析、处理和转发,而网络安全产品就是要对三层和三层以上的数
据及内容进行分析、处理和转发。传统通讯产品一般会把处理机制分成两个层面,一个数据层,
一个是管理层。数据层主要是对数据包进行转发,而管理层只是对三层以内的数据特别是包头
处理,例如建立各种转发的表项等,等管理层面处理完之后或者连接建立以后,发给数据层进
行转发。而同一个数据连接的数据包就不需要再经过管理层就可以直接进行转发了。这样的机
制就大大提高了数据的转发效率和传输能力。所以传统的通讯设备往往能到千兆线速、万兆线
速的性能,其数据层一般是由交换芯片实现,而管理层则由 CPU(处理器)来实现。因为传统的通
讯产品对三层以上的数据基本不做处理,所以他们对 CPU 处理能力特别是运算能力要求不是很
高。而网络安全产品因为要对三层以上的数据包进行处理,不能单纯的分为数据层和管理层,
数据层和管理层是相对比较模糊的,数据包需要经过大量分析和处理之后才能进行转发。应该
分为数据层和处理层,所以要求其有很高的转发能力和处理能力。
基于以上特性,最先应用于网络安全的硬件架构产品是基于 CISC(复杂指令集)即 x86 处理器的
产品。为什么是 x86 架构呢?首先要从操作系统说起,网络安全产品很多都是基于 Linux 开发,
资源评论
