返回
挑战及实现——谈高端安全产品设计

挑战及实现——谈高端安全产品设计

ID:19674252

大小:33.00 KB

页数:10页

时间:2018-10-04

挑战及实现——谈高端安全产品设计_第1页
挑战及实现——谈高端安全产品设计_第2页
挑战及实现——谈高端安全产品设计_第3页
挑战及实现——谈高端安全产品设计_第4页
挑战及实现——谈高端安全产品设计_第5页
资源描述:

《挑战及实现——谈高端安全产品设计》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、挑战与实现——谈高端安全产品设计挑战与实现——谈高端安全产品设计在高端安全产品的设计过程中,高性能的安全产品意味着有创造力的硬件设计框架,也意味着复杂的电路设计。系统必须要满足高可靠性设计要求、环保和电磁兼容性设计要求、低功耗的绿色系统设计要求,在性能和硬件工程设计方面达到平衡。笔者将从硬件架构设计、可靠性设计及节能环保绿色设计三个方面进行论述。一、硬件架构设计1、高性能需求对关键芯片与交换架构设计的考虑从关键芯片角度看,通常安全产品的硬件架构可以分为通用处理器架构、NPU、FPGA、ASIC以及多核的MIPS架构等。l通用处理器架构的产品开发门槛低,性能基本能满足中低端用户的需求,产品功

2、能的扩展也比较便利。主要缺点是成本高、功耗大、硬件不够稳定,对于高可靠性和高性能的要求力不从“芯”,不适合担当中高端网络安全产品的角色。l部分厂商主要以ASIC架构的专用硬件设备为主,以高性能和高可靠性著称。但由于ASIC芯片设计的复杂性和高成本,产品升级换代的时间较长,扩展性差,远远不能跟上日益纷繁复杂的安全需求变化的脚步。l网络处理器(NPU)采用设计良好的体系结构和专门针对网络处理优化的部件,它的设计充分结合了网络环境中数据流的特点,具有ASIC高速处理性能,同时又有可编程特性,因此既能保证系统灵活性,又能实现线速处理数据包所要求的高性能硬件功能。l多核处理器是将多个通用的CPU以及

3、一些功能部件集成到一块芯片中形成的一个片上系统,它良好的继承了通用处理器高灵活性和高可扩展性的特点,同时具备强劲的性能。多线程技术可以充分利用访问内存或者I/O时所必须等待的时间,尽可能的发挥多个CPU的并行处理能力,从而提高了整体系统的性能。高速的核间通讯技术使得各个核间、核与其它功能部分之间在同一时间各自并行的传递数据,打破了核间通讯以及系统其他部件间通信的性能瓶颈,使系统性能得到保证。网络专用的多核处理器中带有内置的网络加速器和硬件安全引擎,充分利用这些硬件加速器可以有效提高业务处理性能。图1列举了不同的系统架构能够达到的性能范围。图1防火墙硬件架构性能图由图中可以看出对于高性能的要

4、求NPU、MIPS和FPGA架构都可以达到,至于具体使用哪一种,可以根据产品的类型、厂商的研发实力、预计投入成本和开发周期等因素来抉择。另外,多种架构混合的产品形态也越来越常见,不同架构之间可以优势互补,以达到最佳效果。从交换架构角度看,交换架构是网络设备的重要组成部分,它直接决定设备的性能。高性能交换架构的设计对网络核心设备的研制十分关键。交换网络一般分为共享式交换网、Crossbar和多级交换网络等几类。其性能依次提高,但同时随之而来的是网络架构的复杂度、软件设计的复杂度及设备成本的大幅提高。l共享式交换网络交换容量不易做大,多用于低端设备。l多级交换网络将交换矩阵的输入分散于多个独立

5、路由平面(良好冗余性,无调度器的瓶颈),再利用多级结构,使矩阵本身具有重组功能及较高的加速比,目前多应用于高端核心路由器如T级别路由器,安全产品较少采用。lCrossbar被称为交叉开关矩阵或纵横式交换矩阵,其内部采用纯粹的交换方式,取代了以往的共享总线、共享内存等互联方式,任何端口的输入到任何端口的输出之间都有独立通道,通过控制矩阵控制每个通道的通断,目前在安全产品中采用较多。2、系统可扩展性设计要求用户实际组网中很难做到一步到位,尤其高端产品良好的可升级性及弹性配置几乎是必须的,这也是出于对用户投资的有效保护。这种可升级性几乎是全方位的,产品功能、性能、接口甚至电源/风扇都要做到灵活升

6、级配置。这就要求产品在设计初始就必需充分考虑到产品的升级需求:小到内存条容量的升级,大到网络接口、设备性能/处理能力的升级。任何系统的可扩展、可升级能力与其所用的零部件和系统本身的结构等有关。例如,DRAM的存取时间在20年间(1985-2004)仅仅缩小50%,而半导体的速度却增加了2720倍,因此,DRAM就成为一个提升系统性能的瓶颈。所以应当避免使用升级能力较弱的零部件。设计系统时,也必须考虑所采用的零部件是否有很好的成长空间,这样一来,就可以在不变更其工作原理及界面的条件下,使系统的容量能有数十倍、甚至数百倍的提升。二、可靠性设计防火墙设备是所有信息流都必须通过的单一点,一旦故障所

7、有信息流都会中断。保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。高端安全设备的网络位置决定了其对设备可靠性有极高的要求,例如主控板卡冗余设计、模块热插拔更换等手段已经不能完全满足其要求。1、故障检测与可测试性对于高可靠性设备而言,实时的状态检测是必不可少的,除了针对设备内部电源状态、风扇状态、温度等常规检测项外,一些用于预警的状态信息也要尽可能的进行实时检测或必要解析,例如:l硬盘状态的实时检测及状态上报

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。