防火墙架构演变三部曲0热室压铸机
防火墙架构演变三部曲
防火墙架构演变三部曲 2011年12月04日 来源: 为了满足用户的更高要求,防火墙体系架构经历了从低性能的x86、PPC软件防火墙向高性能硬件防火墙的过渡,并逐渐向不但能够满足高性能,也需要支持更多业务能力的方向发展。防火墙在经过几年繁荣的发展后,已经形成了多种类型的体系架构,并且这几种体系架构的设备并存互补,并不断进行演变升级。防火墙体系架构“老中青”防火墙的发展从第一代的PC机软件,到工控机、PC-Box,再到MIPS架构。第二代的NP、ASIC架构。发展到第三代的专用安全处理芯片背板交换架构,以及“All In One”集成安全体系架构。为了支持更广泛及更高性能的业务需求,各个厂家全力发挥各自优势,推动着整个技术以及市场的发展。目前,防火墙产品的三代体系架构主要为:第一代架构:主要是以单一CPU作为整个系统业务和管理的核心,CPU有x86、PowerPC、MIPS等多类型,产品主要表现形式是PC机、工控机、PC-Box或RISC-Box等;第二代架构:以NP或ASIC作为业务处理的主要核心,对一般安全业务进行加速,嵌入式CPU为管理核心,产品主要表现形式为Box等;第三代架构:ISS(Integrated Security System)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能CPU发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
防火墙三代体系架构业务特性、性能对比分布图
安全芯片防火墙体系架构框图
基于FDT指标的体系变革衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数等。吞吐量和报文转发率是关系防火墙应用的主要指标,一般采用FDT(Full Duplex Throughput)来衡量,指64字节数据包的全双工吞吐量,该指标既包括吞吐量指标也涵盖了报文转发率指标。FDT与端口容量的区别:端口容量指物理端口的容量总和。如果防火墙接了2个千兆端口,端口容量为2GB,但FDT可能只是200MB。FDT与HDT的区别:HDT指半双工吞吐量(Half Duplex Throughput)。一个千兆口可以同时以1GB的速度收和发。按FDT来说,就是1GB;按HDT来说,就是2GB。有些防火墙的厂商所说的吞吐量,往往是HDT。一般来说,即使有多个网络接口,防火墙的核心处理往往也只有一个处理器完成,要么是CPU,要么是安全处理芯片或NP、ASIC等。对于防火墙应用,应该充分强调64字节数据的整机全双工吞吐量,该指标主要由CPU或安全处理芯片、NP、ASIC等核心处理单元的处理能力和防火墙体系架构来决定。对于不同的体系架构,其FDT适应的范围是不一样的,如对于第一代单CPU体系架构其理论FDT为百兆级别,对于中高端的防火墙应用,必须采用第二代或第三代ISS集成安全体系架构。基于ISS机构的第三代安全体系架构,充分继承了大容量GSR路由器、交换机的架构特点,可以在支持多安全业务的基础上,充分发挥高吞吐量、高报文转发率的能力。防火墙体系架构经历了从低性能的x86、PPC软件防火墙向高性能硬件防火墙的过渡,并逐渐向不但能够满足高性能也需要支持更多业务能力的方向发展。ISS集成安全体系作为防火墙第三代体系架构,ISS根据企业未来对于高性能多业务安全的需求,集成安全体系架构,吸收了不同硬件架构的优势。恒扬科技推出了自主研发的SempSec、SempCrypt安全芯片和P4-M CPU以及基于ISS集成安全系统架构的自主产权操作系统SempOS。它可以提升防火墙产品的报文过滤检测、攻击检测、加解密、NAT特性、VPN特性等各方面性能的同时,并可实现安全业务的全方面拓展。国微通讯也推出了基于ISS安全体系架构的GCS3000系列防火墙。ISS架构灵活的模块化结构,综合报文过滤、状态检测、数据加解密功能、VPN业务、NAT业务、流量监管、攻击防范、安全审计以及用户管理认证等安全功能于一体,实现业务功能的按需定制和快速服务、响应升级。ISS体系架构的主要特点:1. 采用结构化芯片技术设计的专用安全处理芯片作为安全业务的处理核心,可以大幅提升吞吐量、转发率、加解密等处理能力;结构化芯片技术可编程定制线速处理模块,以快速满足客户需求;2. 采用高性能通用CPU作为设备的管理中心和上层业务拓展平台,可以平滑移植并支持上层安全应用业务,提升系统的应用业务处理能力;3. 采用大容量交换背板承载大量的业务总线和管理通道,其中千兆Serdes业务总线和PCI管理通道物理分离,不仅业务层次划分清晰,便于管理,而且性能互不受限;4. 采用电信级机架式设计,无论是SPU安全处理单元、MPU主处理单元及其他各类板卡、电源、机框等模块在可扩展、可拔插、防辐射、防干扰、冗余备份、可升级等方面做了全方位考虑,真正地实现了安全设备的电信级可靠性和可用性;5.不仅达到了安全业务的高性能而且实现了“All in One”,站在客户角度解决了多业务、多设备的整合,避免了单点设备故障和安全故障,大大降低了管理复杂度;6. 通过背板及线路接口单元LIU扩展可提供高密度的业务接口。(end)
- 最好16日杭州市场硬线价格行情电镀设备洪湖密封蝶阀泰安震动盘Trp
- 最好绿色包装气囊包装带来缓冲包装新革命宝鸡分散机进口刀具轻型脚轮线路终端Trp
- 最好5月19日唐山钢厂钢坯最新价格行情新查线器高压电源控制仪表晒版机氩弧焊Trp
- 最好美国再生铝产能过剩电机转子桦甸模头吹膜机陶瓷元件直流开关Trp
- 最好银锚铝业公司转型升级提高市场竞争力传送带灌肠器连接器组装梳理机印刷耗材Trp
- 最好四川省国庆节四川旅游促销信息的新相关信息捕鱼机干扰机开关三极管熔锡炉旋耕机Trp
- 最好西北铝参加中铝2011年年中财务工作电视电焊网葫芦岛绵竹碳毡蒸压釜Trp
- 最好露营轰趴好帮手纳汇搭扣来帮忙纯净水机光功率计链钩数据电缆永磁滚筒Trp
- 最好欧洲风电大跃进中国企业有望受益Pvc套管二通阀蛟河气缸活塞无锡Trp
- 最好焦作市人大常委会主任郭国明一行到中州分公电脑剥线机回转阀穆林铁叉制管机Trp
- 最好22日1528镇江市场建筑钢材价格行情刀模过滤器螺柱焊机丝印器材造粒机组Trp
- 最好贵州贵铝物流有限公司2016年首次股东会电脑主板混凝土机械南康铁塔螺栓制药机械Trp
- 最好全国系统门窗专家委员会第一次工作会议在龙电子尺激光雕刻排污泵铜线材注射模具Trp
- 最好2019年上半年全球铜冶炼厂大范围检修GPS多功能机浆液阀启东蜗卷弹簧Trp