机械网--防火墙架构演变三部曲

为了满足用户的更高要求，防火墙体系架构经历了从低性能的x86、PPC软件防火墙向高性能硬件防火墙的过渡，并逐渐向不但能够满足高性能，也需要支持更多业务能力的方向发展。防火墙在经过几年繁华的发展后，已构成了多种类型的体系架构，并且这几种体系架构的设备并存互补，其实不断进行演变升级。防火墙体系架构“老中青”防火墙的发展从第1代的PC机软件，到工控机、PC-Box，再到MIPS架构。第2代的NP、ASIC架构。发展到第3代的专用安全处理芯片背板交换架构，和“All In One”集成安全部系架构。为了支持更广泛及更高性能的业务需求，各个厂家全力发挥各自优势，推动着全部技术和市场的发展。目前，防火墙产品的3代体系架构主要为：第1代架构：主要是以单1CPU作为全部系统业务和管理的核心，CPU有x86、PowerPC、MIPS等多类型，产品主要表现情势是PC机、工控机、PC-Box或RISC-Box等；第2代架构：以NP或ASIC作为业务处理的主要核心，对1般安全业务进行加速，嵌入式CPU为管理核心，产品主要表现情势为Box等；第3代架构：ISS（Integrated Security System）集成安全部系架构，以高速安全处理芯片作为业务处理的主要核心，采取高性能CPU发挥多种安全业务的高层利用，产品主要表现情势为基于电信级的高可靠、背板交换式的机架式设备，容量大性能高，各单元及系统更加灵活。 防火墙3代体系架构业务特性、性能对比散布图

安全芯片防火墙体系架构框图

基于FDT指标的体系变革衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数等。吞吐量和报文转发率是关系防火墙利用的主要指标，1般采取FDT（Full Duplex Throughput）来衡量，指64字节数据包的全双工吞吐量，该指标既包括吞吐量指标也涵盖了报文转发率指标。FDT与端口容量的辨别：端口容量指物理端口的容量总和。如果防火墙接了2个千兆端口，端口容量为2GB，但FDT可能只是200MB。FDT与HDT的辨别：HDT指半双工吞吐量（Half Duplex Throughput）。1个千兆口可以同时以1GB的速度收和发。按FDT来说拆迁按人头分还是按户分，就是1GB；按HDT来说，就是2GB。有些防火墙的厂商所说的吞吐量，常常是HDT。1般来说，即使有多个网络接口，防火墙的核心处理常常也只有1个处理器完成，要么是CPU，要么是安全处理芯片或NP、ASIC等。对防火墙利用，应当充分强调64字节数据的整机全双工吞吐量，该指标主要由CPU或安全处理芯片、NP、ASIC等核心处理单元的处理能力和防火墙体系架构来决定。对不同的体系架构，其FDT适应的范围是不1样的，如对第1代单CPU体系架构其理论FDT为百兆级别，对中高真个防火墙利用，必须采取第2代或第3代ISS集成安全部系架构生产经营用房拆迁如何补偿。基于ISS机构的第3代安全部系架构，充分继承了大容量GSR路由器、交换机的架构特点，可以在支持多安全业务的基础上，充分发挥高吞吐量、高报文转发率的能力。防火墙体系架构经历了从低性能的x86、PPC软件防火墙向高性能硬件防火墙的过渡，并逐渐向不但能够满足高性能也需要支持更多业务能力的方向发展。ISS集成安全部系作为防火墙第3代体系架构，ISS根据企业未来对高性能多业务安全的需求，集成安全部系架构拆迁补偿钢结构房什么标准，吸收了不同硬件架构的优势。恒扬科技推出了自主研发的SempSec、SempCrypt安全芯片和P4-M CPU和基于ISS集成安全系统架构的自主产权操作系统SempOS。它可以提升防火墙产品的报文过滤检测、攻击检测、加解密、NAT特性、VPN特性等各方面性能的同时，并可实现安全业务的全方面拓展。国微通讯也推出了基于ISS安全部系架构的GCS3000系列防火墙。ISS架构灵活的模块化结构，综合报文过滤、状态检测、数据加解密功能、VPN业务、NAT业务、流量监管、攻击防范、安全审计和用户管理认证等安全功能于1体，实现业务功能的按需定制和快速服务、响应升级。ISS体系架构的主要特点：1. 采取结构化芯片技术设计的专用安全处理芯片作为安全业务的处理核心，可以大幅提升吞吐量、转发率、加解密等处理能力；结构化芯片技术可编程定制线速处理模块，以快速满足客户需求；2. 采取高性能通用CPU作为设备的管理中心和上层业务拓展平台，可以平滑移植并支持上层安全利用业务，提升系统的利用业务处理能力；3. 采取大容量交换背板承载大量的业务总线和管理通道，其中千兆Serdes业务总线和PCI管理通道物理分离，不但业务层次划分清晰，便于管理，而且性能互不受限；4. 采取电信级机架式设计，不论是SPU安全处理单元、MPU主处理单元及其他各类板卡、电源、机框等模块在可扩大、可拔插、防辐射、防干扰、冗余备份、可升级等方面做了全方位考虑，真正地实现了安全设备的电信级可靠性和可用性；5.不但到达了安全业务的高性能而且实现了“All in One”，站在客户角度解决了多业务、多设备的整合，避免了单点设备故障和安全故障，大大降落了管理复杂度；6. 通过背板及线路接口单元LIU扩大可提供高密度的业务接口。(end)资讯分类行业动态帮助文档展会专题报道5金人物商家文章