三代防火牆體系結構演變介紹

psac · 2006-04-13, 05:16 AM

三代防火牆體系結構演變介紹

為了滿足用戶的更高要求，防火牆體系架構經歷了從低效能的x86、PPC軟體防火牆向高效能硬體防火牆的過渡，並逐漸向不但能夠滿足高效能，也需要支持更多業務能力的方向發展。

　　防火牆在經過幾年繁榮的發展後，已經形成了多種檔案類型的體系架構，並且這幾種體系架構的設備並存互補，並不斷進行演變昇級。

　　防火牆體系架構「老中青」

　　防火牆的發展從第一代的PC機軟體，到工控機、PC-Box，再到MIPS架構。第二代的NP、ASIC架構。發展到第三代的專用安全處理晶片背板交換架構，以及「All In One」整合安全體系架構。

　　為了支持更廣泛及更高效能的業務需求，各個廠家全力發揮各自優勢，推動著整個技術以及市場的發展。

　　目前，防火牆產品的三代體系架構主要為：

　　第一代架構：主要是以單一CPU作為整個系統業務和管理的核心，CPU有x86、PowerPC、MIPS等多檔案類型，產品主要表現形式是PC機、工控機、PC-Box或RISC-Box等；

　　第二代架構：以NP或ASIC作為業務處理的主要核心，對一般安全業務進行加速，嵌入式CPU為管理核心，產品主要表現形式為Box等；

　　第三代架構：ISS（Integrated Security System）整合安全體系架構，以高速安全處理晶片作為業務處理的主要核心，採用高效能CPU發揮多種安全業務的高層套用，產品主要表現形式為關於電信級的高可靠、背板交換式的機架式設備，容量大效能高，各單元及系統更為靈活

關於FDT指標的體系變革

　　衡量防火牆的效能指標主要包括吞吐量、報文轉發率、最大並發連接數、每秒新增連接數等。

　　吞吐量和報文轉發率是關係防火牆套用的主要指標，一般採用FDT（Full Duplex Throughput）來衡量，指64字元資料包的全雙工吞吐量，該指標既包括吞吐量指標也涵蓋了報文轉發率指標。

　　FDT與連接阜容量的區別：連接阜容量指物理連接阜的容量總和。如果防火牆接了2個千兆連接阜，連接阜容量為2GB，但FDT可能只是200MB。
FDT與HDT的區別：HDT指半雙工吞吐量（Half Duplex Throughput）。一個千兆口可以同時以1GB的速度收和發。按FDT來說，就是1GB；按HDT來說，就是2GB。有些防火牆的廠商所說的吞吐量，往往是HDT。

　　一般來說，即使有多個網路接頭，防火牆的核心處理往往也只有一個處理器完成，要麼是CPU，要麼是安全處理晶片或NP、ASIC等。

　　對於防火牆套用，應該充分強調64字元資料的整機全雙工吞吐量，該指標主要由CPU或安全處理晶片、NP、ASIC等核心處理單元的處理能力和防火牆體系架構來決定。

　　對於不同的體系架構，其FDT適應的範圍是不一樣的，如對於第一代單CPU體系架構其理論FDT為百兆等級，對於中高端的防火牆套用，必須採用第二代或第三代ISS整合安全體系架構。

　　關於ISS機構的第三代安全體系架構，充分繼承了大容量GSR路由器、交換機的架構特點，可以在支持多安全業務的基礎上，充分發揮高吞吐量、高報文轉發率的能力。

　　防火牆體系架構經歷了從低效能的x86、PPC軟體防火牆向高效能硬體防火牆的過渡，並逐漸向不但能夠滿足高效能也需要支持更多業務能力的方向發展。

　　ISS整合安全體系

　　作為防火牆第三代體系架構，ISS根據企業未來對於高效能多業務安全的需求，整合安全體系架構，吸收了不同硬體架構的優勢。

　　恆揚科技推出了自主研發的SempSec、SempCrypt安全晶片和P4-M CPU以及關於ISS整合安全系統架構的自主產權作業系統SempOS。它可以提升防火牆產品的報文過濾檢測、攻擊檢測、加解密、NAT特性、VPN特性等各方面效能的同時，並可實現安全業務的全方面拓展。國微通訊也推出了關於ISS安全體系架構的GCS3000系列防火牆。

　　ISS架構靈活的模組化結構，綜合報文過濾、狀態檢測、資料加解密功能、VPN業務、NAT業務、流量監管、攻擊防範、安全審計以及用戶管理認證等安全功能於一體，實現業務功能的按需設定和快速服務、回應昇級。

　　ISS體系架構的主要特點：

　　1.採用結構化晶片技術設計的專用安全處理晶片作為安全業務的處理核心，可以大幅提升吞吐量、轉發率、加解密等處理能力；結構化晶片技術可編程設定線速處理模組，以快速滿足客戶需求；

　　2.採用高效能通用CPU作為設備的管理中心和上層業務拓展平台，可以平滑移植並支持上層安全套用業務，提升系統的套用業務處理能力；

　　3.採用大容量交換背板承載大量的業務總線和管理通道，其中千兆Serdes業務總線和PCI管理通道物理分離，不僅業務層次劃分清晰，便於管理，而且效能互不受限；

　　4.採用電信級機架式設計，無論是SPU安全處理單元、MPU主處理單元及其他各類板卡、電源、機框等模組在可增強、可拔插、防輻射、防干擾、冗余制作備份、可昇級等方面做了全方位考慮，真正地實現了安全設備的電信級可靠性和可用性；

　　5.不僅達到了安全業務的高效能而且實現了「All in One」，站在客戶角度解決了多業務、多設備的整合，避免了單點設備故障和安全故障，大大降低了管理複雜度；

　　6.通過背板及線路接頭單元LIU增強可提供高密度的業務接頭。

2006-04-13, 05:16 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	三代防火牆體系結構演變介紹三代防火牆體系結構演變介紹為了滿足用戶的更高要求，防火牆體系架構經歷了從低效能的x86、PPC軟體防火牆向高效能硬體防火牆的過渡，並逐漸向不但能夠滿足高效能，也需要支持更多業務能力的方向發展。　　防火牆在經過幾年繁榮的發展後，已經形成了多種檔案類型的體系架構，並且這幾種體系架構的設備並存互補，並不斷進行演變昇級。　　防火牆體系架構「老中青」　　防火牆的發展從第一代的PC機軟體，到工控機、PC-Box，再到MIPS架構。第二代的NP、ASIC架構。發展到第三代的專用安全處理晶片背板交換架構，以及「All In One」整合安全體系架構。　　為了支持更廣泛及更高效能的業務需求，各個廠家全力發揮各自優勢，推動著整個技術以及市場的發展。　　目前，防火牆產品的三代體系架構主要為：　　第一代架構：主要是以單一CPU作為整個系統業務和管理的核心，CPU有x86、PowerPC、MIPS等多檔案類型，產品主要表現形式是PC機、工控機、PC-Box或RISC-Box等；　　第二代架構：以NP或ASIC作為業務處理的主要核心，對一般安全業務進行加速，嵌入式CPU為管理核心，產品主要表現形式為Box等；　　第三代架構：ISS（Integrated Security System）整合安全體系架構，以高速安全處理晶片作為業務處理的主要核心，採用高效能CPU發揮多種安全業務的高層套用，產品主要表現形式為關於電信級的高可靠、背板交換式的機架式設備，容量大效能高，各單元及系統更為靈活關於FDT指標的體系變革　　衡量防火牆的效能指標主要包括吞吐量、報文轉發率、最大並發連接數、每秒新增連接數等。　　吞吐量和報文轉發率是關係防火牆套用的主要指標，一般採用FDT（Full Duplex Throughput）來衡量，指64字元資料包的全雙工吞吐量，該指標既包括吞吐量指標也涵蓋了報文轉發率指標。　　FDT與連接阜容量的區別：連接阜容量指物理連接阜的容量總和。如果防火牆接了2個千兆連接阜，連接阜容量為2GB，但FDT可能只是200MB。 FDT與HDT的區別：HDT指半雙工吞吐量（Half Duplex Throughput）。一個千兆口可以同時以1GB的速度收和發。按FDT來說，就是1GB；按HDT來說，就是2GB。有些防火牆的廠商所說的吞吐量，往往是HDT。　　一般來說，即使有多個網路接頭，防火牆的核心處理往往也只有一個處理器完成，要麼是CPU，要麼是安全處理晶片或NP、ASIC等。　　對於防火牆套用，應該充分強調64字元資料的整機全雙工吞吐量，該指標主要由CPU或安全處理晶片、NP、ASIC等核心處理單元的處理能力和防火牆體系架構來決定。　　對於不同的體系架構，其FDT適應的範圍是不一樣的，如對於第一代單CPU體系架構其理論FDT為百兆等級，對於中高端的防火牆套用，必須採用第二代或第三代ISS整合安全體系架構。　　關於ISS機構的第三代安全體系架構，充分繼承了大容量GSR路由器、交換機的架構特點，可以在支持多安全業務的基礎上，充分發揮高吞吐量、高報文轉發率的能力。　　防火牆體系架構經歷了從低效能的x86、PPC軟體防火牆向高效能硬體防火牆的過渡，並逐漸向不但能夠滿足高效能也需要支持更多業務能力的方向發展。　　ISS整合安全體系　　作為防火牆第三代體系架構，ISS根據企業未來對於高效能多業務安全的需求，整合安全體系架構，吸收了不同硬體架構的優勢。　　恆揚科技推出了自主研發的SempSec、SempCrypt安全晶片和P4-M CPU以及關於ISS整合安全系統架構的自主產權作業系統SempOS。它可以提升防火牆產品的報文過濾檢測、攻擊檢測、加解密、NAT特性、VPN特性等各方面效能的同時，並可實現安全業務的全方面拓展。國微通訊也推出了關於ISS安全體系架構的GCS3000系列防火牆。　　ISS架構靈活的模組化結構，綜合報文過濾、狀態檢測、資料加解密功能、VPN業務、NAT業務、流量監管、攻擊防範、安全審計以及用戶管理認證等安全功能於一體，實現業務功能的按需設定和快速服務、回應昇級。　　ISS體系架構的主要特點：　　1.採用結構化晶片技術設計的專用安全處理晶片作為安全業務的處理核心，可以大幅提升吞吐量、轉發率、加解密等處理能力；結構化晶片技術可編程設定線速處理模組，以快速滿足客戶需求；　　2.採用高效能通用CPU作為設備的管理中心和上層業務拓展平台，可以平滑移植並支持上層安全套用業務，提升系統的套用業務處理能力；　　3.採用大容量交換背板承載大量的業務總線和管理通道，其中千兆Serdes業務總線和PCI管理通道物理分離，不僅業務層次劃分清晰，便於管理，而且效能互不受限；　　4.採用電信級機架式設計，無論是SPU安全處理單元、MPU主處理單元及其他各類板卡、電源、機框等模組在可增強、可拔插、防輻射、防干擾、冗余制作備份、可昇級等方面做了全方位考慮，真正地實現了安全設備的電信級可靠性和可用性；　　5.不僅達到了安全業務的高效能而且實現了「All in One」，站在客戶角度解決了多業務、多設備的整合，避免了單點設備故障和安全故障，大大降低了管理複雜度；　　6.通過背板及線路接頭單元LIU增強可提供高密度的業務接頭。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告