防火牆架構演變協奏“三步曲”(轉)[@more@]
為了滿足使用者的更高要求,防火牆體系架構經曆了從低性能的x86、PPC軟體防火牆向高性能硬體防火牆的過渡,并逐漸向不但能夠滿足高性能,也需要支援更多業務能力的方向發展。
防火牆在經過幾年繁榮的發展後,已經形成了多種類型的體系架構,并且這幾種體系架構的裝置并存互補,并不斷進行演變更新。
防火牆體系架構“老中青”
防火牆的發展從第一代的PC機軟體,到工控機、PC-Box,再到MIPS架構。第二代的NP、ASIC架構。發展到第三代的專用安全處理晶片背闆交換架構,以及“All In One”內建安全體系架構。
為了支援更廣泛及更高性能的業務需求,各個廠家全力發揮各自優勢,推動着整個技術以及市場的發展。
目前,防火牆産品的三代體系架構主要為:
第一代架構:主要是以單一CPU作為整個系統業務和管理的核心,CPU有x86、PowerPC、MIPS等多類型,産品主要表現形式是PC機、工控機、PC-Box或RISC-Box等;
第二代架構:以NP或ASIC作為業務處理的主要核心,對一般安全業務進行加速,嵌入式CPU為管理核心,産品主要表現形式為Box等;
第三代架構:ISS(Integrated Security System)內建安全體系架構,以高速安全處理晶片作為業務處理的主要核心,采用高性能CPU發揮多種安全業務的高層應用,産品主要表現形式為基于電信級的高可靠、背闆交換式的機架式裝置,容量大性能高,各單元及系統更為靈活。
防火牆三代體系架構業務特性、性能對比分布圖
安全晶片防火牆體系架構框圖
基于FDT名額的體系變革
衡量防火牆的性能名額主要包括吞吐量、封包轉發率、最大并發連接配接數、每秒建立連接配接數等。
吞吐量和封包轉發率是關系防火牆應用的主要名額,一般采用FDT(Full Duplex Throughput)來衡量,指64位元組資料包的全雙工吞吐量,該名額既包括吞吐量名額也涵蓋了封包轉發率名額。
FDT與端口容量的差別:端口容量指實體端口的容量總和。如果防火牆接了2個千兆端口,端口容量為2GB,但FDT可能隻是200MB。
FDT與HDT的差別:HDT指半雙工吞吐量(Half Duplex Throughput)。一個千兆口可以同時以1GB的速度收和發。按FDT來說,就是1GB;按HDT來說,就是2GB。有些防火牆的廠商所說的吞吐量,往往是HDT。
一般來說,即使有多個網絡接口,防火牆的核心處理往往也隻有一個處理器完成,要麼是CPU,要麼是安全處理晶片或NP、ASIC等。
對于防火牆應用,應該充分強調64位元組資料的整機全雙工吞吐量,該名額主要由CPU或安全處理晶片、NP、ASIC等核心處理單元的處理能力和防火牆體系架構來決定。
對于不同的體系架構,其FDT适應的範圍是不一樣的,如對于第一代單CPU體系架構其理論FDT為百兆級别,對于中高端的防火牆應用,必須采用第二代或第三代ISS內建安全體系架構。
基于ISS機構的第三代安全體系架構,充分繼承了大容量GSR路由器、交換機的架構特點,可以在支援多安全業務的基礎上,充分發揮高吞吐量、高封包轉發率的能力。
防火牆體系架構經曆了從低性能的x86、PPC軟體防火牆向高性能硬體防火牆的過渡,并逐漸向不但能夠滿足高性能也需要支援更多業務能力的方向發展。
ISS內建安全體系
作為防火牆第三代體系架構,ISS根據企業未來對于高性能多業務安全的需求,內建安全體系架構,吸收了不同硬體架構的優勢。
恒揚科技推出了自主研發的SempSec、SempCrypt安全晶片和P4-M CPU以及基于ISS內建安全系統架構的自主産權作業系統SempOS。它可以提升防火牆産品的封包過濾檢測、攻擊檢測、加解密、NAT特性、VPN特性等各方面性能的同時,并可實作安全業務的全方面拓展。國微通訊也推出了基于ISS安全體系架構的GCS3000系列防火牆。
ISS架構靈活的子產品化結構,綜合封包過濾、狀态檢測、資料加解密功能、VPN業務、NAT業務、流量監管、攻擊防範、安全審計以及使用者管理認證等安全功能于一體,實作業務功能的按需定制和快速服務、響應更新。
ISS體系架構的主要特點:
1. 采用結構化晶片技術設計的專用安全處理晶片作為安全業務的處理核心,可以大幅提升吞吐量、轉發率、加解密等處理能力;結構化晶片技術可程式設計定制線速處理子產品,以快速滿足客戶需求;
2. 采用高性能通用CPU作為裝置的管理中心和上層業務拓展平台,可以平滑移植并支援上層安全應用業務,提升系統的應用業務處理能力;
3. 采用大容量交換背闆承載大量的業務總線和管理通道,其中千兆Serdes業務總線和PCI管理通道實體分離,不僅業務層次劃厘清晰,便于管理,而且性能互不受限;
4. 采用電信級機架式設計,無論是SPU安全處理單元、MPU主處理單元及其他各類闆卡、電源、機框等子產品在可擴充、可拔插、防輻射、防幹擾、備援備份、可更新等方面做了全方位考慮,真正地實作了安全裝置的電信級可靠性和可用性;
5.不僅達到了安全業務的高性能而且實作了“All in One”,站在客戶角度解決了多業務、多裝置的整合,避免了單點裝置故障和安全故障,大大降低了管理複雜度;
6. 通過背闆及線路接口單元LIU擴充可提供高密度的業務接口。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10752019/viewspace-955477/,如需轉載,請注明出處,否則将追究法律責任。
轉載于:http://blog.itpub.net/10752019/viewspace-955477/