防火墙体系架构的演变

为了满足用户的更高要求,防火墙体系架构经历了从低性能的x86、PPC软件防火墙向高性能硬件防火墙的过渡,并逐渐向不但能够满足高性能,也需要支持更多业务能力的方向发展。

防火墙在经过几年繁荣的发展后,已经形成了多种类型的体系架构,并且这几种体系架构的设备并存互补,并不断进行演变升级。

防火墙体系架构“老中青”

防火墙的发展从第一代的PC机软件,到工控机、PC-Box,再到MIPS架构。第二代的NP、ASIC架构。发展到第三代的专用安全处理芯片背板交换架构,以及“All In One”集成安全体系架构。

为了支持更广泛及更高性能的业务需求,各个厂家全力发挥各自优势,推动着整个技术以及市场的发展。

目前,防火墙产品的三代体系架构主要为:

第一代架构:主要是以单一CPU作为整个系统业务和管理的核心,CPU有x86、PowerPC、MIPS等多类型,产品主要表现形式是PC机、工控机、PC-Box或RISC-Box等;

第二代架构:以NP或ASIC作为业务处理的主要核心,对一般安全业务进行加速,嵌入式CPU为管理核心,产品主要表现形式为Box等;

第三代架构:ISS(Integrated Security System)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能CPU发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。


防火墙三代体系架构业务特性、性能对比分布图


安全芯片防火墙体系架构框图

基于FDT指标的体系变革

衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数等。

吞吐量和报文转发率是关系防火墙应用的主要指标,一般采用FDT(Full Duplex Throughput)来衡量,指64字节数据包的全双工吞吐量,该指标既包括吞吐量指标也涵盖了报文转发率指标。

FDT与端口容量的区别:端口容量指物理端口的容量总和。如果防火墙接了2个千兆端口,端口容量为2GB,但FDT可能只是200MB。

FDT与HDT的区别:HDT指半双工吞吐量(Half Duplex Throughput)。一个千兆口可以同时以1GB的速度收和发。按FDT来说,就是1GB;按HDT来说,就是2GB。有些防火墙的厂商所说的吞吐量,往往是HDT。

一般来说,即使有多个网络接口,防火墙的核心处理往往也只有一个处理器完成,要么是CPU,要么是安全处理芯片或NP、ASIC等。

对于防火墙应用,应该充分强调64字节数据的整机全双工吞吐量,该指标主要由CPU或安全处理芯片、NP、ASIC等核心处理单元的处理能力和防火墙体系架构来决定。

对于不同的体系架构,其FDT适应的范围是不一样的,如对于第一代单CPU体系架构其理论FDT为百兆级别,对于中高端的防火墙应用,必须采用第二代或第三代ISS集成安全体系架构。

基于ISS机构的第三代安全体系架构,充分继承了大容量GSR路由器、交换机的架构特点,可以在支持多安全业务的基础上,充分发挥高吞吐量、高报文转发率的能力。

防火墙体系架构经历了从低性能的x86、PPC软件防火墙向高性能硬件防火墙的过渡,并逐渐向不但能够满足高性能也需要支持更多业务能力的方向发展。

ISS集成安全体系

作为防火墙第三代体系架构,ISS根据企业未来对于高性能多业务安全的需求,集成安全体系架构,吸收了不同硬件架构的优势。

恒扬科技推出了自主研发的SempSec、SempCrypt安全芯片和P4-M CPU以及基于ISS集成安全系统架构的自主产权操作系统SempOS。它可以提升防火墙产品的报文过滤检测、攻击检测、加解密、NAT特性、VPN特性等各方面性能的同时,并可实现安全业务的全方面拓展。国微通讯也推出了基于ISS安全体系架构的GCS3000系列防火墙。

ISS架构灵活的模块化结构,综合报文过滤、状态检测、数据加解密功能、VPN业务、NAT业务、流量监管、攻击防范、安全审计以及用户管理认证等安全功能于一体,实现业务功能的按需定制和快速服务、响应升级。

ISS体系架构的主要特点:

1. 采用结构化芯片技术设计的专用安全处理芯片作为安全业务的处理核心,可以大幅提升吞吐量、转发率、加解密等处理能力;结构化芯片技术可编程定制线速处理模块,以快速满足客户需求;

2. 采用高性能通用CPU作为设备的管理中心和上层业务拓展平台,可以平滑移植并支持上层安全应用业务,提升系统的应用业务处理能力;

3. 采用大容量交换背板承载大量的业务总线和管理通道,其中千兆Serdes业务总线和PCI管理通道物理分离,不仅业务层次划分清晰,便于管理,而且性能互不受限;

4. 采用电信级机架式设计,无论是SPU安全处理单元、MPU主处理单元及其他各类板卡、电源、机框等模块在可扩展、可拔插、防辐射、防干扰、冗余备份、可升级等方面做了全方位考虑,真正地实现了安全设备的电信级可靠性和可用性;

5.不仅达到了安全业务的高性能而且实现了“All in One”,站在客户角度解决了多业务、多设备的整合,避免了单点设备故障和安全故障,大大降低了管理复杂度;

6. 通过背板及线路接口单元LIU扩展可提供高密度的业务接口。

时间: 2024-11-03 08:43:45

防火墙体系架构的演变的相关文章

简述数据中心运维知识体系架构

数据中心要正常运转,离不开大量的运维工作.运维的工作需要很多专业技术人才,要做好数据中心的运维需要掌握多学科.多门类的专业技能,运维的工作不强调人才对一门技术有多专.有深度,但要有广度.出于成本的考虑,数据中心不可能聘入所有专业知识领域的人才,需要的是通用人才.如何才能成为一名优秀的数据中心运维专家呢?本文就来说一说运维工作所需的知识体系架构,根据这个知识体系架构,对自己弱势的部分有针对性地学习,很快就能成为一名数据中心运维专家. 数据中心运维知识可以分为三大部分:运维技术.测试和开发和运维管理

数据库架构的演变

最近看了很多公司架构的演变的文章,发现其中的基本思路和架构演变都很类似,这里也总结一下数据库架构的演变以及演变背后的思路. 单主机 最开始网站一般都是由典型的LAMP架构演变而来的,一般都是一台linux主机,一台apache服务器,php执行环境以及mysql服务器,一般情况下,这些都在一台虚拟主机上,简称单主机模式. 单主机模式缺点: 1 web服务器和mysql服务器公用一台主机,共享硬件资源,可能存在某一方资源征用太大,导致整个应用产生瓶颈 2 当业务增长之后,没有办法做到横向扩展. 3

WebLogic集群体系架构(原创)

WebLogic Server集群概述  WebLogic Server 群集由多个 WebLogic Server 服务器实例组成,这些服务器实例同时运行并一起工作以提高可缩放性和可靠性.对于客户端而言,群集是一个WebLogic Server 实例.构成群集的服务器实例可以在同一台计算机上运行,也可以位于不同的计算机上.可以通过向现有计算机上的群集中添加更多的服务器实例来增加群集的容量,也可以向群集中添加计算机以承载递增的服务器实例.群集中的每个服务器实例必须运行同一版本的 WebLogic

云计算数据中心安全体系架构浅析

建立数据中心的目的是为了更好地利用数据.挖掘数据,向数据要效益.在数据中心中应用云计算技术则是一个必然的趋势.而从数据中心获得效益就必须有一个相对安全稳定的环境作为支撑,因此研究云计算数据中心的信息安全体系架构具有重要意义. 一.云计算综述 (一)云计算简介 在世界著名市场研究咨询机构Gartner评选的对多数组织最具战略意义的十大技术和趋势中,云计算技术位列第一. 云计算指IT基础设施的交付和使用模式,指通过网络以按需.易扩展的方式获得所需资源.从更深层次的角度来看,也可以不局限于IT基础设施

从空间角度诠释安全体系架构:花瓶模型V3.0

["防护-监控-信任"体系:"五边界"."五控点"."三验证"] 入侵就是要意想不到,出现在你不注意的角度与方位:若你还没有看清楚入侵者是谁前就盲目动作,往往步步被动,被对手牵着走."用空间赢得时间"是安全设计的常用理念,空间换取的是你可以反应和准备的响应时间.在现实生活中这很容易理解,但在"虚拟的网络上",如何建立网络空间的概念,如何设计安全体系架构呢? 花瓶模型(V2.0)是从时间维

MySQL的体系架构概述

做DBA三年多,接触过很多主流数据库产品,但唯独没机会碰触MySQL,今天开始决定自学MySQL,给自己 冲冲电,先从MySQL的体系架构开始学起. MySQL数据库的体系架构如下图所示: 从上 图中可以看出,MySQL主要分为以下几个组件: 连接池组件 管理服务和工具组件 SQL接口组件 分析器组件 优化器组件 缓冲组件 插件式存储引擎 物理文件 有其它数据库基础的人可以马上发现,MySQL最大的特色是其可插拔的插件式存储引擎,存储引擎是底层 物理架构的实现,每个存储引擎开发者都可以按照自己的

软件体系架构模式在J2EE中的应用

本文介绍了软件体系架构产生的背景和架构模式的基本理论.重点介绍管道与过滤器体系架构模式的结构,实现,优缺点等,然后以J2EE的Servlet Filter为例进行剖析它是怎样应用该架构模式的,最后简单阐述了在其它J2ee应用中(Jboss和Axis)的实践. 软件体系架构 1.软件体系架构产生背景 在经历60年代的软件危机之后,使人们开始重视软件工程的研究.来自不同应用领域的软件专家总结了大量的有价值的知识. 当初,人们把软件设计的重点放在数据结构和算法的选择上,如Knuth提出了数据结构+算法

FireBreath v1.4.1发布 跨平台支持浏览器插件体系架构

FireBreath 旨在提供一个跨平台支持的浏览器插件体系架构. 面向: NPAPI 浏览器(windows, mac, and linux): Gecko/Firefox Google Chrome Apple http://www.aliyun.com/zixun/aggregation/11218.html">Safari ActiveX 架构: Microsoft Internet Explorer 6, 7, and 8 FireBreath aims to be a cros

MSSQL - 架构分析 - 从SQL Server 2017发布看SQL Server架构的演变

title: MSSQL - 架构分析 - 从SQL Server 2017发布看SQL Server架构的演变 author: 风移 摘要 美国时间2017年10月2日,微软正式发布了最新一代可以运行在Linux平台的数据库SQL Server 2017.SQL Server 2017给用户带来了一系列的新功能特性的同时,也体现了微软关于自家关系型数据库平台建设方面的最新设计与思考.这篇文章旨在介绍SQL Server 2017新特性,以及微软是如何从架构层面的演进来快速实现Linux平台的S