防火墙架构演变三变曲.pdf

防火墙架构演变三变曲 为了满足用户的更高要求， 防火墙体系架构经历了从低性能的 x86、PPC 软件防火墙向 高性能硬件防火墙的过渡， 并逐渐向不但能够满足高性能， 也需要支持更多业务能力的方向 发展。 防火墙在经过几年繁荣的发展后， 已经形成了多种类型的体系架构， 并且这几种体系架 构的设备并存互补，并不断进行演变升级。 防火墙体系架构 “老中青 ” 防火墙的发展从第一代的 PC 机软件，到工控机、 PC-Box ，再到 MIPS 架构。第二代的 NP 、ASIC 架构。 发展到第三代的专用安全处理芯片背板交换架构， 以及 “All In One 集成安” 全体系架构。 为了支持更广泛及更高性能的业务需求， 各个厂家全力发挥各自优势， 推动着整个技术 以及市场的发展。 目前，防火墙产品的三代体系架构主要为： 第一代架构：主要是以单一 CPU 作为整个系统业务和管理的核心， CPU 有 x86 、 PowerPC、MIPS 等多类型，产品主要表现形式是 PC 机、工控机、 PC-Box 或 RISC-Box 等； 第二代架构：以 NP 或 ASIC 作为业务处理的主要核心，对一般安全业务进行加速，嵌 入式 CPU 为管理核心，产品主要表现形式为 Box 等； 第三代架构： ISS （Integrated Security System ）集成安全体系架构，以高速安全处理芯 片作为业务处理的主要核心，采用高性能 CPU 发挥多种安全业务的高层应用，产品主要表 现形式为基于电信级的高可靠、 背板交换式的机架式设备， 容量大性能高， 各单元及系统更 为灵活。 基于 FDT 指标的体系变革 衡量防火墙的性能指标主要包括吞吐量、 报文转发率、 最大并发连接数、 每秒新建连接 数等。 吞吐量和报文转发率是关系防火墙应用的主要指标，一般采用 FDT （Full Duplex Throughput ）来衡量，指 64 字节数据包的全双工吞吐量，该指标既包括吞吐量指标也涵盖 了报文转发率指标。 FDT 与端口容量的区别：端口容量指物理端口的容量总和。如果防火墙接了 2 个千兆 端口，端口容量为 2GB ，但 FDT 可能只是 200MB 。 FDT 与 HDT 的区别： HDT 指半双工吞吐量（ Half Duplex Throughput ）。一个千兆口可 以同时以 1GB 的速度收和发。按 FDT 来说，就是 1GB ；按 HDT 来说，就是 2GB 。有些防 火墙的厂商所说的吞吐量，往往是 HDT 。 一般来说， 即使有多个网络接口， 防火墙的核心处理往往也只有一个处理器完成， 要么 是 CPU ，要么是安全处理芯片或 NP、ASIC 等。 对于防火墙应用，应该充分强调 64 字节数据的整机全双工吞吐量，该指标主要由 CPU 或安全处理芯片、 NP、ASIC 等核心处理单元的处理能力和防火墙体系架构来决定。 对于不同的体系架构， 其 FDT 适应的范围是不一样的， 如对于第一代单 CPU 体系架构 其理论 FDT 为百兆级别，对于中高端的防火墙应用，必须采用第二代或第三代 ISS 集成安