防火墙体系结构开发课程防火墙知识

为了满足用户更高的要求，防火墙体系结构经历了从低性能x86、PPC软件防火墙到高性能硬件防火墙的转变，逐步满足高性能、高业务能力的需求。
经过几年的蓬勃发展，防火墙已经形成了多种体系结构，这些架构的设备相互补充、相互补充，不断发展和升级。
防火墙体系结构老；
从PC软件的第一代防火墙的发展，对工业控制机、PC箱，然后到MIPS架构，NP，第二代ASIC架构，开发专用安全处理芯片背板交换架构的第三代，以及所有在One集成的安全架构。
为了支持更广泛、更高性能的业务需求，各厂家充分发挥各自优势，促进整个技术和市场的发展。
目前，防火墙产品的三代体系主要是：
第一代体系结构主要是以单CPU为核心的整个系统业务和管理。CPU的种类很多，如x86，PowerPC和MIPS。主要产品有PC机、工控机、PC盒或RISC盒。
第二代体系结构：以NP或ASIC为核心的业务流程，加速一般的安全业务，以CPU为核心的管理，产品的主要形式是盒子。
第三代架构：ISS（集成安全系统）集成的安全架构，以确保高速处理芯片为核心的业务流程，高层应用采用高性能CPU发挥多种安全服务，主要用于高可靠性的机架式设备产品的形式，基于电信背板交换容量大，高性能。单元和系统更灵活。
基于FDT指标体系的变化
防火墙的性能指标主要包括吞吐量、消息转发速率、最大并发数、每秒新连接数等。
吞吐量和包转发速率是防火墙应用的主要指标。一般来说，FDT（全双工吞吐量）是用来测量64字节数据包的全双工吞吐量，包括吞吐量和报文转发率指标指数。
FDT和港口能力的区别：港口能力指的是物理端口容量的总和。如果防火墙连接到2个千兆端口，端口容量为2GB，但FDT可能仅200。
FDT和HDT的区别：HDT是半双工吞吐量（半双工吞吐量）。一个千兆口可同时收集在1GB的速度。至于FDT而言，它是1GB；从HDT，它是2GB。一些防火墙厂商的吞吐量通常HDT。
一般来说，即使有多个网络接口，防火墙的核心处理通常只由一个处理器完成，无论是CPU、芯片还是NP或ASIC。
对于防火墙应用，我们应该强调64字节数据的全双工吞吐量，这主要取决于CPU或安全处理芯片、NP、ASIC等核心处理单元和防火墙体系结构的处理能力。
对于不同的建筑，FDT的适应是不一样的，比如单CPU结构理论FDT快速水平防火墙在高端应用的第一代，必须使用第二代或第三代ISS集成安全架构。
基于ISS组织的第三代安全架构充分继承了大容量GSR路由器和交换机的结构特点。在支持多种安全业务的基础上，充分发挥了高吞吐量、高分组转发率的能力。
防火墙体系结构经历了从低性能x86、PPC软件防火墙到高性能硬件防火墙的转变，正在逐步朝着高性能、多业务能力方向发展。
综合安全系统
ISS作为防火墙的第三代体系结构，根据未来高性能、多业务安全的需要，集成了安全体系结构，并吸收了不同硬件体系结构的优点。
衡阳科技推出了sempsec自主研发，sempcrypt安全芯片和P4-M CPU，并基于ISS集成安全系统架构的自主产权的操作系统sempos。它可以增强防火墙产品，如包过滤、检测、攻击检测的性能特点，NAT，VPN的加密和解密，特点等，并实现安全业务的全面发展。国家microcommunications还推出了基于ISS的安全架构gcs3000系列防火墙。
ISS的模块化结构灵活、集成包过滤、状态检测、数据加密和解密功能、VPN服务、NAT服务、流量调节、攻击防范、安全审计、用户管理和身份验证等功能，实现了按需服务的业务功能，并能快速响应升级。
国际空间站体系结构的主要特点：
1。处理核心采用专用安全芯片技术设计成结构化安全服务，可以大大提高吞吐量、转发速率和加密处理能力；结构化芯片可编程定制线速处理模块，能快速满足客户需求；
2、采用高性能通用CPU作为设备管理中心和上层业务开发平台，可以顺利移植和支持上层安全应用业务，提高系统的应用业务处理能力。
3、大容量交换背板用于承载大量业务总线和管理信道。千兆串行总线和PCI管理渠道不仅是明确的物理分离，易于管理，而且在性能上的限制。
4。电信机架的设计，无论是SPU安全微处理器处理单元、主处理单元和其他类型的卡、电源、机架和其他模块的可扩展和可插拔的，抗辐射、抗干扰、冗余、可升级的考虑全面，真正实现电信级可靠安全设备的可用性；
5，不仅实现了安全业务的高性能，而且实现了所有在One解决了从客户的角度出发，多服务、多设备的整合，避免了单点设备故障和安全故障，大大降低了管理的复杂性。
6。高密度的服务接口可以由背板和线接口单元提供。