防火墻體系架構發展歷程

　　為了滿足用戶的更高要求，防火墻體系架構經歷了從低性能的x86、PPC軟件防火墻向高性能硬件防火墻的過渡，并逐漸向不但能夠滿足高性能，也需要支持更多業務能力的方向發展。

　　防火墻在經過幾年繁榮的發展后，已經形成了多種類型的體系架構，并且這幾種體系架構的設備并存互補，并不斷進行演變升級。

　　防火墻體系架構“老中青”

　　防火墻的發展從第一代的PC機軟件，到工控機、PC-Box，再到MIPS架構。第二代的NP、ASIC架構。發展到第三代的專用安全處理芯片背板交換架構，以及“All In One”集成安全體系架構。

　　為了支持更廣泛及更高性能的業務需求，各個廠家全力發揮各自優勢，推動著整個技術以及市場的發展。

　　目前，防火墻產品的三代體系架構主要為：

　　第一代架構：主要是以單一CPU作為整個系統業務和管理的核心，CPU有x86、PowerPC、MIPS等多類型，產品主要表現形式是PC機、工控機、PC-Box或RISC-Box等;

　　第二代架構：以NP或ASIC作為業務處理的主要核心，對一般安全業務進行加速，嵌入式CPU為管理核心，產品主要表現形式為Box等;

　　第三代架構：ISS(Integrated Security System)集成安全體系架構，以高速安全處理芯片作為業務處理的主要核心，采用高性能CPU發揮多種安全業務的高層應用，產品主要表現形式為基于電信級的高可靠、背板交換式的機架式設備，容量大性能高，各單元及系統更為靈活。

　　基于FDT指標的體系變革

　　衡量防火墻的性能指標主要包括吞吐量、報文轉發率、最大并發連接數、每秒新建連接數等。

　　吞吐量和報文轉發率是關系防火墻應用的主要指標，一般采用FDT(Full Duplex Throughput)來衡量，指64字節數據包的全雙工吞吐量，該指標既包括吞吐量指標也涵蓋了報文轉發率指標。

　　FDT與端口容量的區別：端口容量指物理端口的容量總和。如果防火墻接了2個千兆端口，端口容量為2GB，但FDT可能只是200MB。

　　FDT與HDT的區別：HDT指半雙工吞吐量(Half Duplex Throughput)。一個千兆口可以同時以1GB的速度收和發。按FDT來說，就是1GB;按HDT來說，就是2GB。有些防火墻的廠商所說的吞吐量，往往是HDT。

　　一般來說，即使有多個網絡接口，防火墻的核心處理往往也只有一個處理器完成，要么是CPU，要么是安全處理芯片或NP、ASIC等。

　　對于防火墻應用，應該充分強調64字節數據的整機全雙工吞吐量，該指標主要由CPU或安全處理芯片、NP、ASIC等核心處理單元的處理能力和防火墻體系架構來決定。

　　對于不同的體系架構，其FDT適應的范圍是不一樣的，如對于第一代單CPU體系架構其理論FDT為百兆級別，對于中高端的防火墻應用，必須采用第二代或第三代ISS集成安全體系架構。

　　基于ISS機構的第三代安全體系架構，充分繼承了大容量GSR路由器、交換機的架構特點，可以在支持多安全業務的基礎上，充分發揮高吞吐量、高報文轉發率的能力。

　　防火墻體系架構經歷了從低性能的x86、PPC軟件防火墻向高性能硬件防火墻的過渡，并逐漸向不但能夠滿足高性能也需要支持更多業務能力的方向發展。

　　ISS集成安全體系

　　作為防火墻第三代體系架構，ISS根據企業未來對于高性能多業務安全的需求，集成安全體系架構，吸收了不同硬件架構的優勢。

　　恒揚科技推出了自主研發的SempSec、SempCrypt安全芯片和P4-M CPU以及基于ISS集成安全系統架構的自主產權操作系統SempOS。它可以提升防火墻產品的報文過濾檢測、攻擊檢測、加解密、NAT特性、特性等各方面性能的同時，并可實現安全業務的全方面拓展。國微通訊也推出了基于ISS安全體系架構的GCS3000系列防火墻。

　　ISS架構靈活的模塊化結構，綜合報文過濾、狀態檢測、數據加解密功能、業務、NAT業務、流量監管、攻擊防范、安全審計以及用戶管理認證等安全功能于一體，實現業務功能的按需定制和快速服務、響應升級。

　　ISS體系架構的主要特點：

　　1.采用結構化芯片技術設計的專用安全處理芯片作為安全業務的處理核心，可以大幅提升吞吐量、轉發率、加解密等處理能力;結構化芯片技術可編程定制線速處理模塊，以快速滿足客戶需求;

　　2.采用高性能通用CPU作為設備的管理中心和上層業務拓展平臺，可以平滑移植并支持上層安全應用業務，提升系統的應用業務處理能力;

　　3.采用大容量交換背板承載大量的業務總線和管理通道，其中千兆Serdes業務總線和PCI管理通道物理分離，不僅業務層次劃分清晰，便于管理，而且性能互不受限;

　　4.采用電信級機架式設計，無論是SPU安全處理單元、MPU主處理單元及其他各類板卡、電源、機框等模塊在可擴展、可拔插、防輻射、防干擾、冗余備份、可升級等方面做了全方位考慮，真正地實現了安全設備的電信級可靠性和可用性;

　　5.不僅達到了安全業務的高性能而且實現了“All in One”，站在客戶角度解決了多業務、多設備的整合，避免了單點設備故障和安全故障，大大降低了管理復雜度;

　　6.通過背板及線路接口單元LIU擴展可提供高密度的業務接口。