網(wǎng)神SecGate3600下一代極速防火墻(NSG系列)是基于完全自主研發(fā)����、經(jīng)受市場(chǎng)檢驗(yàn)的成熟穩(wěn)定網(wǎng)神第三代SecOS操作系統(tǒng) 并且在專業(yè)防火墻���、VPN����、IPS的多年產(chǎn)品經(jīng)驗(yàn)積累基礎(chǔ)上精心研發(fā)的高性能下一代防火墻 專門為運(yùn)營(yíng)商���、政府���、軍隊(duì)��、教育���、大型企業(yè)����、中小型企業(yè)的互聯(lián)網(wǎng)出口打造的集防火墻�����、抗DDoS攻擊�、VPN����、內(nèi)容過濾、IPS、帶寬管理、用戶認(rèn)證等多項(xiàng)安全技術(shù)于一身的主動(dòng)防御智能安全網(wǎng)關(guān)�����。
眾所周知��,當(dāng)下的防火墻市場(chǎng)中“下一代”這個(gè)概念已經(jīng)被各種各樣的噱頭掩蓋了本來面目����,眾多廠商以營(yíng)銷為目的�����,強(qiáng)行為其堆疊各種新概念、新功能�,讓用戶覺得下一代防火墻是一個(gè)新的多功能UTM��,而忽略了它的本質(zhì)。試想一下�����,面對(duì)越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境��,用戶最需要的是什么�?業(yè)務(wù)高速���、不間斷的運(yùn)行��,我們要提供的又是什么����?高速轉(zhuǎn)發(fā)��、穩(wěn)定性的保障��。因此,一臺(tái)設(shè)備無論具備多么繁多新鮮的功能�����,如果沒有高性能的承載����,也只能是一個(gè)花架子�����。
網(wǎng)神SecGate3600下一代極速防火墻(NSG系列)����,圍繞用戶的真實(shí)需求��,通過全新的多核架構(gòu)和設(shè)計(jì)理念�����,實(shí)現(xiàn)了用戶智能管控、應(yīng)用精細(xì)識(shí)別、IPS+APP聯(lián)動(dòng)及立體可視化監(jiān)控等一系列特有功能;應(yīng)用層和網(wǎng)絡(luò)層安全模塊的并行調(diào)度,提升了應(yīng)用層處理性能�����;系統(tǒng)引擎與安全引擎的用戶態(tài)設(shè)計(jì),避免了安全掃描對(duì)設(shè)備性能的影響�,有效提高了整機(jī)運(yùn)行速度����;友好的扁平化風(fēng)格界面��,配合直觀的功能模塊設(shè)計(jì)�����,幫助用戶更加方便的進(jìn)行網(wǎng)絡(luò)管理?�?梢哉f����,網(wǎng)神NGFW在有效解決應(yīng)用層瓶頸和多樣化威脅的基礎(chǔ)上�,為自身系統(tǒng)調(diào)度保證了足夠的冗余空間,讓設(shè)備的整體處理性能有了質(zhì)的飛躍,為用戶提供了完美的網(wǎng)絡(luò)安全解決方案。
一�、整體框架介紹:
網(wǎng)神SecGate3600下一代極速防火墻(NSG系列)整體框架是一個(gè)多核異步處理(AMP+)的架構(gòu)���。整體架構(gòu)分為三大部分:配置管理平面����、control-plane(控制平面)����、data-plane(數(shù)據(jù)平面)。
二、多核處理介紹:
在整個(gè)系統(tǒng)中的數(shù)據(jù)平面,用到了Intel網(wǎng)卡的RSS及多隊(duì)列技術(shù),來保證同一條流被分配到同一個(gè)隊(duì)列上�����,這樣解決了數(shù)據(jù)的保序問題��。整個(gè)數(shù)據(jù)平面的cpu是以SMP形式處理轉(zhuǎn)發(fā)數(shù)據(jù)���。網(wǎng)卡的收發(fā)包隊(duì)列會(huì)根據(jù)數(shù)據(jù)平面的cpu個(gè)數(shù)平均分配到每個(gè)cpu上����,這樣就保證了數(shù)據(jù)平面cpu的并行度�。
在控制平面和配置平面統(tǒng)一由cpu0來處理,同時(shí)在控制平面有智能分析模塊,該模塊由獨(dú)立的cpu進(jìn)行數(shù)據(jù)的智能分析工作。
三�、引擎一體化介紹:
傳統(tǒng)防火墻的缺點(diǎn):
傳統(tǒng)防火墻或UTM技術(shù)大多以Linux基礎(chǔ)��,數(shù)據(jù)的基本轉(zhuǎn)發(fā)功能做在Linux的kernel部分,高級(jí)功能(例如IPS、防病毒����、內(nèi)容過濾等)都做在用戶態(tài)�����,這樣需要進(jìn)行高級(jí)防護(hù)的數(shù)據(jù)需要從內(nèi)核送到用戶空間���,處理完后需要再從用戶空間送到kernel��,然后再發(fā)送出去����。
這種做法總體有三個(gè)比較大的缺點(diǎn):
1�、涉及到數(shù)據(jù)包頻繁的上下傳輸(可能是拷貝,如果用了相關(guān)零拷貝技術(shù)的話又涉及頻繁的消息通知)���。
2、進(jìn)程間頻繁切換
3���、Session無法復(fù)用
網(wǎng)神SecGate3600下一代極速防火墻(NSG系列)的優(yōu)勢(shì):
采用引擎一體化技術(shù)后,整個(gè)數(shù)據(jù)的處理(包括應(yīng)用層數(shù)據(jù)的處理���,IPS、防病毒等高級(jí)功能)都在數(shù)據(jù)平面完成��,不涉及數(shù)據(jù)包的拷貝��,進(jìn)程切換等問題��。同時(shí)數(shù)據(jù)的處理在整個(gè)轉(zhuǎn)發(fā)階段都使用同一個(gè)Session(會(huì)話)����。
從圖中我們可以發(fā)現(xiàn)�����,基本數(shù)據(jù)轉(zhuǎn)發(fā)功能以及防火墻功能以及各種高級(jí)功能都在同一個(gè)處理平面中�。整個(gè)處理流程如下:
