网神SecGate3600下一代极速防火墙(NSG系列)是基于完全自主研发、经受市场检验的成熟稳定网神第三代SecOS操作系统 并且在专业防火墙、VPN、IPS的多年产品经验积累基础上精心研发的高性能下一代防火墙 专门为运营商、政府、军队、教育、大型企业、中小型企业的互联网出口打造的集防火墙、抗DDoS攻击、VPN、内容过滤、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御智能安全网关。
众所周知,当下的防火墙市场中“下一代”这个概念已经被各种各样的噱头掩盖了本来面目,众多厂商以营销为目的,强行为其堆叠各种新概念、新功能,让用户觉得下一代防火墙是一个新的多功能UTM,而忽略了它的本质。试想一下,面对越来越复杂的网络环境,用户最需要的是什么?业务高速、不间断的运行,我们要提供的又是什么?高速转发、稳定性的保障。因此,一台设备无论具备多么繁多新鲜的功能,如果没有高性能的承载,也只能是一个花架子。
网神SecGate3600下一代极速防火墙(NSG系列),围绕用户的真实需求,通过全新的多核架构和设计理念,实现了用户智能管控、应用精细识别、IPS+APP联动及立体可视化监控等一系列特有功能;应用层和网络层安全模块的并行调度,提升了应用层处理性能;系统引擎与安全引擎的用户态设计,避免了安全扫描对设备性能的影响,有效提高了整机运行速度;友好的扁平化风格界面,配合直观的功能模块设计,帮助用户更加方便的进行网络管理。可以说,网神NGFW在有效解决应用层瓶颈和多样化威胁的基础上,为自身系统调度保证了足够的冗余空间,让设备的整体处理性能有了质的飞跃,为用户提供了完美的网络安全解决方案。
一、整体框架介绍:
网神SecGate3600下一代极速防火墙(NSG系列)整体框架是一个多核异步处理(AMP+)的架构。整体架构分为三大部分:配置管理平面、control-plane(控制平面)、data-plane(数据平面)。
二、多核处理介绍:
在整个系统中的数据平面,用到了Intel网卡的RSS及多队列技术,来保证同一条流被分配到同一个队列上,这样解决了数据的保序问题。整个数据平面的cpu是以SMP形式处理转发数据。网卡的收发包队列会根据数据平面的cpu个数平均分配到每个cpu上,这样就保证了数据平面cpu的并行度。
在控制平面和配置平面统一由cpu0来处理,同时在控制平面有智能分析模块,该模块由独立的cpu进行数据的智能分析工作。
三、引擎一体化介绍:
传统防火墙的缺点:
传统防火墙或UTM技术大多以Linux基础,数据的基本转发功能做在Linux的kernel部分,高级功能(例如IPS、防病毒、内容过滤等)都做在用户态,这样需要进行高级防护的数据需要从内核送到用户空间,处理完后需要再从用户空间送到kernel,然后再发送出去。
这种做法总体有三个比较大的缺点:
1、涉及到数据包频繁的上下传输(可能是拷贝,如果用了相关零拷贝技术的话又涉及频繁的消息通知)。
2、进程间频繁切换
3、Session无法复用
网神SecGate3600下一代极速防火墙(NSG系列)的优势:
采用引擎一体化技术后,整个数据的处理(包括应用层数据的处理,IPS、防病毒等高级功能)都在数据平面完成,不涉及数据包的拷贝,进程切换等问题。同时数据的处理在整个转发阶段都使用同一个Session(会话)。
从图中我们可以发现,基本数据转发功能以及防火墙功能以及各种高级功能都在同一个处理平面中。整个处理流程如下:
