耐火极限:在标准耐火试验条件下,建筑构件、配件或结构从受到火的作用时起,至失去承载能力、完整性或隔热性时止所用时间,等级用小时(h)表示。
基于FDT指标的体系变革
衡量防火墙的性能指标主要包括吞吐量报文转发率最大并发连接数每秒新建连接数等
吞吐量和报文转发率是关系防火墙应用的主要指标一般采用FDT(Full Duplex Throughput)来衡量指64字节数据包的全双工吞吐量该指标既包括吞吐量指标也涵盖了报文转发率指标
FDT与端口容量的区别端口容量指物理端口的容量总和如果防火墙接了2个千兆端口端口容量为2GB但FDT可能只是200MB
FDT与HDT的区别HDT指半双工吞吐量(Half Duplex Throughput)一个千兆口可以同时以1GB的速度收和发按FDT来说就是1GB按HDT来说就是2GB有些防火墙的厂商所说的吞吐量往往是HDT
一般来说即使有多个网络接口防火墙的核心处理往往也只有一个处理器完成要么是CPU要么是安全处理芯片或NPASIC等
对于防火墙应用应该充分强调64字节数据的整机全双工吞吐量该指标主要由CPU或安全处理芯片NPASIC等核心处理单元的处理能力和防火墙体系架构来决定
对于不同的体系架构其FDT适应的范围是不一样的如对于第一代单CPU体系架构其理论FDT为百兆级别对于中高端的防火墙应用必须采用第二代或第三代ISS集成安全体系架构
基于ISS机构的第三代安全体系架构充分继承了大容量GSR路由器交换机的架构特点可以在支持多安全业务的基础上充分发挥高吞吐量高报文转发率的能力
防火墙体系架构经历了从低性能的x86PPC软件防火墙向高性能硬件防火墙的过渡并逐渐向不但能够满足高性能也需要支持更多业务能力的方向发展
ISS集成安全体系
作为防火墙第三代体系架构ISS根据企业未来对于高性能多业务安全的需求集成安全体系架构吸收了不同硬件架构的优势
恒扬科技推出了自主研发的SempSecSempCrypt安全芯片和P4-M CPU以及基于ISS集成安全系统架构的自主产权操作系统SempOS它可以提升防火墙产品的报文过滤检测攻击检测加解密NAT特性VPN特性等各方面性能的同时并可实现安全业务的全方面拓展国微通讯也推出了基于ISS安全体系架构的GCS3000系列防火墙
ISS架构灵活的模块化结构综合报文过滤状态检测数据加解密功能VPN业务NAT业务流量监管攻击防范安全审计以及用户管理认证等安全功能于一体实现业务功能的按需定制和快速服务响应升级
ISS体系架构的主要特点
1.采用结构化芯片技术设计的专用安全处理芯片作为安全业务的处理核心可以大幅提升吞吐量转发率加解密等处理能力结构化芯片技术可编程定制线速处理模块以快速满足客户需求
2.采用高性能通用CPU作为设备的管理中心和上层业务拓展平台可以平滑移植并支持上层安全应用业务提升系统的应用业务处理能力
3.采用大容量交换背板承载大量的业务总线和管理通道其中千兆Serdes业务总线和PCI管理通道物理分离不仅业务层次划分清晰便于管理而且性能互不受限
4.采用电信级机架式设计无论是SPU安全处理单元MPU主处理单元及其他各类板卡电源机框等模块在可扩展可拔插防辐射防干扰冗余备份可升级等方面做了全方位考虑真正地实现了安全设备的电信级可靠性和可用性
5.不仅达到了安全业务的高性能而且实现了All in One站在客户角度解决了多业务多设备的整合避免了单点设备故障和安全故障大大降低了管理复杂度
6.通过背板及线路接口单元LIU扩展可提供高密度的业务接口