您的位置: 网界网 > 周报全文 > 正文

[周报全文]“小包”快跑!

2009年11月25日 15:06:30 | 作者:网界网 边歆 | 来源:网界网 | 查看本文手机版

摘要:目前,该如何评判防火墙的性能呢?小包数据处理能力才是衡量防火墙产品性能优劣的关键。

标签
防火墙
网御神州
小包数据处理能力

【CNW.com.cn 专稿】目前,该如何评判防火墙的性能呢?小包数据处理能力才是衡量防火墙产品性能优劣的关键。

互联网在发展变化,MSN、QQ、在线视频、在线游戏、社交网络等新应用的流量在网络中的比例日益增高,防火墙也在与时俱进。厂商宣称的性能吞吐指标达到了5G、8G,甚至是20G。但是,令用户不解的是,防火墙的实际使用效果往往与宣称的吞吐性能相差甚远,甚至在大流量下出现死机或断网的现象。

为什么会出现这种情况呢?这是因为传统的防火墙存在着短板性能。通常一台防火墙的吞吐性能指的是处理网络中大包(1518字节)的能力,而根据国际权威组织IEEE的一项调查研究显示,在实际网络环境中,64~256字节的数据包最多,1000字节以上次之,中间大小的数据包最少。也就是说,小包数据处理能力才是衡量防火墙产品性能优劣的关键。通常在市面上一台宣称性能为6G的传统防火墙,其实际性能很可能如图所示,所以它的“6G”也只是以偏盖全的夸大说辞。因此我们不难明白,为什么传统防火墙产品在大流量下会变得“力不从心”。

怎样让防火墙适应新形势的要求呢?网御神州的做法是:充分利用x86芯片和ASIC芯片的各自优势,基于“为多核加速”的设计理念,在多核架构上引入可编程ASIC加速引擎技术和多核负载均衡技术,并推出了基于该架构的泰山红日系列高性能千兆安全网关产品(以下简称“小包王”)。

网御神州防火墙负责人王刚向记者介绍,“小包王”定位于高端千兆防火墙市场,实现了在小包处理性能、应用层DPI检测、实时管理与升级等方面的全面升级。

一方面,可编程ASIC加速引擎的引入,彻底解决了传统多核架构在网络层处理性能上的不足,尤其是“小包”处理性能的不足,可以达到64字节小包8G线速的处理性能;另一方面,多核处理器计算性能优越、在应用层处理能力上的优势得到了很好的继承。而多核负载均衡技术解决了传统多核架构下,由于没有高效的调度技术,导致多核的并行处理效能无法得到充分释放的难题。多核之间并行处理,可以并行做到应用协议深度分析、IPS、反病毒等。同时还可以完成丰富的日志审计与统计报表功能。

“小包王”在业内实现了多项创新和突破,真正达到了客户要求的更快、更安全的境界。

第一,多核加速引擎,确保网络层高性能:多核加速引擎负责网络层数据处理,包括防火墙、VPN、QoS等,基于大容量可编程ASIC(+微信关注网络世界),可以大幅提升产品的处理性能。

第二,多核负载均衡器,确保应用层高性能和实时管理:多核负载均衡技术能够将需要应用层处理的流量,按照比例分配到不同的CPU核上,更大程度上做到了多核间的并行处理,大幅提升了设备的应用层处理性能。IPS吞吐可以轻松超过双向1Gbps线速,用户可以放心开启IPS/反病毒/应用层深度检测等功能,安全更加有保障,同时可以实时管理。

第三,多核异构高可靠性设计,确保高稳定性:多核与加速引擎分离,提高了系统稳定性;多核之间相互监控,一旦有一个核出现故障,业务迅速切换到其他核,保证网络稳定性。(更多内容详见http://www.cnw.com.cn/P/1941)

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]