文/圖 鮮橙加冰(王文文)
我們需要「諾亞方舟」那樣的防火牆來阻止這種災難!
乙個優秀的「方舟」必須有精密的全船控制系統、堅固的船體、優秀的船體設計、大容量的船內空間……
乙個優秀的防火牆必須擁有良好的作業系統、合理的技術架構,高效的處理晶元,優秀的演算法、良好的抗攻擊特性……
經常可以看到一些配置不高,效能不佳的防火牆產品在大流量衝擊下宕機或掛起,輕則造成網路堵塞上網奇卡無比。重則導致網路中斷、業務完全無法進行。
我們不妨來看看國內一款叫「小包王」的千兆安全閘道器,從名字就能看出來這款產品的優勢所在。他們為何對自己這款產品有這樣的自信?網御神州的技術人員隨即為筆者解開了疑惑:
一、網神的小包王是以」多核並行安全作業系統secos」為基礎的,結合以上「諾亞方舟」的說法,它具有良好的作業系統(精密的全船控制系統)。
二、基於大容量可程式設計asic的多核加速引擎,可以很好的處理防火牆、vpn、qos等網路層資料,大幅提公升產品的處理效能(大容量的船內空間)。
三、基於硬體實現的多核負載均衡技術,能夠將需要應用層處理的流量按照比例分配到不同的cpu核上,最大程度的做到了多核間的並行處理,大幅提公升了裝置的應用層處理效能(優秀的船體設計)。
四、多核與加速引擎,核心處理分離,提高了系統穩定性,並且多核之間相互監控,一旦有乙個核出現故障,業務可迅速切換到其他核(堅固的船體)。
符合以上四點,一艘可以拯救網路災難的「諾亞方舟」就可以造出來了。
不過簡單瀏覽以上四點,可能會覺得別的防火牆廠商也有類似的架構和技術。那我們再深究一下,一款防火牆要在網路層小包處理方面領先對手,關鍵在**?
網御神州安全閘道器事業部的副總經理王如章指出,處理網路層資料的關鍵就是在第二點——大容量可程式設計asic的多核加速引擎。換言之,要體現防火牆小包處理優勢 asic利用率是關鍵。
他給筆者看了兩張圖,一張是目前業界主流的網路產品架構(增加hash演算法的樹型搜尋演算法),如圖1所示。
圖1它的優點是相對單樹結構,樹的個數增加,規模減小,可以大幅提公升查詢效率,缺點是對於表項規模更大的情況,樹的規模大,查詢效率相對較低。適用於表項較少的搜尋,一般在50萬以下的表項規模。
第二張是二維矩陣的樹型搜尋演算法樹形結構,如圖2所示。
圖2這類演算法結構目前為一些廠商所專有,優點是樹的個數成指數增加,可以大幅提公升查詢效率,相對增加hash演算法的樹型搜尋演算法樹形結構,搜尋效率提公升10倍以上。缺點是邏輯設計複雜,硬體實現難度大。適用於表項規模更大的搜尋,一般在50萬以上的表項規模設計。比如網神的小包王系列就是用的這類架構。
只有用強大的演算法將asic的效能發揮到極致,乙個防火牆才有處理好小包的底氣!希望國內的防火牆廠商都能建造出這樣不懼「小包」壓力的「方舟」,讓大家的網路遠離災患。
freebsd 7.1到8.0皆有漏洞 可獲root許可權堪稱聖誕禮物
應用防火牆的下一代
如何自己打造高效能寬頻路由防火牆
提高管理與維護水平 企業網路防火牆管理經驗談
合理設定vista系統防火牆讓其獨當一面
簡單三步幫助企業解決web業務安全防護問題
如何選擇合適的web安全閘道器
web准入認證—破除802.1x部署之爭
web應用安全技巧
網路收斂比
就是n對應到m的乙個過程,當n m時被稱作收斂.鑑於排隊論的原理,當有n個顧客按其概率到達要求服務時,如果在一定的服務質量 收斂條件 被約定,則本系統僅需要有m m簡單地說 話務量大則收斂比必須小.話務量小則收斂比可以大。舉個例子,對使用者級來說,從長時間平均來看,如果同時4個使用者只有其中乙個要通...
網路收斂比
就是n對應到m的乙個過程,當n m時被稱作收斂.鑑於排隊論的原理,當有n個顧客按其概率到達要求服務時,如果在一定的服務質量 收斂條件 被約定,則本系統僅需要有m m 簡單地說 話務量大則收斂比必須小.話務量小則收斂比可以大。舉個例子,對使用者級來說,從長時間平均來看,如果同時4個使用者只有其中乙個要...
網際網路將現完美風暴式災難?
arbor 公司發布安全報告,認為隨著近年來 dnssec ipv4 ipv6 以及as 號從16 位元過渡到 32位元,網際網路即將出現 完美風暴 式的災難。完美風暴 指乙個時間,很少出現的事情同時發生,導致災難後果不堪設想。這與社會學中的墨菲定律相關 事情如果有變壞的可能,不管這種可能性有多小,...