不止小米8探索版敢于曝光内部结构,还有RG-WALL 1600下一代防火墙
5月31日,小米8透明探索版发布。透明的后壳让内部构造一览无余。
同样敢以“真面目”示人的还有RG-WALL 1600下一代防火墙。
锐捷防火墙已经发展了有16个年头,拥有多年的技术积累。RG-WALL 1600下一代防火墙硬件架构一直都在致力于提高防火墙的性能和稳定性。下面就让我们打开机器外壳,看看里面什么样?
RG-WALL 1600系列下一代防火墙不惜成本全系列均采用SSD作为存储介质,内部则在业界常规X86架构之外多了多个专用ASIC芯片,分别是ASIC网络加速芯片(Network Accelerate Chip)简称NAC,ASIC内容加速芯片(Content Accelerate Chip)简称CAC。
近几年防火墙的快速发展速度异常迅猛,软件系统的迭代速度已经远远超过防火墙初期发展的速度,采用X86平台开发下一代防火墙使防火墙的开发效率得到极大的提高。但X86平台毕竟不是为网络诞生的产物,在防火墙小包转发性能上出现了较大的瓶颈,所以在大量小包通过防火墙时,简单的小包转发动作都需要消耗一个CPU时钟,转发动作虽然简单但是CPU还是必须逐条处理,这就造成了小包效率低的问题。
如图上流量图所示,单一X86架构任何动作都由CPU处理,会遇到小包及应用层解析性能瓶颈。
RG-WALL 1600系列下一代防火墙,基于锐捷网络多年在数据通信领域的研究成果,采用了“一主多协”的硬件架构,在保障X86架构灵活性的同时加入了NAC芯片(Network Accelerant Chip)加速网络性能,以及CAC 芯片(Content Accelerant Chip)加速应用内容识别,极大地释放了CPU的压力,从硬件方面优化防火墙性能。在威尔克实验室权威测试中,RG-WALL 1600系列下一代防火墙做到了大小包吞吐一致,而其核心技术就在于NAC芯片(Network Accelerant Chip)加速了网络吞吐性能。
如图所示,X86CPU只负责建立连接,在会话连接建立完毕后,X86CPU会将会话同步给 NAC芯片,后续网络层同样的处理动作会直接由NAC芯片协助处理,大大释放了主CPU的压力。
对于传统架构的防火墙,基于单一X86CPU进行应用层及SSL检测等进行安全防护处理,会面临如上所提到的整体性能降低70%左右,在不能进行有效安全防护的同时,反而形成处理瓶颈。而CAC 芯片就是为了加速SSL,IPS等类似7层应用协议,尤其是针对SSL深度包检测,可达到8倍于CPU的处理能力,极大提升了SSL数据包检测的能力。
如图所示,X86CPU负责建立连接,在会话连接建立完毕后,X86CPU会将会话同步给CAC芯片,后续网络层同样的处理动作会直接由CAC芯片处理,在保障安全性的同时不让单一CPU成为性能的瓶颈。
锐捷新一代RG-WALL 1600防火墙毫不保留地将内部硬件架构设计曝光,让用户可以从底层了解锐捷防火墙,打开探索的门,让用户了解科技的力量。