千兆硬件防火墙

skipjack

原帖由 Jambo 于 2006-4-26 09:19 发表
>>个人认为国内一般采用软件+修改后的内核＋机箱 组成了硬件防火墙

5年前可以这样认为，现在已经不是这个样子了

????????????

playmud

现在是什么一个样子？

xzjt

现在还是这个样子~

天下第二

原帖由 dghlove 于 2006-3-22 15:11 发表
topsec的tos基于NP和ASIC

他们的产品都没出。现在还都是x86的。

skipjack

原帖由 Jambo 于 2006-4-26 09:19 发表
>>个人认为国内一般采用软件+修改后的内核＋机箱 组成了硬件防火墙

5年前可以这样认为，现在已经不是这个样子了

大家都等你分析呢

sunmoonsea

以前防火墙很多都是才有软件来实现的,不过现在防火墙已经发展了这么长时间,而且经历竞争后,国内厂商也很早开始研发np防火墙了.
和topsec的技术人员接触,他们好像是去年推出np防火墙的.使用起来还感觉不错.
咱国内主要的墙还是研发力量不够啊,而且测试也做的少.听说龙马的也不错

mmhouse

哈哈,听说过一道门1000没?

teczm

个人认为国内防火墙目前topsec的不错，其硬件墙在大流量复杂环境现场测试成绩很好。

xuzhanxing

从去年ＴＯＰＳＥＣ开始生产ＮＰ架构
但是据测试像NGFW4000-UF-G系列也达不到真正的千兆

Jobs.AE@

topsec的NP墙根本就没怎么销售，因为他们使用的立华的8千兆口方案，而不是Intel推荐的4光4电combo方案，8口方案是有缺陷的，他们至今没有解决；
topsec的ASIC墙如果让我说实话，纯粹是TopSec和南山之桥两个公司合起来骗了国家一笔科研经费！没有任何可用性！

对于千兆墙的架构问题，我想国内目前还没有哪家公司有能力做ASIC的，最多就是NP了，也不是谁的都可以用的。

NP目前主要是两个公司供应，Intel和IBM，不过IBM已经把NP芯片部门卖给了Hifn，目前前景尚不明朗。

但是，从架构上来说，个人感觉NP4GS3在某些方面略胜于IXP2400，两种NP内部均有8个可编程的微引擎，微引擎使用类汇编语言编码，其执行效率和处理能力都是比较强的。两种架构在性能上均属于2.5G产品，在代码足够优化的条件下，基本可以达到网络平均包长为512左右时达到双向2G的线速转发。个人经验，基本上128字节以上的测试流就已经可以达到线速转发了。

NP架构的软件架构通常是在微引擎上实现Firewall的功能，因此不存在说修改过的Linux内核之类的说法，通常NP架构还会配以一块GPP，用来做Control的和实现一些特殊功能（如深度检测，特殊协议处理等，不一一列举），这类功能的共同特点是逻辑复杂，代码亮大，需要实现较多的复杂处理，因此无法在微引擎上实现。

LZ所问的关于国内厂商是否有真正的千兆墙，我之愚见——有的。我指的就是做的比较好的NP墙。置于谁家的，我就不说了，以免让人觉得抢手嫌疑。
不过楼上几位提到的都确实不怎么样，我也不点名批评了，我想如果关注这个领域的人，应该能够得到这个领域的真实信息。

浅谈，个人观点，欢迎讨论。:em11: