万兆硬件防火墙_万兆防火墙参数
非常欢迎大家参与这个万兆硬件防火墙问题集合的探讨。我将以开放的心态回答每个问题,并尽量给出多样化的观点和角度,以期能够启发大家的思考。
1.有人可以给出阿姆瑞特F50-NP的详细使用说明吗。随机带的说明太简单了!
2.华为USG6370参数,功能,与其他型号对比区别
3.思科防火墙x86架构和ASIC架构和NP架构的区别
4.np什么意思呀?
5.搭建万兆网需要具备哪些条件
6.防火墙处理能力指什么?一般会有2Gbps、10Gbps,一般指的是fw的哪个指标?
有人可以给出阿姆瑞特F50-NP的详细使用说明吗。随机带的说明太简单了!
目 录
一,阿姆瑞特公司简介
阿姆瑞特是一家专业从事网络安全产品研发和服务的跨国IT企业,属于阿姆瑞特(国际)集团在亚洲的分支机构.集团总部设在瑞典,拥有强大的公司实力及技术优势,多年来一直致力于网络安全产品的研发和服务,在全球范围设有多个研发机构和销售网络,为不同的客户提供最先进的,特色化的安全产品和服务.目前,阿姆瑞特已经在北京,西安,南京,广州,成都等地先后建立办事处,并将销售延伸到全国各个省市,建立起遍及全国的销售和服务平台.在金融,电信,教育,广电,电力,制造和政府等行业已经有广泛的应用,客户的一致好评和在玛赛,联想,赛迪等国内大型实验室优异的测试结果,显示了阿姆瑞特产品的卓越品质和公司雄厚的技术实力.
阿姆瑞特人愿通过不懈的努力,与合作伙伴共同为中国网络安全发展尽自己的微薄之力.阿姆瑞特的目标是:服务于中国的信息安全产业,为用户提供全球领先的安全产品和完善的服务.
二,阿姆瑞特防火墙的产品线及性能
2.1 阿姆瑞特防火墙性能参数
性能
F50-NP
F100-NP
F100UP
F100Pro
F300Pro
F600-UP
F600Pro
F600+
F1800
F3000
F5000
F5000Pro
并发连接数
4,000
16,000
128,000
200,000
320,000
512,000
1,000,000
1,000,000
2,000,000
3,000,000
5,000,000
80,000,000
吞吐量(Mbps)
50*
100*
120
200
400
800
1,000
1,5000
2,000
3,000
4,000
16,000
延时( μs )
≤30
≤30
≤30
≤30
≤25
≤25
≤25
≤25
≤19
≤19
≤19
≤19
防火墙接口数量
4+6
4+6
4
6
8
6-14
6-14
6-14
6-14
6-14
6-14
5-40
用户数量
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
VLAN数量
无
无
256
256
512
1,024
1,024
1,024
2,048
4,096
4,096
32,768
规则数量
500
1,000
1,000
1,000
2,000
8,000
16,000
16,000
16,000
32,000
32,000
250,000
路由数量
64
128
128
128
512
1,024
2,048
2,048
2,048
4,096
4,096
32,768
***隧道数
15
30
120
120
1,200
1,600
2,000
2,000
2,000
2,000
2,000
400,000
MTBF(小时)
30000
30000
30000
30000
40000
40000
40000
40000
50000
50000
50000
50000
规格(长*宽*高)
157*210*30
157*210*30
238*435*44
238*435*44
238*435*44
435*435*44
435*435*44
170*255*40
435*435*88
435*435*44
435*435*88
435*435*88
2.2 SME级别F50-NP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F50-NP
*50M
4000
4+6
Unlimited
20M
25
NetScreen
NS-5XT
70
2,000
5
10
20M
10
NS-5GT
75
2,000
5
10
20M
10
NS-5GT_Ex
75
4,000
5
Unlimited
20M
25
Cisco
PIX-501-50
60M
7,500
2+4
50
6M
10
PIX-501-10
60M
7,500
2+4
10
6M
10
Nokia
IP40-U
70M
3
Unlimited
15M
10
*F50-NP吞吐量可升级至75M
2.3 SME级别F100-NP&F100-UP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F100-NP
*100M
16,000
4+6
Unlimited
40M
100
F100-UP
120M
128,000
4
Unlimited
95M
120
NetScreen
NS-25
100M
32,000
4
Unlimited
20M
125
Cisco
Pix-506E
100M
25,000
2
Unlimited
16M
25
Nokia
IP130
102M
100,000
3
Unlimited
13M
*F100-NP吞吐量可升级至200M
2.4 CorpXpres系列F100-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F100-Pro
200M
200,000
6
Unlimited
95M
120
NetScreen
NS-25
170M
64,000
4
Unlimited
45M
500
Cisco
Pix-515E-UR
188M
130,000
2-6
Unlimited
63M
2,000
Nokia
Nokia无此档产品
2.5 CorpXpres系列F300-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F300-Pro
400M
320,000
8
Unlimited
130M
1,200
NetScreen
NS-204
400M
128,,000
4
Unlimited
200M
1,000
Cisco
Pix-525-UR
330M
280,000
2-6
Unlimited
145M
2,000
Nokia
IP350
400M
128,000
4
Unlimited
60M
2,000
2.6 EntXpress系列F600-UP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F600-UP
800M
512,000
6-14
Unlimited
600M
1,600
NetScreen
NS-208
550M
128,000
8
Unlimited
200M
1,000
NS-500
700M
250,000
12
Unlimited
250M
5,000
Cisco
Cisco无此档产品
Nokia
IP530
507M
128,000
4
Unlimited
115M
2,000
IP380
600M
128,000
6
Unlimited
90M
2,000
2.7 EntXpress系列F600-Pro&F600+性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F600-Pro
1,000M
1,000,000
6-14
Unlimited
800M
2,000
F600+
1,500M
1,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
ISG1000
1,000M
250,000
4 -8
Unlimited
1,000M
2,000
Cisco
PIX-535-UR
1,700M
500,000
2-8
Unlimited
440M
2,000
Nokia
IP710
1,300M
128,000
4
Unlimited
139M
2,000
2.8 TelcoXpress系列F1800&F3000性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F1800
2,000M
2,000,000
6-14
Unlimited
1,000M
2,000
F3000
3,000M
3,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
ISG2000
2,000M
512,000
8
Unlimited
1,000M
10,000
Cisco
Cisco无此档产品
Nokia
IP740
2,000M
500,000
4
Unlimited
139M
10,000
2.9 TelcoXpress系列F5000性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F5000
4,000M
5,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
Netscreen无此档产品
Cisco
Cisco无此档产品
Nokia
IP1260
4,200M
1,000,000
4
Unlimited
800M
2.10超级电信级产品F5000-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F5000-Pro
16,000M
5,000,000
5-40
Unlimited
16,000M
400,000
NetScreen
NS-5200
10,000M
1,000,000
8
Unlimited
5,000M
30,000
NetScreen
NS-5400
30,000M
1,000,000
24
Unlimited
15,000M
30,000
Cisco
FWSM模块
5,000
1,000,000
100(VLAN)
Unlimited
n/a
n/a
Nokia
Nokia无此档产品
阿姆瑞特现已推出的5000Pro防火墙,是当今世界上最快的防火墙.产品已经在欧洲的各大电信运营商网络成功的开始了应用.
下面是它图样:
平台架构
最多支持八块高性能的基于ASIC加速的板卡
每块板卡支持2G的明通和密通吞吐量
每块板卡支持4+1个网口, 四个千兆口, 一个SFP
管理卡位于工控机的背板,不占用插槽
背板还拥有一个网口汇聚卡, 可以支持八个百兆电口,SFP,或者万兆口
重要技术参数
防火墙明通吞吐量16Gbps
IPSEC密通吞吐量16Gbps
同时并发连接8千万
55万大包PPS
四十万最大***通道数
支持32768个VLAN接口
支持最多8000个虚拟路由系统
GAN兼容,支持3G网络安全需求
完全支持IKEv2和EIP-SIM
三,阿姆瑞特防火墙的组成
3.1 阿姆瑞特防火墙硬件
阿姆瑞特防火墙采用专有的硬件,采用高性能的CPU和大容量的内存保证硬件的高性能.其中,阿姆瑞特NP系列采用NP的硬件架构;600UP以上的产品采用ASIC技术.
3.2 阿姆瑞特防火墙内核
阿姆瑞特防火墙为"无系统内核",即:防火墙没有操作系统,因此不会存在通用操作系统的漏洞,从而在底层保证防火墙的安全性;同时,因为操作系统需要不断地去维护,升级,无操作系统就不存在此类问题,这也排除了因为系统升级,打补丁破坏防火墙功能,性能的问题.
阿姆瑞特防火墙内核启动后,可直接管理防火墙的所有硬件(CPU,网卡,总线等),它可以在底层从硬件设备中接管进出防火墙数据并进行处理,利用了所有可能的硬件性能,同时减少了操作系统的开销,因此可以最快的处理数据,使其成为市场上现有的最快的防火墙之一.
3.3 阿姆瑞特防火墙管理器
阿姆瑞特防火墙管理器的作用是对防火墙进行管理,配置,日志的查询,同时可以集中管理到多达3万台防火墙.
3.4 阿姆瑞特防火墙日志服务器
阿姆瑞特防火墙日志服务器的作用是接收并存储防火墙的日志.
3.5 其它防火墙硬件和内核简介
厂家
介绍
阿姆瑞特防火墙的优势
Juniper
Juniper防火墙采用专用的操作系统平台,而且把操作系统固化在专用芯片(ASIC)上.
阿姆瑞特防火墙内核文件到目前为止都是小于2M,比Juniper小,所以在性能上两者相差不大;但是在灵活性和扩展性上比Juniper强.
Cisco
Cisco PIX防火墙采用安全的黑盒子,非UNIX系统,是X86结构.
阿姆瑞特600系列采用ASIC架构,NP系列采用NP架构.
阿姆瑞特防火墙内核文件到目前为止都是小于2M,比Cisco小,所以在性能上比Cisco强;在功能上和管理的方便性上都比Cisco强;而Cisco防火墙在***加密算法的不同(如DES和3DES)则要不同的License和不同内存大小来支持,阿姆瑞特防火墙没有这样的限制.
NOKIA
NOKIA防火墙采用NOKIA的硬件平台,而软件采用Check Point的.
阿姆瑞特防火墙内核文件到目前为止都是小于2M,远远小于NOKIA防火墙,所以在性能和延迟比NOKIA强;在功能上和管理的方便性上比NOKIA的强;而NOKIA防火墙按照接口类型,接口数量,软件和用户数量来购买,阿姆瑞特防火墙没有这样的限制.
四,阿姆瑞特防火墙的技术特点
阿姆瑞特防火墙除了是一款专业的防火墙设备以外,还具有强大得的路由功能以及专业级带宽管理功能.具体对其技术特点概括如下:
全方位安全防护
强大的路由功能
专业的带宽管理
灵活的网络接入
丰富的***功能
便捷的图形管理
细微的网络日志
4.1 全方位安全防护
阻断入侵者的攻击,保护用户的网络正常运行是防火墙的最基本职责.阿姆瑞特防火墙提供者全方位的安全防护.例如:
4.1.1 全状态检测防火墙
阿姆瑞特防火墙对所有的协议都可以进行状态检测进行过滤,直接对分组里的数据进行处理;具有完备的状态检测表追踪连接会话状态,并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过,通过连接状态进行更迅速更安全的过滤.因此可以防止假冒IP攻击,防止非正常连接同时提高防火墙工作效率.
4.1.2灵活的访问控制
阿姆瑞特防火墙所能控制的颗粒度非常细,可以对以下的信息作出访问控制:
源和目的地址
源和目的接口
IP协议号
TCP和UDP端口号
端口范围
ICMP信息类型
IP和TCP中都有的选项类型
IP和TCP标记组合
VLAN信息
时间
防火墙的接口(包括物理和逻辑接口)
访问内容
访问的文件类型
访问控制可以说是防火墙的基本功能,不同的是Juniper,Nokia和PIX无法支持防火墙的接口,IP和TCP中的选项和用户访问文件类型进行访问控制
4.1.3 用户认证
阿姆瑞特防火墙支持本地用户库认证,RADIUS认证,LDAP认证.
Juniper支持本地用户库认证,RADIUS认证,LDAP认证,RSA,SecurIP.
Cisco支持本地用户库认证,RADIUS认证,TACACS.
NOKIA支持本地用户库认证,RADIUS认证.
不同的是阿姆瑞特防火墙做用户认证的时候,可以设置每用户名多次登陆,也可以设置每用户名一次登陆,此功能如下图所示:
4.1.4 强大的抵御攻击能力
阿姆瑞特防火墙提供针对黑客攻击的强大防御功能:
防止黑客对OS Fingerprinting 和 Firewalking的企图
防止黑客对网络的TCP/UDP端口扫描
防止黑客对网络的同步攻击
防止黑客对网络的ICMP flood攻击
防止黑客对网络的UDP flood攻击
防止黑客对网络的死ping(Ping of death)攻击
防止黑客对网络的IP欺骗(IP spoofing)攻击
防止黑客对网络的端口扫描(Port scan)
防止黑客对网络的陆地攻击(Land attack)
防止黑客对网络的撕毁攻击(Tear drop attack)
防止黑客对网络的过滤IP源路由选项(Filter IP source route option)
防止黑客对网络的IP地址扫描攻击(IP address sweep attack)
防止黑客对网络的WinNuke attack攻击
防止黑客对网络的Java/ActiveX/Zip/EXE
防止黑客对网络的默认分组拒绝(Default packet deny)攻击
防止黑客对网络的Dos & DDoS攻击
用户定义的不良URL
防止黑客对网络的Per-source session limiting攻击
防止黑客对网络的Syn fragments攻击
防止黑客对网络的Syn and Fin bit set攻击
防止黑客对网络的No flags in TCP攻击
防止黑客对网络的FIN with no ACK攻击
防止黑客对网络的ICMP fragment攻击
防止黑客对网络的Large ICMP
防止黑客对网络的IP source route
防止黑客对网络的IP record route
防止黑客对网络的IP security options
防止黑客对网络的IP timestamp
防止黑客对网络的IP stream
防止黑客对网络的IP bad options
防止黑客对网络的Unknown protocols
抵御黑客的攻击也是防火墙的基本功能,但阿姆瑞特防火墙在抵御攻击的时候,原理于其他防火墙不同.
其他的防火墙
通过设定阈值进行攻击防范,例如每个IP每秒2000个SYN报文以下才认为是正常的,超出视为攻击.因此比较难慢性抵御DDOS攻击.(例如:很多IP每秒1500个SYN攻击)
依托通用OS,OS对攻击的抵御能力不足;且防火墙软件与OS间必然存在开销,消耗系统资源
阿姆瑞特防火墙
采用类似代理技术进行攻击防范,必须首先与防火墙建立起连接,防火墙才会再与主机进行连接,攻击不会通过防火墙到达主机
专用内核,没有OS开销,提高了自身抵御攻击能力
设计中充分考虑了系统抗攻击的能力,预留防火墙系统资源,任何情况下CPU利用率都不会达到100%
4.1.5 URL过滤
阿姆瑞特防火墙支持URL过滤.
Juniper支持URL过滤.
NOKIA不支持URL过滤.
Cisco PIX Firewall URL过滤与NetPartners Websense产品一起提供.PIX Firewall用Websense服务器上制定的政策检查外出的URL请求,这些政策在Windows NT或UNIX上运行.PIX Firewall 5.3版本及更高版本中支持Websensen第4版本.
根据NetPartners Websense服务器的答复,PIX Firewall接受或拒绝连接.这台服务器检查请求,保证这些请求不具备不适合商业用途的17种Web站点特征.由于URL过滤在独立平台上处理,因此,不会给PIX Firewall带来其它性能负担.
4.2 强大的路由功能
阿姆瑞特防火墙的路由功能非常强大的路由功能,最大可以支持4096条静态路由此外还支持策略路由,动态路由以及虚拟路由等.
4.2.1 策略路由
阿姆瑞特防火墙可以基于不同的策略定义不同的路由,因此可以根据源地址,服务,时间等定义不同的路由.从而达到不需要其他设备可以连接多个ISP,应用在多个出口的环境,同时,可以对数据包的路由方向进行选择.此功能如下图所示:
不同的是通过策略路由可以支持WEB Cache(例如:免费的Squid)从而达到利用免费的软件实现URL过滤,应用代理的目的,同时可用作支持病毒扫描服务器等.
Juniper支持策略路由,只是做到源地址,源IP,源端口,目的地址,目的IP,目的端口.但无法对时间,数据包路由的方向作策略路由.
Cisco不支持策略路由.
NOKIA支持策略路由.
4.2.2 路由备份
阿姆瑞特防火墙可以做到端口之间的冗余,这样可以保证不会因为一条链路的中断而造成业务的中断,此功能如下图所示:
4.2.3支持OSPF V2动态路由
阿姆瑞特防火墙全面支持OSPF路由协议,完全符合RFC文档对OSPF协议的规定.因此可以于专业的路由器的OSPF媲美,同时支持透明下起OSPF协议,OSPF OVER IPSEC等.
阿姆瑞特防火墙的OSPF根据RFC 2328来定义,支持OSPF版本2,也可以支持早期版本RFC 1538,可以和CISCO,北电等设备之间做OSPF.
不同的是通过阿姆瑞特防火墙自带的日志软件,可以对OSPF HELLO包做分析;即使防火墙工作在透明模式下,也可以运行OSPF协议;在***网络环境下也支持OSPF协议的运行.
Juniper防火墙OSPF基于虚拟路由器而启用的,根据RFC 2328的定义,支持OSPF版本2,也可以支持早期版本RFC 1538.在***网络环境下也支持OSPF协议的运行.
NOKIA支持OSPF协议,采用的标准是RFC 2328,不支持早期版本RFC 1538.
Cisco PIX防火墙不支持OSPF协议.
4.2.4 支持虚拟路由器/系统
阿姆瑞特防火墙支持虚拟防火墙功能,是通过回环接口组的方式实现的,要求防火墙的版本在8.5以上.
NOKIA支持虚拟防火墙功能.
Juniper虚拟防火墙逻辑划分了多个虚拟系统,以提供多客户式托管服务,每个虚拟系统(VSYS)都是一个唯一的安全域,并且可以拥有自己的管理源,管理员可以设置自己的地址薄,用户列表,自定义服务,***,策略以使自己的安全个性化.可以通过两种方式实现虚拟系统:基于VLAN和基于IP.要在204以上的才支持,5200和5400最多可以做到500个.
Cisco PIX支持虚拟防火墙功能,但要求防火墙版本是7.0以上.
4.2.5 对VLAN的支持
阿姆瑞特防火墙全系列型号都支持VLAN.
Cisco防火墙要在515型号以上的才支持VLAN.
Juniper防火墙要在25 高级版本型号以上的才支持VLAN.
NOKIA防火墙要在130型号以上的才支持VLAN.
4.3 专业的带宽管理
阿姆瑞特防火墙除了具有全方位的安全防护和强大的路由功能以外,还具备专业的带宽管理功能.
阿姆瑞特防火墙支持阿姆瑞特防火墙可以基于IP,基于服务,基于接口,基于组信息,基于VLAN信息,***连接等信息进行带宽管理.并且在管道内部可以实现数据包的负载均衡,从而保证重要数据的服务质量.通过QoS/CoS设置,可以进行:
· 带宽限制
· 带宽保证
· 优先级控制 (0-7,有8个优先级别)
· 动态流量均衡
此功能如下图所示:
总体来说,阿姆瑞特防火墙在作带宽管理的时候,具有如下特点:
通过定义管道的方式提供CoS/QoS功能
管道没有数量的限制
带宽管理设置精度为1Kbps
可进行带宽限制,带宽保证,动态均衡带宽
大差别带宽管理时,不存在"饿死"现象
可对上传和下载数据分别进行带宽管理
明通,密通数据均可以作带宽管理
带宽管理可基于接口,VLAN,IP地址,服务,时间等设定
Juniper,Cisco,NOKIA防火墙做不到带宽保证,动态流量均衡.同时带宽管理的精度也比较粗糙(为64kbps).
4.4灵活的网络接入
阿姆瑞特防火墙在网络接入方面非常灵活,具体的特点如下:
透明,路由,混合接入
同一接口下的透明+路由
源地址,目标地址同时转换
对称式接口设计
4.4.1 路由,透明和混合的工作模式
阿姆瑞特防火墙支持路由,透明和混合的工作模式.
Juniper只支持路由和透明模式.
Cisco只支持路由的工作模式和透明模式(需要防火墙的版本在7.0以上).
NOKIA只支持路由和透明模式.
不同的是阿姆瑞特防火墙可以在透明模式下实现和路由模式下相同的功能,如在透明模式下支持NAT,VLAN,***,OSPF,HA和虚拟防火墙等功能.
4.4.2 同一接口下的透明+路由
阿姆瑞特防火墙支持同一的网络接口下的透明+NAT,如图:
防火墙if2接了2个网段,同时if2也配置了2个不同网段的地址,if1同if2其中一个地址在同一网段上,于另一个地址在不同网段上.这样防火墙的if1于if2同时处于透明+路由的情况.
Juniper,Cisco和NOKIA均不支持这个功能.
4.4.3对称式接口设计
阿姆瑞特防火墙的接口都是对称试设计,因此任何一个接口都可以是内网,外网或者DMZ区.因此可以作多个内网,多个外网或者多个DMZ区.
4.4.4 接入模式
阿姆瑞特防火墙支持ADSL,DHCP Client,固定IP地址,支持多条ADSL线路拨号,支持ADSL按需拨号,此功能如下图所示:
Juniper不支持多条ADSL线路拨号.
Cisco不支持多条ADSL线路拨号,ADSL按需拨号.
NOKIA不支持多条ADSL线路拨号,ADSL按需拨号.但NOKIA支持FDDI,ISDN,Token Ring,Serial(X.35和X.21),T1,E1,HSSI接口.
4.5 丰富的***功能
阿姆瑞特防火墙***有如下功能:
1, ***__Client 的NAT设备的穿越
2, ***__Client 拨号上来可以通过DHCP服务器动态得到地址
3, ***__Client 拨号上来也可以自己手动设定一个虚拟IP地址,并可以和内网用户做双向通讯
4, ***__Client 拨号上来不仅可以通过Pre-Share KEY 的方式验证,同时还可以做用户名和密码的XAuth验证(通过RADIUS数据库)
5, ***__Client 拨号上来也可以通过证书的方式做用户认证,并且支持 CA服务器颁发的证书 或 自己生成的自签名证书
6, ***__Client 不仅可以拨号防火墙的外口公网IP地址建立***隧道,也可以拨号一个动态域名建立隧道,
7, 站点之间的*** 支持Pre-Share KEY 的方式验证身份,也可以支持CA服务器颁发的证书 或 自己生成的自签名证书
8, 站点之间的*** 支持星型***的互连
9, 站点之间的*** 支持NAT设备的穿越
10, 站点之间的*** 支持ADSL的动态地址的***隧道的建立
11, 站点之间的*** 支持全开放的加密协议和生命周期的调试,IKE提议和IPSec的加密和传输方法都可以调试,可以和其他***设备建立***隧道
12, 全面支持PPTP,L2TP和GRE封装形式的***技术
13,支持2个站点之间建立多台***隧道,并且做到隧道之间的备份
Juniper, Cisco和NOKIA不支持站点之间的*** 支持ADSL的动态地址的***隧道的建立.
Cisco和NOKIA不支持2个站点之间建立多台***隧道,并且做到隧道之间的备份.
Cisco防火墙在国内销售的防火墙加密算法只支持DES,不支持3DES,主要是美国政府不允许,而且要收费,但是在欧洲销售的防火墙都支持DES和3DES,而且还免费.
华为USG6370参数,功能,与其他型号对比区别
HA是双机接口,即说明这款防火墙支持双机冗余并行运行模式,可以用同型号的两台机器同时接上联和下联线路,并用线路将两台机器的HA口连接起来,达到协同工作,并行运行的功能。
SFP是小型多用途模块接口,可以在这个接口上插符合SFP规格的百兆电、千兆电、百兆光、千兆光、万兆光等各种以太网络线路接口模块。
XFP具体不太清楚,应该是ATM系列协议模块的接口。
这款机器满高端的哦?什么厂家型号的?华为/华三的么?
思科防火墙x86架构和ASIC架构和NP架构的区别
采用多核架构,扩展插槽2个
防火墙吞吐量4Gbps,最大并发连接数400万,每秒新建连接数6万
固定千兆电口8个和千兆光口4个,最大可扩展接口数28个千兆接口+4个万兆接口,支持并配置USB接口2个
支持交流双电源;默认SSL ***并发数100;IPSec ***隧道4000个;虚拟防火墙数量100
支持硬件电口Bypass卡,支持300G硬盘扩展
可识别应用层协议数量≥5000种,基于特征检测,支持超过3000特征的攻击检测和防御
支持BFD链路检测,支持BFD与VRRP联动实现双机快速切换,支持BFD与OSPF联动实现双机快速切换
支持IPv6协议栈、IPV6穿越技术、IPV6路由协议
至于跟其它的对比,其它型号太多,不好比较
np什么意思呀?
防火墙的NP架构 NP可以说是介于两者之间的技术,NP是专门为网络设备处理网络流量而设计的处理器,其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化,可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理。
硬件结构设计也大多采用高速的接口技术和总线规范,具有较高的I/O能力。
它可以构建一种硬件加速的完全可编程的架构,这种架构的软硬件都易于升级,软件可以支持新的标准和协议,硬件设计支持更高网络速度,从而使产品的生命周期更长。
由于防火墙处理的就是网络数据包,所以基于NP架构的防火墙与X86架构的防火墙相比,性能得到了很大的提高。
NP通过专门的指令集和配套的软件开发系统,提供强大的编程能力,因而便于开发应用,支持可扩展的服务,而且研制周期短,成本较低。
但是,相比于X86架构,由于应用开发、功能扩展受到NP的配套软件的限制,基于NP技术的防火墙的灵活性要差一些。
由于依赖软件环境,所以在性能方面NP不如ASIC。
NP开发的难度和灵活性都介于ASIC和x86构架之间,应该说,NP是X86架构和ASIC之间的一个折衷。
目前NP的主要提供商是Intel和Motorola,国内基于NP技术开发千兆防火墙的厂商最多,联想、紫光比威等都有相关产品推出。
从上面可以看出,X86架构、NP和ASIC各有优缺点。
X86架构灵活性最高,新功能、新模块扩展容易,但性能肯定满足不了千兆需要。
ASIC性能最高,千兆、万兆吞吐速率均可实现,但灵活性最低,定型后再扩展十分困难。
NP则介于两者之间,性能可满足千兆需要,同时也具有一定的灵活性。
三种架构综合比较
搭建万兆网需要具备哪些条件
NP是Network Processor的缩写,意为网络处理器。根据“国际网络处理器会议”的定义:网络处理器是一种可编程器件,它特定地应用于通信领域的各种任务,比如包处理、协议分析、路由查找、防火墙、QoS等。
网络处理器器件内部通常由若干个微码处理器和若干硬件协处理器组成,且多个微码处理器在NP内部并行处理,通过预先编制的微码来控制处理流程。对于某些复杂的标准操作,如内存操作、路由表查找算法、QoS的拥塞控制算法、流量调度算法等,则采用硬件协处理器来进一步提高处理性能,从而实现了业务灵活性和高性能的有机结合。
NP的多种产品形态
目前NP主要用于网络骨干设备和网络接入设备,用来开发从网络第2层到第7层的各种服务和应用。目前,采用NP处理分组交换的厂家,既有第一梯队的网络公司,如思科、北电和朗讯等,也有不少后起之秀,如华为、中兴、港湾等。但是,其NP用途却不尽相同:思科宽带汇聚系列产品使用了思科的并行快速转发(PXF)NP,它被业内称为“NP的鼻祖”;华为在“第五代路由器”NE80/40/20系列产品中全面采用了NP;港湾的高端路由器、核心交换机,如NetHammer G系列采用了NP相关技术;UT斯达康公司选择了Motorola的NP作为几项3G无线接入网产品的封包转发引擎……
哪种NP技术更适合防火墙
我们不难了解,由于各厂商所专注的NP技术领域不同,决定了NP产品之间的差异。目前,国内多数安全厂商在NP技术上大都选择了IBM或Intel的NP技术。其实,具体选用哪种NP技术开发防火墙,因素有很多,包括所选NP技术的性能和成熟度、提供NP技术的厂商实力和重视程度,以及NP技术厂商可提供的支持力度及价格。
IBM研发的Power NP系列芯片不仅支持多线程,且每个线程都有充足的指令空间,在一个线程里完成防火墙功能绰绰有余。其系列产品中,以NP4GS3为代表,该芯片最高端口速率可达OC-48,并具有4.5Mbps的报文处理能力和最大4G的端口容量,并且,其拥有IBM创新的带宽分配技术(BAT),是进行下一代系统设计的强大部件。而且,IBM还为开发者提供了软件架构的解决方案和仿真平台,大大缩短了开发难度和周期。目前,已经有不少厂家采用IBM的芯片开发高端防火墙产品,如联想网御于2003年10月推出了国内第一款基于NP技术的千兆线速防火墙;2005年,在解决了多项基于多NP协同工作的技术难题的基础上,联想网御成功推出了万兆级的超性能防火墙。
Intel推出的IXP2000系列芯片支持微码开发,在性能上有了长足的提高,如IXP2400理论上最多可支持2.5Gbps的应用,IXP2800则支持10Gbps以上的应用。其SDK开发包一般功能十分齐全,模块化很好,便于开发人员控制。不足的是,IXP2400每个微引擎仅能存储4k*32位的指令,比较适合开发路由器和交换机这类产品;IXP2800每个微引擎能存储8k*32位的指令,基本可以满足防火墙功能开发的需要,但是,由于其性能提高带来了产品设计与应用复杂度的成倍提高,造成价格十分昂贵。此外,该系列产品的硬件查表功能比较弱,这对于防火墙这类需要大量查表操作的设备来讲,是致命的弱点。
NP防火墙将大步前行
随着新一代网络的继续发展,NP将更加倚重线速、智能化的包处理技术,而不仅仅是简单的基本性能,NP技术的发展将直接影响到NP防火墙的发展。据业内专家调查分析,NP技术将向着更高的性能、更多功能支持、多种技术并存和标准化等特征发展,基于NP的防火墙产品将随着NP的发展大步前行。
更高的性能
五年来,网络的传输速度每年翻一番,几年前的主干网速度是155Mb/s,现在已经到了10Gb/s,两到三年内又会提高到40Gb/s,网络处理器也必须满足这种变化。NP性能的提高,将直接推动防火墙性能的提高。
更多的功能支持
随着网络处理器在更多领域中的应用,网络处理器必须具有更多的功能支持,如深度内容处理和IPV6协议识别,以能适应防火墙等安全设备的需求。
多种技术并存
NP不是万能的,它并不会完全取代通用处理器和ASIC在网络设备中的应用。在对处理性能需求很高的高端设备中,ASIC仍然具有很强的生命力,可以预见的是,在数据层面、控制层面和管理层,通用处理器、NP和ASIC将各司其职,共同为防火墙应用提供灵活的服务。
实现标准化
NP技术的开发与应用直接促成了网络处理器论坛(NPF)的诞生。NPF的成立,将进一步推动NP的发展,实现标准化,解决产品互连互通和软件可移植性等问题。
涌现庞大的第三方开发队伍
随着标准化工作的深入,再加上网络处理器本身具有模块化结构的特点,将涌现出一支庞大的第三方队伍,在硬件组件、NP操作系统、开发工具、软件应用等方面努力。
总之,防火墙技术与NP技术开始紧密地联系在一起,NP技术的变革将推动防火墙技术向着更高性能、更多功能以及标准化的方向发展。
防火墙处理能力指什么?一般会有2Gbps、10Gbps,一般指的是fw的哪个指标?
(1)第一代万兆方案:IBR700网吧智能路由器+WS5834GXF+核心交换机+WS2026GF分支交换机,适合150台以内的中、小规模集中式网吧,投资回报率高;
设备清单:
IBR-700四WAN千M网吧智能路由器
IBR-700四WAN全千M网吧智能路由器,适用200台机器以下的网吧,采用19寸铁壳,内置电源,64M内存,8M闪存,固态电容,防雷设计,支持5,0000个联机数,拥有4个WAN口,最大可扩展至24个,采用WayOS独有的智能QOS,只需设置实际带宽,就可自动调节内网BT、迅雷、 电驴、QQ直播等P2P占用带宽,支持网吧进程客户端,可精准识别管理各种进程程序,全新流控模块功能可以一键控制应用协议线路,速度,优先级等功能。策略路由可依据策略网吧按照线路识别游戏走向,提升访问速度,同时具有高效防火墙功能,可有效防止内网攻击,DDOS攻击,是网吧路由最佳选择。
WS5834GXF高级管理型万兆主干光纤交换机
WS5834GXF交换机是WayOS维盟科技最新开发的新一代绿色万兆以太网交换机产品,提供了24个固定SFP千兆光口,8个10/100/1000BASE-T RJ45自适应以太网端口(跟1-8口光口复用),4个固定SFP+万兆接口;其背板带宽130Gbps。可接驳单模或多模SFP+模块,或接驳万兆SFP+高速电缆;前端24个千兆光纤口可接驳单模或多模SFP模块;IP+MAC+端口+VLAN四元素绑定,有效防御ARP攻击、DOS攻击及蠕虫攻击;基于端口的VLAN,802.1Q标记VLAN;支持端口汇聚,最多支持14组端口汇聚,每组最多12个端口;图形化管理,可视端口流量图,端口状态,可对交换机统一编号;基于端口的带宽管理;采用国际"EEE"环保节能标准设计,无风扇静音,低功耗运转更加环保;WEB可视化管理界面,方便快捷的操作.
WS2026GF绿色节能接入交换机
WS2026GF是一款高性能、高带宽企业级的全千兆绿色节能无管理型以太网交换产品,支持全线速的二层千兆交换能力,确保所有端口无阻塞进行报文转发;支持24个10/100/1000M自适应RJ-45端口;2个SFP光纤复用口;其中23、24口与之对应的2个光纤SFP口采用业界成熟的固定式端口汇聚,灵活、方便、快捷的组网让你高枕无忧,本产品采用全球知名芯片厂商Broadcom(博通)公司的芯片解决方案。采用国际"EEE"环保节能标准设计,无风扇静音、低功耗运转更加环保.是网络各种高速网络接入层首选产品之一。
(2)万兆主干核心+千兆汇聚方案:IBR700网吧智能路由器+WS5852GX+核心交换机+WS2026GF分支交换机,带机150台左右;
设备清单:
IBR-700四WAN千M网吧智能路由器:
适用200台机器以下的网吧,采用19寸铁壳,内置电源,64M内存,8M闪存,固态电容,防雷设计,支持5,0000个联机数,拥有4个WAN口,最大可扩展至24个,采用WayOS独有的智能QOS,是网吧路由最佳选择。
WS5852GX高级管理型万兆主干交换机 :
提供了48个10/100/1000Base-T端口,4个万兆SFP+万兆接口,背板带宽178Gbps。支持VLAN端口镜像、防ARP欺骗等功能。提供可视化的WEB操作界面,最多支持14组端口汇聚,每组最多12个端口;图形化管理,可视端口流量图,端口状态,可对交换机统一编号;基于端口的带宽管理;WEB可视化管理界面,方便快捷的操作.
WS2026GF绿色节能接入交换机:
采用Broadcom芯片解决方案,支持24个10/100/1000M自适应RJ-45端口;2个SFP光纤复用口;其中23、24口与之对应的2个光纤SFP口采用业界成熟的固定式端口汇聚,是网络各种高速网络接入层首选产品之一。
(3)万兆环网方案:IBR-720网吧智能路由器+WS5852GX+万兆环网交换机;
万兆环网方案经过维盟多年时间的沉淀及研发试验,目前已经得到广大网吧的亲睐,万兆环网方案现在已经是网吧改造或者新开网吧的首选,目前已经成功实现上百家万兆环网网吧并推出定制性的整体以太网解决方案。
IBR-720四WAN千M网吧智能路由器:
IBR-720双WAN全千M网吧智能路由器,适用300台机器以下的网吧,采用19寸大铁壳,内置电源,128M内存,8M闪存,固态电容,防雷设计,支持15,0000个联机数,采用WayOS动态智能带宽管理功能,只需设置好您实际带宽,就可以轻松解决BT、迅雷、 电驴、QQ直播等P2P占用带宽问题,支持维盟第二代智能QOS,网吧进程客户端,P2P管理等功能,为维盟网吧系列高速智能路由器代表作.
WS5852GX高级管理型万兆主干交换机
WS5852GX是WayOS维盟科技最新开发的新一代绿色万兆以太网交换机产品,其提供了48个10/100/1000Base-T端口,4个万兆SFP+万兆接口,背板带宽178Gbps。支持VLAN端口镜像、防ARP欺骗,等功能,可以通过Web界面方式进行管理。提供了802.1x、防ARP欺骗、防蠕虫病毒、防MAC地址攻击、四元绑定等一系列安全特性,并且提供了可视化的WEB操作界面,最多支持14组端口汇聚,每组最多12个端口;图形化管理,可视端口流量图,端口状态,可对交换机统一编号;基于端口的带宽管理;采用国际"EEE"环保节能标准设计,无风扇静音,低功耗运转更加环保;WEB可视化管理界面,方便快捷的操作.
吞吐量。
1G的就表示千兆墙,不过现在防火墙集成好多功能的。
集成UTM的通常有防毒吞吐量,入侵防御吞吐量,以及***吞吐量。
通常硬件是一样的,里面选择的功能不同价格也相差很大
好了,今天关于“万兆硬件防火墙”的探讨就到这里了。希望大家能够对“万兆硬件防火墙”有更深入的认识,并且从我的回答中得到一些帮助。
声明:本站所有文章资源内容,如无特殊说明或标注,均为采集网络资源。如若本站内容侵犯了原著者的合法权益,可联系本站删除。
