基于fdt指标的体系变革

　　衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数等。

　　吞吐量和报文转发率是关系防火墙应用的主要指标，一般采用fdt（full duplex throughput）来衡量，指64字节数据包的全双工吞吐量，该指标既包括吞吐量指标也涵盖了报文转发率指标。

　　fdt与端口容量的区别：端口容量指物理端口的容量总和。如果防火墙接了2个千兆端口，端口容量为2gb，但fdt可能只是200mb。

　　fdt与hdt的区别：hdt指半双工吞吐量（half duplex throughput）。一个千兆口可以同时以1gb的速度收和发。按fdt来说，就是1gb；按hdt来说，就是2gb。有些防火墙的厂商所说的吞吐量，往往是hdt。

　　一般来说，即使有多个网络接口，防火墙的核心处理往往也只有一个处理器完成，要么是cpu，要么是安全处理芯片或np、asic等。

　　对于防火墙应用，应该充分强调64字节数据的整机全双工吞吐量，该指标主要由cpu或安全处理芯片、np、asic等核心处理单元的处理能力和防火墙体系架构来决定。

　　对于不同的体系架构，其fdt适应的范围是不一样的，如对于第一代单cpu体系架构其理论fdt为百兆级别，对于中高端的防火墙应用，必须采用第二代或第三代iss集成安全体系架构。

　　基于iss机构的第三代安全体系架构，充分继承了大容量gsr路由器、交换机的架构特点，可以在支持多安全业务的基础上，充分发挥高吞吐量、高报文转发率的能力。

　　防火墙体系架构经历了从低性能的x86、ppc软件防火墙向高性能硬件防火墙的过渡，并逐渐向不但能够满足高性能也需要支持更多业务能力的方向发展。

　　iss集成安全体系

　　作为防火墙第三代体系架构，iss根据企业未来对于高性能多业务安全的需求，集成安全体系架构，吸收了不同硬件架构的优势。

　　恒扬科技推出了自主研发的sempsec、sempcrypt安全芯片和p4-m cpu以及基于iss集成安全系统架构的自主产权操作系统sempos。它可以提升防火墙产品的报文过滤检测、攻击检测、加解密、nat特性、vpn特性等各方面性能的同时，并可实现安全业务的全方面拓展。国微通讯也推出了基于iss安全体系架构的gcs3000系列防火墙。

　　iss架构灵活的模块化结构，综合报文过滤、状态检测、数据加解密功能、vpn业务、nat业务、流量监管、攻击防范、安全审计以及用户管理认证等安全功能于一体，实现业务功能的按需定制和快速服务、响应升级。

　　iss体系架构的主要特点：

　　1. 采用结构化芯片技术设计的专用安全处理芯片作为安全业务的处理核心，可以大幅提升吞吐量、转发率、加解密等处理能力；结构化芯片技术可编程定制线速处理模块，以快速满足客户需求；

　　2. 采用高性能通用cpu作为设备的管理中心和上层业务拓展平台，可以平滑移植并支持上层安全应用业务，提升系统的应用业务处理能力；

　　3. 采用大容量交换背板承载大量的业务总线和管理通道，其中千兆serdes业务总线和pci管理通道物理分离，不仅业务层次划分清晰，便于管理，而且性能互不受限；

　　4. 采用电信级机架式设计，无论是spu安全处理单元、mpu主处理单元及其他各类板卡、电源、机框等模块在可扩展、可拔插、防辐射、防干扰、冗余备份、可升级等方面做了全方位考虑，真正地实现了安全设备的电信级可靠性和可用性；

　　5.不仅达到了安全业务的高性能而且实现了“all in one”，站在客户角度解决了多业务、多设备的整合，避免了单点设备故障和安全故障，大大降低了管理复杂度；

　　6. 通过背板及线路接口单元liu扩展可提供高密度的业务接口。