作者newwords (boombastic)
看板Network
标题[问答] 软体防火墙与硬体防火墙的不同?
时间Thu Mar 16 16:36:25 2017
软体防火墙不是要架在os上像check point
硬体防火墙是较快速加速过滤
我的认知有问题吗
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 101.8.51.67
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Network/M.1489653387.A.7C5.html
1F:→ asdfghjklasd: 认知什麽问题,但中文有一点问题? 03/17 01:11
※ 编辑: newwords (101.8.51.67), 03/17/2017 10:05:26
2F:→ fashionjack: check point若写入轫体中做成机器,算软体还是硬体? 03/17 14:11
3F:推 birdy590: 硬体架构是成本问题, 现在 CPU 速度其实够快了 03/18 00:02
4F:→ birdy590: 程式写的好, 纯靠 Intel Xeon 硬干上 100G 都没问题 03/18 00:02
5F:→ danny8376: 楼上... Xeon硬干100G非常困难的 03/20 23:12
6F:→ danny8376: 10G绝对很轻松 03/20 23:14
7F:→ danny8376: 40G/100G开始封包量可是能逼近cpu时脉的 03/20 23:16
8F:→ danny8376: 跟记忆体时脉 03/20 23:16
9F:→ danny8376: 就算是Xeon也很难一两颗CPU就稳吃100G 03/20 23:17
10F:→ danny8376: 超过10G绝大多数都会实体分开CPU/RAM 03/20 23:18
11F:→ danny8376: 因为频宽真的很难解决 03/20 23:19
12F:→ danny8376: &硬体防火墙确实是成本没错 03/20 23:19
13F:→ danny8376: 但不单单是硬体本身成本 还有软体 整体架构设计等 03/20 23:20
14F:→ danny8376: 一大票东西下来的成本 03/20 23:20
15F:→ danny8376: 不过论效能... 硬体防火墙大多效能其实真的没说很好 03/20 23:24
16F:→ danny8376: 但x86要做分散防火墙还真不是想做就能做 03/20 23:25
17F:→ danny8376: 不过搭现在SDN可能比以前好弄到是w 03/20 23:25
18F:→ birdy590: 现在的 DPI 设备已经做到 100G 了, 防火墙还没这麽复杂 03/21 06:46
19F:→ birdy590: 以前开 ASIC 做出来的吃电大怪兽 基本上已经全部阵亡 03/21 06:48
20F:→ birdy590: 硬体加速对中低阶产品还是有价值, 因为可能用不起 Xeon 03/21 06:55
21F:→ birdy590: (连一些大厂都在用 Atom, 这个程式写的再好也飞不起来) 03/21 06:55
22F:→ danny8376: 宣称100G谁都会啊 现实上现阶段DNS/NTP Traffic大一点 03/21 15:15
23F:→ danny8376: 哪个还有100G 能有50G都偷笑了 03/21 15:15
24F:→ danny8376: 防火墙是不复杂 但100G流量别说100Mpps 光50Mpps 03/21 15:19
25F:→ danny8376: 对2G的时脉来说都是不小的负担了 03/21 15:19
26F:→ danny8376: 实际上还是要多核分工 但现实上一平行化想简单就不可能 03/21 15:20
27F:推 birdy590: 这是软体层面的问题, 这麽大规模只有流量清洗一种用途 03/21 15:58
28F:→ birdy590: 做这种事情该烦恼的不会是硬体成本 它占整体只是个渣 03/21 15:59
29F:→ deadwood: 号称能处理几百G流量的不是都有了吗XD 我比较好奇这些 03/21 16:46
30F:→ deadwood: 都是用Xeon硬干的? 03/21 16:47
31F:→ birdy590: 100G 再上去不一定会是单台, 做成 blade 也很常见 03/21 18:05
32F:→ birdy590: 别怀疑 几年前主流就变成硬干了... 用ASIC一样要平行化 03/21 18:07
33F:→ deadwood: 我找了一篇在叙述近代防火墙跟DPI(或DTP)趋势的文 03/21 18:10
34F:→ deadwood: 确实也提到近年来因为演算法复杂化、CPU强化使得ASIC 03/21 18:11
35F:→ deadwood: 不再有以前的优势,因此防火墙现在是往软体化走的 03/21 18:11
36F:→ birdy590: 开发成本高 过时快 功能还容易被硬体限制住 03/21 18:12
37F:→ birdy590: 世代转换发生在几年前吧, 没转过来的厂商差不多都收了 03/21 18:12
38F:→ deadwood: 感谢经验分享^^ 03/21 18:21
40F:推 danny8376: 所以我说Xeon也不是轻松做啊... 03/22 16:35
41F:→ danny8376: 不用ASIC很正常 ASIC根本无法更新自然在这时代会被淘汰 03/22 16:35
42F:→ danny8376: 但可不一定是x86 03/22 16:36
43F:→ danny8376: 就更不用说一定会是Xeon了 03/22 16:37
44F:推 birdy590: Xeon 的平衡是最好的 而且 LGA2011 的平台开发成本极低 03/22 16:42
45F:→ birdy590: 找研华之类的厂商弄整套机箱/板子/特化PCI-e界面卡就好 03/22 16:47
46F:→ birdy590: 最重要的因素是 I/O 能力和记忆体频宽, 人类世界里还有 03/22 17:00
47F:→ birdy590: 能够相提并论的平台? 03/22 17:00
48F:→ deadwood: 只能说intel独占处理器这个市场太久了 03/22 18:21
49F:推 birdy590: 网卡也是独走状态... 2-port 100G 一张才 900 美金出头 03/22 21:22
50F:→ birdy590: Intel 还附赠整套程式库(DPDK) 03/22 21:25