作者newwords (boombastic)
看板Network
標題[問答] 軟體防火牆與硬體防火牆的不同?
時間Thu Mar 16 16:36:25 2017
軟體防火牆不是要架在os上像check point
硬體防火牆是較快速加速過濾
我的認知有問題嗎
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.8.51.67
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Network/M.1489653387.A.7C5.html
1F:→ asdfghjklasd: 認知什麼問題,但中文有一點問題? 03/17 01:11
※ 編輯: newwords (101.8.51.67), 03/17/2017 10:05:26
2F:→ fashionjack: check point若寫入軔體中做成機器,算軟體還是硬體? 03/17 14:11
3F:推 birdy590: 硬體架構是成本問題, 現在 CPU 速度其實夠快了 03/18 00:02
4F:→ birdy590: 程式寫的好, 純靠 Intel Xeon 硬幹上 100G 都沒問題 03/18 00:02
5F:→ danny8376: 樓上... Xeon硬幹100G非常困難的 03/20 23:12
6F:→ danny8376: 10G絕對很輕鬆 03/20 23:14
7F:→ danny8376: 40G/100G開始封包量可是能逼近cpu時脈的 03/20 23:16
8F:→ danny8376: 跟記憶體時脈 03/20 23:16
9F:→ danny8376: 就算是Xeon也很難一兩顆CPU就穩吃100G 03/20 23:17
10F:→ danny8376: 超過10G絕大多數都會實體分開CPU/RAM 03/20 23:18
11F:→ danny8376: 因為頻寬真的很難解決 03/20 23:19
12F:→ danny8376: &硬體防火牆確實是成本沒錯 03/20 23:19
13F:→ danny8376: 但不單單是硬體本身成本 還有軟體 整體架構設計等 03/20 23:20
14F:→ danny8376: 一大票東西下來的成本 03/20 23:20
15F:→ danny8376: 不過論效能... 硬體防火牆大多效能其實真的沒說很好 03/20 23:24
16F:→ danny8376: 但x86要做分散防火牆還真不是想做就能做 03/20 23:25
17F:→ danny8376: 不過搭現在SDN可能比以前好弄到是w 03/20 23:25
18F:→ birdy590: 現在的 DPI 設備已經做到 100G 了, 防火牆還沒這麼複雜 03/21 06:46
19F:→ birdy590: 以前開 ASIC 做出來的吃電大怪獸 基本上已經全部陣亡 03/21 06:48
20F:→ birdy590: 硬體加速對中低階產品還是有價值, 因為可能用不起 Xeon 03/21 06:55
21F:→ birdy590: (連一些大廠都在用 Atom, 這個程式寫的再好也飛不起來) 03/21 06:55
22F:→ danny8376: 宣稱100G誰都會啊 現實上現階段DNS/NTP Traffic大一點 03/21 15:15
23F:→ danny8376: 哪個還有100G 能有50G都偷笑了 03/21 15:15
24F:→ danny8376: 防火牆是不複雜 但100G流量別說100Mpps 光50Mpps 03/21 15:19
25F:→ danny8376: 對2G的時脈來說都是不小的負擔了 03/21 15:19
26F:→ danny8376: 實際上還是要多核分工 但現實上一平行化想簡單就不可能 03/21 15:20
27F:推 birdy590: 這是軟體層面的問題, 這麼大規模只有流量清洗一種用途 03/21 15:58
28F:→ birdy590: 做這種事情該煩惱的不會是硬體成本 它佔整體只是個渣 03/21 15:59
29F:→ deadwood: 號稱能處理幾百G流量的不是都有了嗎XD 我比較好奇這些 03/21 16:46
30F:→ deadwood: 都是用Xeon硬幹的? 03/21 16:47
31F:→ birdy590: 100G 再上去不一定會是單台, 做成 blade 也很常見 03/21 18:05
32F:→ birdy590: 別懷疑 幾年前主流就變成硬幹了... 用ASIC一樣要平行化 03/21 18:07
33F:→ deadwood: 我找了一篇在敘述近代防火牆跟DPI(或DTP)趨勢的文 03/21 18:10
34F:→ deadwood: 確實也提到近年來因為演算法複雜化、CPU強化使得ASIC 03/21 18:11
35F:→ deadwood: 不再有以前的優勢,因此防火牆現在是往軟體化走的 03/21 18:11
36F:→ birdy590: 開發成本高 過時快 功能還容易被硬體限制住 03/21 18:12
37F:→ birdy590: 世代轉換發生在幾年前吧, 沒轉過來的廠商差不多都收了 03/21 18:12
38F:→ deadwood: 感謝經驗分享^^ 03/21 18:21
40F:推 danny8376: 所以我說Xeon也不是輕鬆做啊... 03/22 16:35
41F:→ danny8376: 不用ASIC很正常 ASIC根本無法更新自然在這時代會被淘汰 03/22 16:35
42F:→ danny8376: 但可不一定是x86 03/22 16:36
43F:→ danny8376: 就更不用說一定會是Xeon了 03/22 16:37
44F:推 birdy590: Xeon 的平衡是最好的 而且 LGA2011 的平台開發成本極低 03/22 16:42
45F:→ birdy590: 找研華之類的廠商弄整套機箱/板子/特化PCI-e界面卡就好 03/22 16:47
46F:→ birdy590: 最重要的因素是 I/O 能力和記憶體頻寬, 人類世界裡還有 03/22 17:00
47F:→ birdy590: 能夠相提並論的平台? 03/22 17:00
48F:→ deadwood: 只能說intel獨佔處理器這個市場太久了 03/22 18:21
49F:推 birdy590: 網卡也是獨走狀態... 2-port 100G 一張才 900 美金出頭 03/22 21:22
50F:→ birdy590: Intel 還附贈整套程式庫(DPDK) 03/22 21:25