PTT數位生活區 / Network

[問答] 軟體防火牆與硬體防火牆的不同?

看板Network作者 (boombastic)時間7年前 (2017/03/16 16:36), 7年前編輯推噓5(5045)
留言50則, 5人參與, 最新討論串1/1
軟體防火牆不是要架在os上像check point 硬體防火牆是較快速加速過濾 我的認知有問題嗎 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.8.51.67 ※ 文章網址: https://www.ptt.cc/bbs/Network/M.1489653387.A.7C5.html
03/17 01:11, , 1F
認知什麼問題,但中文有一點問題?
03/17 01:11, 1F
※ 編輯: newwords (101.8.51.67), 03/17/2017 10:05:26
03/17 14:11, , 2F
check point若寫入軔體中做成機器,算軟體還是硬體?
03/17 14:11, 2F
03/18 00:02, , 3F
硬體架構是成本問題, 現在 CPU 速度其實夠快了
03/18 00:02, 3F
03/18 00:02, , 4F
程式寫的好, 純靠 Intel Xeon 硬幹上 100G 都沒問題
03/18 00:02, 4F
03/20 23:12, , 5F
樓上... Xeon硬幹100G非常困難的
03/20 23:12, 5F
03/20 23:14, , 6F
10G絕對很輕鬆
03/20 23:14, 6F
03/20 23:16, , 7F
40G/100G開始封包量可是能逼近cpu時脈的
03/20 23:16, 7F
03/20 23:16, , 8F
跟記憶體時脈
03/20 23:16, 8F
03/20 23:17, , 9F
就算是Xeon也很難一兩顆CPU就穩吃100G
03/20 23:17, 9F
03/20 23:18, , 10F
超過10G絕大多數都會實體分開CPU/RAM
03/20 23:18, 10F
03/20 23:19, , 11F
因為頻寬真的很難解決
03/20 23:19, 11F
03/20 23:19, , 12F
&硬體防火牆確實是成本沒錯
03/20 23:19, 12F
03/20 23:20, , 13F
但不單單是硬體本身成本 還有軟體 整體架構設計等
03/20 23:20, 13F
03/20 23:20, , 14F
一大票東西下來的成本
03/20 23:20, 14F
03/20 23:24, , 15F
不過論效能... 硬體防火牆大多效能其實真的沒說很好
03/20 23:24, 15F
03/20 23:25, , 16F
但x86要做分散防火牆還真不是想做就能做
03/20 23:25, 16F
03/20 23:25, , 17F
不過搭現在SDN可能比以前好弄到是w
03/20 23:25, 17F
03/21 06:46, , 18F
現在的 DPI 設備已經做到 100G 了, 防火牆還沒這麼複雜
03/21 06:46, 18F
03/21 06:48, , 19F
以前開 ASIC 做出來的吃電大怪獸 基本上已經全部陣亡
03/21 06:48, 19F
03/21 06:55, , 20F
硬體加速對中低階產品還是有價值, 因為可能用不起 Xeon
03/21 06:55, 20F
03/21 06:55, , 21F
(連一些大廠都在用 Atom, 這個程式寫的再好也飛不起來)
03/21 06:55, 21F
03/21 15:15, , 22F
宣稱100G誰都會啊 現實上現階段DNS/NTP Traffic大一點
03/21 15:15, 22F
03/21 15:15, , 23F
哪個還有100G 能有50G都偷笑了
03/21 15:15, 23F
03/21 15:19, , 24F
防火牆是不複雜 但100G流量別說100Mpps 光50Mpps
03/21 15:19, 24F
03/21 15:19, , 25F
對2G的時脈來說都是不小的負擔了
03/21 15:19, 25F
03/21 15:20, , 26F
實際上還是要多核分工 但現實上一平行化想簡單就不可能
03/21 15:20, 26F
03/21 15:58, , 27F
這是軟體層面的問題, 這麼大規模只有流量清洗一種用途
03/21 15:58, 27F
03/21 15:59, , 28F
做這種事情該煩惱的不會是硬體成本 它佔整體只是個渣
03/21 15:59, 28F
03/21 16:46, , 29F
號稱能處理幾百G流量的不是都有了嗎XD 我比較好奇這些
03/21 16:46, 29F
03/21 16:47, , 30F
都是用Xeon硬幹的?
03/21 16:47, 30F
03/21 18:05, , 31F
100G 再上去不一定會是單台, 做成 blade 也很常見
03/21 18:05, 31F
03/21 18:07, , 32F
別懷疑 幾年前主流就變成硬幹了... 用ASIC一樣要平行化
03/21 18:07, 32F
03/21 18:10, , 33F
我找了一篇在敘述近代防火牆跟DPI(或DTP)趨勢的文
03/21 18:10, 33F
03/21 18:11, , 34F
確實也提到近年來因為演算法複雜化、CPU強化使得ASIC
03/21 18:11, 34F
03/21 18:11, , 35F
不再有以前的優勢,因此防火牆現在是往軟體化走的
03/21 18:11, 35F
03/21 18:12, , 36F
開發成本高 過時快 功能還容易被硬體限制住
03/21 18:12, 36F
03/21 18:12, , 37F
世代轉換發生在幾年前吧, 沒轉過來的廠商差不多都收了
03/21 18:12, 37F
03/21 18:21, , 38F
感謝經驗分享^^
03/21 18:21, 38F
03/21 18:22, , 39F
https://tinyurl.com/stchipvsasic 樓主也可以看看
03/21 18:22, 39F
03/22 16:35, , 40F
所以我說Xeon也不是輕鬆做啊...
03/22 16:35, 40F
03/22 16:35, , 41F
不用ASIC很正常 ASIC根本無法更新自然在這時代會被淘汰
03/22 16:35, 41F
03/22 16:36, , 42F
但可不一定是x86
03/22 16:36, 42F
03/22 16:37, , 43F
就更不用說一定會是Xeon了
03/22 16:37, 43F
03/22 16:42, , 44F
Xeon 的平衡是最好的 而且 LGA2011 的平台開發成本極低
03/22 16:42, 44F
03/22 16:47, , 45F
找研華之類的廠商弄整套機箱/板子/特化PCI-e界面卡就好
03/22 16:47, 45F
03/22 17:00, , 46F
最重要的因素是 I/O 能力和記憶體頻寬, 人類世界裡還有
03/22 17:00, 46F
03/22 17:00, , 47F
能夠相提並論的平台?
03/22 17:00, 47F
03/22 18:21, , 48F
只能說intel獨佔處理器這個市場太久了
03/22 18:21, 48F
03/22 21:22, , 49F
網卡也是獨走狀態... 2-port 100G 一張才 900 美金出頭
03/22 21:22, 49F
03/22 21:25, , 50F
Intel 還附贈整套程式庫(DPDK)
03/22 21:25, 50F
更多 newwords 的文章
文章代碼(AID): #1OoawBV5 (Network)
Network 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 newwords 的文章
文章代碼(AID): #1OoawBV5 (Network)