G　10Gigabit-萬兆" title="萬兆">萬兆線速網(wǎng)關(guān)

　　Multi-core技術(shù)真正實現(xiàn)了千兆的小包吞吐量，相對于以往的X86、ASIC、NP技術(shù)，有了革命性的進(jìn)步。先從以往的這些架構(gòu)的優(yōu)缺點講起：

　　國內(nèi)多數(shù)安全廠商的產(chǎn)品基于傳統(tǒng)的X86架構(gòu)防火墻，從總線速度來看基于32位PCI總線的X86平臺，做為百兆防火墻的方案是沒有任何問題的。但X86平臺的防火墻方案，數(shù)據(jù)從網(wǎng)卡到CPU之間的傳輸機(jī)制是靠“中斷”來實現(xiàn)的，中斷機(jī)制導(dǎo)致在有大量數(shù)據(jù)包的需要處理的情況下（如：64 Bytes的小包，以下簡稱小包），X86平臺的防火墻吞吐速率不高，大概在30%左右，并且CPU占用會很高。這是所有基于X86平臺的防火墻所共同存在的問題。

　　因此，基于32位PCI總線的X86平臺是不能做為千兆防火墻使用的問題，Intel提出了解決方案，可以把32位的PCI總線升級到了PCI-E" title="PCI-E">PCI-E ，即：PCI-Express，這樣，PCI-E 4X的總線的速度就可以達(dá)到 2000MB Bytes/S，即：16Gbits/S，并且PCI-E各個PCI設(shè)備之間互相獨立不共享總線帶寬，每個基于PCI-E的網(wǎng)口可以使用的帶寬為：2000MB Bytes/S，即：16Gbits/S，所以基于PCI-E 4X的X86從系統(tǒng)帶寬上來說，做為千兆防火墻是沒有任何問題的。但是，基于PCI-E的防火墻數(shù)據(jù)從網(wǎng)卡到CPU之間傳輸同樣使用“中斷”機(jī)制來傳輸數(shù)據(jù)，所以小包（64 Bytes）的通過率仍然為：30-40%.

　　X86平臺的防火墻其最大的缺點就是小包通速率低，只有30%－40%，造成這個問題的主要原因是因為X86平臺的中斷機(jī)制以及X86平臺的防火墻所有數(shù)據(jù)都要經(jīng)過主CPU處理?；贏SIC架構(gòu)的防火墻從架構(gòu)上改進(jìn)了中斷機(jī)制，數(shù)據(jù)從網(wǎng)卡收到以后，不經(jīng)過主CPU處理，而是經(jīng)過集成在系統(tǒng)中的一些芯片直接處理，由這些芯片來完成傳統(tǒng)防火墻的功能，如：路由、NAT、防火墻規(guī)則匹配等。這樣數(shù)據(jù)不經(jīng)過主CPU處理，不使用中斷機(jī)制。

　　但隨之而來的問題是，ASIC架構(gòu)的防火墻是芯片一級的，所有的防火墻動作由芯片來處理。這些芯片的功能比較單一，要升級維護(hù)的開發(fā)周期比較長。無法在芯片一級完成垃圾郵件過濾、網(wǎng)絡(luò)監(jiān)控、病毒防護(hù)等比較復(fù)雜的功能，所以說，ASIC架構(gòu)用來做功能簡單的防火墻，是完全適用的，64 Bytes的小包都可以達(dá)到線速。但是在擴(kuò)展上通用CPU也是無法和專門的嵌入式CPU比較，并且在總線帶寬上也無法承載太多的內(nèi)部處理數(shù)據(jù)傳輸（Multi-core多核處理器內(nèi)部是通過高速總線或者交叉矩陣式連接的）。

　　NP架構(gòu)實現(xiàn)的原理和ASIC類似，但升級、維護(hù)遠(yuǎn)遠(yuǎn)好于ASIC 架構(gòu)。NP架構(gòu)在的每一個網(wǎng)口上都有一個網(wǎng)絡(luò)處理器，即：NPE，用來處理來自網(wǎng)口的數(shù)據(jù)。每個網(wǎng)絡(luò)處理器上所運行的程序使用微碼編程，其軟件實現(xiàn)的難度比較大，開發(fā)周期比ASIC短，但比X86長。

　　神州數(shù)碼終結(jié)者多業(yè)務(wù)網(wǎng)關(guān)采用的Multi-core多核處理器，是在同一個硅晶片上集成了多個獨立物理核心，每個核心都具有獨立的邏輯結(jié)構(gòu)，包括緩存、執(zhí)行單元、指令級單元和總線接口等邏輯單元，通過高速總線、內(nèi)存共享進(jìn)行通信。在實際工作中，每個核心都可以達(dá)到1Ghz的主頻，而且可以在非常節(jié)能的方式下運行。

　　在性能指標(biāo)的具體測試中，DCFW-1800E-8G產(chǎn)品支持500萬并發(fā)會話64Byte吞吐量達(dá)到3G，256Byte以上吞吐達(dá)到8G，VPN吞吐達(dá)到8G，支持3萬VPN通道，支持5萬Policy。每秒新建TCP會話超過20萬，每秒處理UDP會話超過50萬。在每秒創(chuàng)建5000TCP會話作為背景流量，可以檢測并防御80萬包/每秒以上的SYN-FLOOD攻擊。DCFW-1800E-10G產(chǎn)品更是達(dá)到了萬兆線速。一系列的性能測試結(jié)果足以傲視眾多安全平臺。

G-Green 綠色節(jié)能

　　終結(jié)者多業(yè)務(wù)網(wǎng)關(guān)最多具備16個核心，通過自主研發(fā)并具有自主知識產(chǎn)權(quán)的DCFOS安全平臺，以及DCASIC的協(xié)處理器，發(fā)揮出了多核芯片強(qiáng)大的處理能力并且降低了功耗。例如1U的5千兆接口的企業(yè)級產(chǎn)品DCFW-1800S-H-V2，功耗僅15W。相比一般X86平臺工控200-300W的功耗，一年節(jié)約的電費高達(dá)近2500元。同樣16核的DCFW-1800E-8G單電源功耗僅120W，采用雙電源也僅僅240W，而同樣X86平臺的雙電源高達(dá)1020W，每年多費電約7000度。“十一五”規(guī)劃將“落實節(jié)約資源和保護(hù)環(huán)境”定為基本國策，建設(shè)低投入、高產(chǎn)出，低消耗、少排放，能循環(huán)、可持續(xù)的國民經(jīng)濟(jì)體系和資源節(jié)約型、環(huán)境友好型社會。按照每消耗一度電的設(shè)備需要兩度電的制冷功耗.每度電的二氧化碳排放量約為0.997千克計算，神州數(shù)碼終結(jié)者網(wǎng)關(guān)平臺（E-8G）減少了可能的溫室氣體排放約20噸！

G-Gain增益功能

　　終結(jié)者多業(yè)務(wù)網(wǎng)關(guān)通過自主研發(fā)具有自主知識產(chǎn)權(quán)的DCFOS安全平臺優(yōu)秀的架構(gòu)和模塊化的功能，在完全滿足等級保護(hù)三級等級要求：對邊界安全設(shè)備的要求之外，實現(xiàn)了四層增益功能結(jié)構(gòu)，包括邊界服務(wù)增益、關(guān)鍵服務(wù)增益、全局服務(wù)增益、終端控制增益四大增益模塊。在邊界服務(wù)增益中提供了IPSEC VPN+SSL VPN的全面的VPN解決方案。以及強(qiáng)大的抗DOS攻擊防護(hù)能力，并且支持OSPF封裝。關(guān)鍵服務(wù)增益提供了對關(guān)鍵業(yè)務(wù)和鏈路" title="鏈路">鏈路保障的多鏈路負(fù)載均衡、鏈路捆綁、服務(wù)器負(fù)載均衡功能，并且具有強(qiáng)大的訪問控制功能。全局服務(wù)增益提供了P2P控制，IM即時通訊軟件控制，顆粒度達(dá)到1K的流量整形功能。終端控制增益除了IP/MAC地址綁定之外，神州數(shù)碼在底層修改了ARP協(xié)議，在驅(qū)動層實現(xiàn)了自動阻止客戶端非法ARP發(fā)包請求并且實現(xiàn)雙向ARP認(rèn)證。全面杜絕內(nèi)網(wǎng)ARP及DDoS攻擊，網(wǎng)關(guān)還可以自動偵測未安裝ARP Tool的客戶端，上網(wǎng)請求會被重定向到網(wǎng)關(guān)進(jìn)行強(qiáng)制安裝。

　　終結(jié)者多業(yè)務(wù)網(wǎng)關(guān)優(yōu)秀的功能和強(qiáng)大的性能一推出就在各行業(yè)迅速擁有了廣泛的客戶群體。在國家稅務(wù)總局成功入圍，中標(biāo)中國海洋石油總公司，中標(biāo)國家林業(yè)局，在海南大學(xué)城的教育網(wǎng)骨干得到應(yīng)用，并且滿足了歐盟的苛刻入網(wǎng)要求，成功銷售到荷蘭。終結(jié)者多業(yè)務(wù)網(wǎng)關(guān)作為神州數(shù)碼NgN多維綠網(wǎng)的重要組成部分，將為客戶的安全保駕護(hù)航，將為民族的信息安全崛起發(fā)揮更大作用。