[問答] 軟體防火牆與硬體防火牆的不同?

作者newwords (boombastic)

看板Network

標題[問答] 軟體防火牆與硬體防火牆的不同?

時間Thu Mar 16 16:36:25 2017

軟體防火牆不是要架在os上像check point 硬體防火牆是較快速加速過濾我的認知有問題嗎 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.8.51.67 ※ 文章網址: https://www.ptt.cc/bbs/Network/M.1489653387.A.7C5.html

→ asdfghjklasd: 認知什麼問題,但中文有一點問題? 03/17 01:11

※ 編輯: newwords (101.8.51.67), 03/17/2017 10:05:26

→ fashionjack: check point若寫入軔體中做成機器，算軟體還是硬體? 03/17 14:11

推 birdy590: 硬體架構是成本問題, 現在 CPU 速度其實夠快了 03/18 00:02

→ birdy590: 程式寫的好, 純靠 Intel Xeon 硬幹上 100G 都沒問題 03/18 00:02

→ danny8376: 樓上... Xeon硬幹100G非常困難的 03/20 23:12

→ danny8376: 10G絕對很輕鬆 03/20 23:14

→ danny8376: 40G/100G開始封包量可是能逼近cpu時脈的 03/20 23:16

→ danny8376: 跟記憶體時脈 03/20 23:16

→ danny8376: 就算是Xeon也很難一兩顆CPU就穩吃100G 03/20 23:17

→ danny8376: 超過10G絕大多數都會實體分開CPU/RAM 03/20 23:18

→ danny8376: 因為頻寬真的很難解決 03/20 23:19

→ danny8376: &硬體防火牆確實是成本沒錯 03/20 23:19

→ danny8376: 但不單單是硬體本身成本還有軟體整體架構設計等 03/20 23:20

→ danny8376: 一大票東西下來的成本 03/20 23:20

→ danny8376: 不過論效能... 硬體防火牆大多效能其實真的沒說很好 03/20 23:24

→ danny8376: 但x86要做分散防火牆還真不是想做就能做 03/20 23:25

→ danny8376: 不過搭現在SDN可能比以前好弄到是w 03/20 23:25

→ birdy590: 現在的 DPI 設備已經做到 100G 了, 防火牆還沒這麼複雜 03/21 06:46

→ birdy590: 以前開 ASIC 做出來的吃電大怪獸基本上已經全部陣亡 03/21 06:48

→ birdy590: 硬體加速對中低階產品還是有價值, 因為可能用不起 Xeon 03/21 06:55

→ birdy590: (連一些大廠都在用 Atom, 這個程式寫的再好也飛不起來) 03/21 06:55

→ danny8376: 宣稱100G誰都會啊現實上現階段DNS/NTP Traffic大一點 03/21 15:15

→ danny8376: 哪個還有100G 能有50G都偷笑了 03/21 15:15

→ danny8376: 防火牆是不複雜但100G流量別說100Mpps 光50Mpps 03/21 15:19

→ danny8376: 對2G的時脈來說都是不小的負擔了 03/21 15:19

→ danny8376: 實際上還是要多核分工但現實上一平行化想簡單就不可能 03/21 15:20

推 birdy590: 這是軟體層面的問題, 這麼大規模只有流量清洗一種用途 03/21 15:58

→ birdy590: 做這種事情該煩惱的不會是硬體成本它佔整體只是個渣 03/21 15:59

→ deadwood: 號稱能處理幾百G流量的不是都有了嗎XD 我比較好奇這些 03/21 16:46

→ deadwood: 都是用Xeon硬幹的? 03/21 16:47

→ birdy590: 100G 再上去不一定會是單台, 做成 blade 也很常見 03/21 18:05

→ birdy590: 別懷疑幾年前主流就變成硬幹了... 用ASIC一樣要平行化 03/21 18:07

→ deadwood: 我找了一篇在敘述近代防火牆跟DPI(或DTP)趨勢的文 03/21 18:10

→ deadwood: 確實也提到近年來因為演算法複雜化、CPU強化使得ASIC 03/21 18:11

→ deadwood: 不再有以前的優勢，因此防火牆現在是往軟體化走的 03/21 18:11

→ birdy590: 開發成本高過時快功能還容易被硬體限制住 03/21 18:12

→ birdy590: 世代轉換發生在幾年前吧, 沒轉過來的廠商差不多都收了 03/21 18:12

→ deadwood: 感謝經驗分享^^ 03/21 18:21

→ deadwood: https://tinyurl.com/stchipvsasic 樓主也可以看看 03/21 18:22

推 danny8376: 所以我說Xeon也不是輕鬆做啊... 03/22 16:35

→ danny8376: 不用ASIC很正常 ASIC根本無法更新自然在這時代會被淘汰 03/22 16:35

→ danny8376: 但可不一定是x86 03/22 16:36

→ danny8376: 就更不用說一定會是Xeon了 03/22 16:37

推 birdy590: Xeon 的平衡是最好的而且 LGA2011 的平台開發成本極低 03/22 16:42

→ birdy590: 找研華之類的廠商弄整套機箱/板子/特化PCI-e界面卡就好 03/22 16:47

→ birdy590: 最重要的因素是 I/O 能力和記憶體頻寬, 人類世界裡還有 03/22 17:00

→ birdy590: 能夠相提並論的平台? 03/22 17:00

→ deadwood: 只能說intel獨佔處理器這個市場太久了 03/22 18:21

推 birdy590: 網卡也是獨走狀態... 2-port 100G 一張才 900 美金出頭 03/22 21:22

→ birdy590: Intel 還附贈整套程式庫(DPDK) 03/22 21:25