RG-WALL 1600下一代防火墙曝光内部结构

不止小米8探索版敢于曝光内部结构，还有RG-WALL 1600下一代防火墙

5月31日，小米8透明探索版发布。透明的后壳让内部构造一览无余。

同样敢以“真面目”示人的还有RG-WALL 1600下一代防火墙。

锐捷防火墙已经发展了有16个年头，拥有多年的技术积累。RG-WALL 1600下一代防火墙硬件架构一直都在致力于提高防火墙的性能和稳定性。下面就让我们打开机器外壳，看看里面什么样？

RG-WALL 1600系列下一代防火墙不惜成本全系列均采用SSD作为存储介质，内部则在业界常规X86架构之外多了多个专用ASIC芯片，分别是ASIC网络加速芯片(Network Accelerate Chip)简称NAC，ASIC内容加速芯片(Content Accelerate Chip)简称CAC。

近几年防火墙的快速发展速度异常迅猛，软件系统的迭代速度已经远远超过防火墙初期发展的速度，采用X86平台开发下一代防火墙使防火墙的开发效率得到极大的提高。但X86平台毕竟不是为网络诞生的产物，在防火墙小包转发性能上出现了较大的瓶颈，所以在大量小包通过防火墙时，简单的小包转发动作都需要消耗一个CPU时钟，转发动作虽然简单但是CPU还是必须逐条处理，这就造成了小包效率低的问题。

如图上流量图所示，单一X86架构任何动作都由CPU处理，会遇到小包及应用层解析性能瓶颈。

RG-WALL 1600系列下一代防火墙，基于锐捷网络多年在数据通信领域的研究成果，采用了“一主多协”的硬件架构，在保障X86架构灵活性的同时加入了NAC芯片(Network Accelerant Chip)加速网络性能，以及CAC 芯片(Content Accelerant Chip)加速应用内容识别，极大地释放了CPU的压力，从硬件方面优化防火墙性能。在威尔克实验室权威测试中，RG-WALL 1600系列下一代防火墙做到了大小包吞吐一致，而其核心技术就在于NAC芯片(Network Accelerant Chip)加速了网络吞吐性能。

如图所示，X86CPU只负责建立连接，在会话连接建立完毕后，X86CPU会将会话同步给 NAC芯片，后续网络层同样的处理动作会直接由NAC芯片协助处理，大大释放了主CPU的压力。

对于传统架构的防火墙，基于单一X86CPU进行应用层及SSL检测等进行安全防护处理，会面临如上所提到的整体性能降低70%左右，在不能进行有效安全防护的同时，反而形成处理瓶颈。而CAC 芯片就是为了加速SSL，IPS等类似7层应用协议，尤其是针对SSL深度包检测，可达到8倍于CPU的处理能力，极大提升了SSL数据包检测的能力。

如图所示，X86CPU负责建立连接，在会话连接建立完毕后，X86CPU会将会话同步给CAC芯片，后续网络层同样的处理动作会直接由CAC芯片处理，在保障安全性的同时不让单一CPU成为性能的瓶颈。

锐捷新一代RG-WALL 1600防火墙毫不保留地将内部硬件架构设计曝光，让用户可以从底层了解锐捷防火墙，打开探索的门，让用户了解科技的力量。