為了滿足用戶的更高要求，防火墻體系架構(gòu)經(jīng)歷了從低性能的x86、PPC軟件防火墻向高性能硬件防火墻的過渡，并逐漸向不但能夠滿足高性能，也需要支持更多業(yè)務(wù)能力的方向發(fā)展。

　　防火墻在經(jīng)過幾年繁榮的發(fā)展后，已經(jīng)形成了多種類型的體系架構(gòu)，并且這幾種體系架構(gòu)的設(shè)備并存互補，并不斷進行演變升級。

　　防火墻體系架構(gòu)“老中青”

　　防火墻的發(fā)展從第一代的PC機軟件，到工控機、PC-Box，再到MIPS架構(gòu)。第二代的NP、ASIC架構(gòu)。發(fā)展到第三代的專用安全處理芯片背板交換架構(gòu)，以及“All In One”集成安全體系架構(gòu)。

　　為了支持更廣泛及更高性能的業(yè)務(wù)需求，各個廠家全力發(fā)揮各自優(yōu)勢，推動著整個技術(shù)以及市場的發(fā)展。

　　目前，防火墻產(chǎn)品的三代體系架構(gòu)主要為：

　　第一代架構(gòu)：主要是以單一CPU作為整個系統(tǒng)業(yè)務(wù)和管理的核心，CPU有x86、PowerPC、MIPS等多類型，產(chǎn)品主要表現(xiàn)形式是PC機、工控機、PC-Box或RISC-Box等;

　　第二代架構(gòu)：以NP或ASIC作為業(yè)務(wù)處理的主要核心，對一般安全業(yè)務(wù)進行加速，嵌入式CPU為管理核心，產(chǎn)品主要表現(xiàn)形式為Box等;

　　第三代架構(gòu)：ISS(Integrated Security System)集成安全體系架構(gòu)，以高速安全處理芯片作為業(yè)務(wù)處理的主要核心，采用高性能CPU發(fā)揮多種安全業(yè)務(wù)的高層應(yīng)用，產(chǎn)品主要表現(xiàn)形式為基于電信級的高可靠、背板交換式的機架式設(shè)備，容量大性能高，各單元及系統(tǒng)更為靈活。

　　基于FDT指標(biāo)的體系變革

　　衡量防火墻的性能指標(biāo)主要包括吞吐量、報文轉(zhuǎn)發(fā)率、最大并發(fā)連接數(shù)、每秒新建連接數(shù)等。

　　吞吐量和報文轉(zhuǎn)發(fā)率是關(guān)系防火墻應(yīng)用的主要指標(biāo)，一般采用FDT(Full Duplex Throughput)來衡量，指64字節(jié)數(shù)據(jù)包的全雙工吞吐量，該指標(biāo)既包括吞吐量指標(biāo)也涵蓋了報文轉(zhuǎn)發(fā)率指標(biāo)。

　　FDT與端口容量的區(qū)別：端口容量指物理端口的容量總和。如果防火墻接了2個千兆端口，端口容量為2GB，但FDT可能只是200MB。

　　FDT與HDT的區(qū)別：HDT指半雙工吞吐量(Half Duplex Throughput)。一個千兆口可以同時以1GB的速度收和發(fā)。按FDT來說，就是1GB;按HDT來說，就是2GB。有些防火墻的廠商所說的吞吐量，往往是HDT。

　　一般來說，即使有多個網(wǎng)絡(luò)接口，防火墻的核心處理往往也只有一個處理器完成，要么是CPU，要么是安全處理芯片或NP、ASIC等。

　　對于防火墻應(yīng)用，應(yīng)該充分強調(diào)64字節(jié)數(shù)據(jù)的整機全雙工吞吐量，該指標(biāo)主要由CPU或安全處理芯片、NP、ASIC等核心處理單元的處理能力和防火墻體系架構(gòu)來決定。

　　對于不同的體系架構(gòu)，其FDT適應(yīng)的范圍是不一樣的，如對于第一代單CPU體系架構(gòu)其理論FDT為百兆級別，對于中高端的防火墻應(yīng)用，必須采用第二代或第三代ISS集成安全體系架構(gòu)。

　　基于ISS機構(gòu)的第三代安全體系架構(gòu)，充分繼承了大容量GSR路由器、交換機的架構(gòu)特點，可以在支持多安全業(yè)務(wù)的基礎(chǔ)上，充分發(fā)揮高吞吐量、高報文轉(zhuǎn)發(fā)率的能力。

　　防火墻體系架構(gòu)經(jīng)歷了從低性能的x86、PPC軟件防火墻向高性能硬件防火墻的過渡，并逐漸向不但能夠滿足高性能也需要支持更多業(yè)務(wù)能力的方向發(fā)展。

　　ISS集成安全體系

　　作為防火墻第三代體系架構(gòu)，ISS根據(jù)企業(yè)未來對于高性能多業(yè)務(wù)安全的需求，集成安全體系架構(gòu)，吸收了不同硬件架構(gòu)的優(yōu)勢。

　　恒揚科技推出了自主研發(fā)的SempSec、SempCrypt安全芯片和P4-M CPU以及基于ISS集成安全系統(tǒng)架構(gòu)的自主產(chǎn)權(quán)操作系統(tǒng)SempOS。它可以提升防火墻產(chǎn)品的報文過濾檢測、攻擊檢測、加解密、NAT特性、特性等各方面性能的同時，并可實現(xiàn)安全業(yè)務(wù)的全方面拓展。國微通訊也推出了基于ISS安全體系架構(gòu)的GCS3000系列防火墻。

　　ISS架構(gòu)靈活的模塊化結(jié)構(gòu)，綜合報文過濾、狀態(tài)檢測、數(shù)據(jù)加解密功能、業(yè)務(wù)、NAT業(yè)務(wù)、流量監(jiān)管、攻擊防范、安全審計以及用戶管理認(rèn)證等安全功能于一體，實現(xiàn)業(yè)務(wù)功能的按需定制和快速服務(wù)、響應(yīng)升級。

　　ISS體系架構(gòu)的主要特點：

　　1.采用結(jié)構(gòu)化芯片技術(shù)設(shè)計的專用安全處理芯片作為安全業(yè)務(wù)的處理核心，可以大幅提升吞吐量、轉(zhuǎn)發(fā)率、加解密等處理能力;結(jié)構(gòu)化芯片技術(shù)可編程定制線速處理模塊，以快速滿足客戶需求;

　　2.采用高性能通用CPU作為設(shè)備的管理中心和上層業(yè)務(wù)拓展平臺，可以平滑移植并支持上層安全應(yīng)用業(yè)務(wù)，提升系統(tǒng)的應(yīng)用業(yè)務(wù)處理能力;

　　3.采用大容量交換背板承載大量的業(yè)務(wù)總線和管理通道，其中千兆Serdes業(yè)務(wù)總線和PCI管理通道物理分離，不僅業(yè)務(wù)層次劃分清晰，便于管理，而且性能互不受限;

　　4.采用電信級機架式設(shè)計，無論是SPU安全處理單元、MPU主處理單元及其他各類板卡、電源、機框等模塊在可擴展、可拔插、防輻射、防干擾、冗余備份、可升級等方面做了全方位考慮，真正地實現(xiàn)了安全設(shè)備的電信級可靠性和可用性;

　　5.不僅達(dá)到了安全業(yè)務(wù)的高性能而且實現(xiàn)了“All in One”，站在客戶角度解決了多業(yè)務(wù)、多設(shè)備的整合，避免了單點設(shè)備故障和安全故障，大大降低了管理復(fù)雜度;

　　6.通過背板及線路接口單元LIU擴展可提供高密度的業(yè)務(wù)接口。