资料下载

帕洛阿尔托网络防火墙单遍并行处理(SP3)和硬件体系结构的好处

由管理员撰写。发表于 帕洛阿尔托防火墙

5 1 1 1 1 1 评分5.00(9投票)
压住他

是什么使得 帕洛阿尔托网络下一代防火墙 (下一代防火墙)与竞争对手的不同之处在于 平台, 处理建筑。 帕洛阿尔托网络使用以下工具提供所有下一代防火墙功能: 单平台, 并行处理单一管理系统与其他使用不同模块或多个管理系统提供NGFW功能的供应商不同。

有关帕洛阿尔托防火墙的更多技术文章和操作方法文章,请参见我们的 帕洛阿尔托网络防火墙部分

帕洛阿尔托网络下一代防火墙 主要优点是 单遍并行处理 (SP3) 建筑,其中包含两个关键组件:

  1. 单程软件
  2. 并行处理硬件

帕洛阿尔托防火墙单通并行处理硬件体系结构1

图1。  帕洛阿尔托网络防火墙单程并行处理体系结构

单程软件

帕洛阿尔托网络下一代防火墙 被授权 单程软件,该数据包处理数据包以执行网络,用户标识(User-ID),策略查找,带有应用程序标识(App-ID)的流量分类,解码,用于识别威胁和内容的签名匹配等功能,每个数据包执行一次如下图所示:

帕洛阿尔托防火墙单通并行处理硬件架构2

图2:Palo Alto 网络s防火墙-单通道架构流量

单次通过或单次通过处理数据包 帕洛阿尔托网络下一代防火墙 极大地减少了处理开销,使用不同类型体系结构的其他供应商防火墙在处理通过防火墙的数据包时会产生明显更高的开销。据观察, 统一威胁管理 (UTM)(使用多通道架构处理流量)会导致处理开销,延迟引入和吞吐量下降。

下图说明了 多通道架构过程 由其他供应商的防火墙使用,清楚地显示了与Palo Alto 网络s防火墙体系结构的不同之处以及如何产生处理开销:

帕洛阿尔托防火墙单通并行处理硬件架构3

图3:多通道架构的流量流,导致额外的开销处理

帕洛阿尔托网络下一代防火墙 单程软件 根据相同的流扫描内容,并使用 统一签名匹配模式 检测并阻止威胁。通过采用这种方法 帕洛阿尔托网络下一代防火墙 拒绝使用单独的扫描引擎和签名集,这导致了低延迟和高吞吐量。

并行处理硬件

帕洛阿尔托网络 并行处理硬件 确保特定功能的处理在硬件级别并行进行,并与 专用数据平面控制平面,产生惊人的性能结果。通过分离 数据平面控制平面,Palo Alto 网络s确保任何一架飞机的大量使用不会影响平台的整体性能。同时,这意味着对任何一个平面都没有依赖性,因为每个平面都有自己的CPU和RAM,如下图所示:

帕洛阿尔托防火墙单通并行处理硬件体系结构4

图4:Palo Alto 网络s防火墙硬件架构–数据平面和控制平面的分离

控制平面 负责管理,配置 帕洛阿尔托网络下一代防火墙 并负责记录和报告功能。

帕洛阿尔托网络下一代防火墙 提供专用于并行工作的特定功能的处理器。的 数据平面 高端机型中包含三种类型的处理器(CPU),它们通过 高速1Gbps总线.

三种类型的处理器是:

  1. 安全匹配处理器:执行漏洞和病毒检测的专用处理器。
  2. 安全处理器:专用处理器,可以执行硬件加速并处理安全任务,例如SSL解密,IPsec解密和类似任务。
  3. 网络处理器:负责网络功能的专用处理器,例如路由,NAT,QOS,路由查找,MAC查找和网络层通信。

结论

帕洛阿尔托网络 独特的架构和设计在帮助使其与其他竞争者脱颖而出方面发挥了重要作用。它的 单平台并行处理架构 加上 单一管理系统 导致快速且高度复杂 下一代防火墙 不会很快落伍的。有关涵盖Palo Alto 网络s防火墙的配置和技术功能的更多技术信息和文章,请访问我们的网站。 帕洛阿尔托网络防火墙部分.

返回帕洛阿尔托网络防火墙部分

压住他

标签: 网络安全 建筑 管理 单程 并行处理 帕洛阿尔托网络

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置