防火墻產品一直以來都占據著網絡安全產品中的重要位置。為了滿足用戶的網絡規模不斷擴大、各種應用業務日益增多的要求，防火墻體系架構經歷了從x86、PPC軟件防火墻向高性能專用硬件防火墻的過渡。

現在，單純靠提高CPU主頻和CPU內核的數量已經無法滿足電信運營商等高端用戶的萬兆級以上需求了。

這就要求我們從其他方面入手來提高安全產品的整體處理性能。分布式處理是一個很好的選擇。在高端交換機/路由器領域，一般采用機架式體系架構、插板式功能模塊、分布式處理系統。

總體來說，防火墻的架構演進大致分為以下三個階段：防火墻的發展從第一代的PC機軟件，到工控機、PC，再到MIPS架構。第二代的NP、ASIC架構。發展到第三代的專用安全處理芯片背板交換架構，以及“AllIn One”集成安全體系架構。

第一代架構：主要是以單一CPU作為整個系統業務和管理的核心，CPU有x86、PowerPC、MIPS等多類型，產品主要表現形式是PC機、工業控制機等。

第二代架構：以NP或ASIC作為業務處理的主要核心，對一般安全業務進行加速，嵌入式CPU為管理核心，產品主要表現形式為專業的集中盒式通信設備。

第三代架構：集成安全體系架構，以高速安全處理芯片作為業務處理的主要核心，采用高性能CPU發揮多種安全業務的高層應用，產品主要表現形式為基于電信級的高可靠、背板交換式的機架式設備，容量大性能高，各單元及系統更為靈活。

集成安全體系作為防火墻第三代體系架構，根據企業未來對于高性能多業務安全的需求，吸收了不同硬件架構的優勢。

架構靈活的模塊化結構，綜合報文過濾、狀態檢測、數據加解密功能、VPN業務、NAT業務、流量監管、攻擊防范、入侵防御、深度協議識別、用戶管理認證等安全功能于一體，實現業務功能的按需定制和

快速服務、響應升級。

集成安全體系架構的主要特點：

(1)采用結構化芯片技術設計的專用安全處理芯片作為安全業務的處理核心，可以大幅提升吞吐量、

轉發率、加解密等處理能力;結構化芯片技術可編程定制線速處理模塊，以快速滿足客戶需求;

(2)采用高性能通用CPU作為設備的管理中心和上層業務拓展平臺，可以平滑移植并支持上層安全應用業務，提升系統的應用業務處理能力;

(3)采用大容量交換背板承載大量的業務總線和管理通道，其中業務總線和管理通道物理分離，不僅業務層次劃分清晰，便于管理，而且性能互不受限;

(4)不僅達到了安全業務的高性能而且實現了“All in One”，站在客戶角度解決了多業務、多設備的整合，避免了單點設備故障和安全故障，大大降低了管理復雜度;

(5)通過背板及線路接口單元擴展可提供高密度的業務接口。

USG9500 防火墻的架構

USG9500是華為公司推出的新一代高性能防火墻，主要定位于運營商的骨干網絡，大型IDC中心，高端行業用戶。其使用全分布的多核處理器與網絡處理器架構，配合以專有的組件化安全軟件平臺，真正實現了系統的可裁減性，高性能以及業務靈活性，滿足了未來高端網絡安全設備的發展需要。

硬件架構

USG9500采用高度可靠的電信級設計：包括1+1雙主控板，n+1方式冗余備份的交換網板，無源背板，

冗余的業務管理模塊、冗余電源和風扇等可靠性設計。系統平均無故障時間(MTBF)達到了25年。

軟件架構

USG9500基于專有的模塊化安全軟件平臺，完全實現了轉發與控制的分離。USG9500的控制功能分布于MPU板，轉發功能分布于LPU板和SPU板。

USG9500 防火墻的架構優勢

(1)最領先的“NP+專業QOS+多核+Crossbar”架構，靈活可擴展性強。

交換網采用Crossbar架構,最大程度的降低轉發延時和抖動，優于傳統的以太交換網架構。接口板上不僅采用專用網絡處理芯片，保證接口流量線速轉發，接口板上還由專用的QOS芯片，確保實現靈活的分層QOS策略，接口板可以配置各種靈活插卡，以實現各種用戶接口。

業務板上配置有多個多核處理器，可以靈活的擴展各種安全業務。業務板數量可以根據用戶的業務帶寬，靈活配置，以提升整機性能，真正做到可擴展，保證用戶投資;

(2)智能的接口板分流技術，確保不同業務疊加時流量最大程度均勻HASH到各個業務板。

接口板NP實現的智能分流技術，確保用戶的業務最大程度均勻HASH到各個業務板，智能的分流技術還確保NAT，CAR，VPN，DDOS，IPS等各種業務疊加時，分流準確均勻。

(3)最高效的板間控制信息同步技術保證了真正實現“分布式新建，分布式轉發”。

業界已有的高端防火墻有的是簡單的以太交換機的堆疊，不同的業務板之間信息并不同步，導致特定場景下的跨板業務性能急劇下降;有的雖然硬件是真正分布式，但是像新建連接等首包業務集中還是集中在一個控制CPU，這種軟件架構是“集中式新建，分布式轉發”，雖然業務板線形擴展，但是新建性能并不能隨之擴展。 USG9500擁有專利的板間會話同步和分離技術，使得各個業務板都能處理首包業務，真正在軟件架構上實現了“分布式新建，分步式轉發”。

(4)最高性能的防火墻，滿足用戶對帶寬和安全性能的需求。

USG9500硬件和軟件的特點，使得它的吞吐量可以達到200G，新建連接達到400萬/秒，并發連接達到8000萬，有效保障對帶寬和安全性能的要求。并且隨著下一代業務板的即將推出，這些性能還將成倍的增長。

(5)最專業的加密引擎，實現最佳的VPN的性能。

由于使用了專業的加密引擎，使得IPSec并發隧道達到32萬，IPSec吞吐量達到120G，這些卓越的加解密性能，適應在核心網上海量業務加密傳輸要求。

(6)最豐富的安全業務，各種業務板的混插以實現“All Service In One”。

USG9500支持以下三種安全業務板：防火墻業務板，Anti-DDOS業務板，IPS業務板。

防火墻業務板不僅實現傳統的包過濾，安全域，ASPF，NAT44，GTP等功能。還支持各種IPv6過渡技術，如NAT64，DS-lite，6RD等等，最大限度的保證用戶的網絡平滑的向IPv6演進。

Anti-DDOS業務板實現對流量型攻擊，掃描窺探攻擊，畸形報文攻擊和特殊報文等各種攻擊防范，專業的后臺軟件還可以實現各種攻擊的報表功能。IPS業務板采用了賽門鐵克公司先進的IPS檢測引擎和特征庫，實時捕獲最新的攻擊。

(7)最可靠的防火墻，保證用戶的業務不中斷。

USG9500支持支持以下可靠性技術，確保用戶的業務不會受影響。

雙主控技術使得控制平面的可靠性大大增強，主用主控板故障時，備用主控板可以立即接管當前業務，保證系統業務不中斷。業務板卡N+1備份：當一個業務板發生故障時，這個業務板上的業務會分攤到其它業務板上，使得系統不會因為某塊業務板的異常而受影響;

BYPASS設備支持：可配合華為專用的BYPASS設備使用，確保設備在故障、掉電等情況下，不影響現網的業務。擁有專利的雙機熱備技術，配置雙機熱備份功能后，可以保證網絡中主用防火墻出現故障后，備用防火墻能夠平滑地接替工作，實現了業務正常進行。

華為公司的USG9500采用NP+多核處理器+Crossbar+專業QOS的全分布式硬件架構，同時結合了經過精心設計的多核操作系統。USG9500的網絡處理器板和多核處理器板都有業務處理能力。通過靈活分工，使得USG9500在具有高性能的同時能夠輕松地完成各種復雜的安全功能。

USG9500的多核操作系統是以華為公司多年技術積累的VRP平臺為基礎的。新的多核操作系統充分發揮了USG9500的多核處理器性能，同時大大降低了編程的復雜度，極大地縮短了新功能開發和上市時間。通過軟件升級即可輕松獲得新功能，替用戶大大地節省了投資。使得USG9500成為業界領先的高端安全產品，完全能夠滿足未來若干年內高端安全產品在性能和功能方面的發展要求。

企業網絡正向以移動寬帶、大數據、社交化和云服務為核心的下一代網絡演進。移動APP、Web2.0、社交網絡讓企業處于開放的網絡環境，攻擊者通過身份仿冒、網站掛馬、惡意軟件、僵尸網絡等多種方式進行網絡滲透，企業面臨前所未有的安全風險，傳統防火墻面對變革卻無能為力。華為Secospace USG6600系列下一代防火墻應需而生，面向下一代網絡環境，基于新防火墻VR架構和"ACTUAL"感知，實現安全管理自我優化，通過云技術識別未知威脅，高性能地為企業提供以應用層威脅防護為核心的下一代網絡安全。