fgt2硬件加速將流量處理由CPU通用芯片轉(zhuǎn)到效率更高的專用ASIC

FortiGate硬件加?CopyrightFortinetInc.Allrights –不同型號(hào)的 ?不支持FortiGate-VM–虛擬化硬件有?在某些型號(hào)上,添加了硬件加 ,安裝擴(kuò)展?可查看datasheets或相關(guān)技術(shù)文檔獲取更準(zhǔn)確的信2什么是通過(guò)ApplicationSpecificIntegratedCircuitASIC) –對(duì)特 環(huán)境提供高效處理能?處理流量同時(shí)進(jìn)行?NetworkProcessor(NP)e.g.?ContentProcessor(CP)e.g.?SecurityProcessor?最大的版本號(hào)意味著 3NP和Networkprocessors??和接口直接?加速數(shù)據(jù)包?一些額外的簡(jiǎn)單Securityprocessors??和接口直接在主板上集成了系統(tǒng)(CPU,?加 ?加速數(shù)據(jù)包4CP和Contentprocessors??不和接口?對(duì) 進(jìn)行加速, SystemonaChip?CP和NP整合在傳統(tǒng)CPU5NetworkProcessor6NP會(huì)話加速和包轉(zhuǎn)

CPU(“slow

釋放CPU…(“fastpath”)7NP系22040支持日志報(bào)表8設(shè)備含有那種使用CLI來(lái)顯示每個(gè) 在命令行中插入np1np2np4,或#gethardwarenpunp6 port1port2port3fabric1base1npu0-vlink0npu0-

port5port6port7fabric2base2npu1-vlink0npu1-9NP1,NP2,?無(wú)流量?報(bào)表,或日志,除了第一個(gè)或最后一個(gè)數(shù)據(jù)包(由內(nèi)核處理?NP記錄每會(huì)話的流量和比?流量統(tǒng)計(jì)，日志，報(bào)?SNMPEthernetNP6要支持IEEE802.1q支持IEEE802.3ad 策略禁用內(nèi)容檢測(cè)，例如 ， 郵?通常需要sessionhelper的3/4層的報(bào)文頭或內(nèi)容的修改可以被卸載NP6?FortiGate發(fā)出的流量可以被NP6之間的數(shù)據(jù)集成的交換背板(ISF)和NP6一起使?可以不需要內(nèi)參與來(lái)進(jìn)行通#diagnosesyssessionsessioninfo:proto=6proto_state=01duration=34expire=3565timeout=3600flags= av_idx=0use=3<outputdd_type=0per_ip_bandwidthmeter:addr=172.16.200.55,bps=393npuinfo:flag=0x81/0x81,offload=4/4,ips_offload=0/0,epid=1/23,ipid=23/1,vlan=32779/0捕獲NP的數(shù)據(jù)?Kernel/CPU負(fù)責(zé)會(huì)話建 ?此時(shí)可以抓到所有會(huì)話的#configfirewall#edit< #setauto-asic-offloaddisable#endNP功IPSec加密 IPSec加密/加密和hashESP數(shù)據(jù)包加 ?根據(jù)NP版本支持不同 CP加密由

OO

確認(rèn) 是否被加 # tunnellistallipsectunnelinvd-name=p1-vdom1ver=1serial=5>11.11.11.2:0tun=tunnelmode=autoi

t=8ilast=2d_num=1 d_num=1 means npu_flag=03npu_rgwy=11.11.11.2802.3ad (root)#diagnetlinkaggregatenameLACPflags:(A|P)-LACPmodeisActiveorPassive(S|F)-LACPspeedisSloworFast(A|I)-AggregatableorIndividual(I|O)-PortInsyncorOutofsync(E|D)-FramecollectionisEnabledor(E|D)-FramedistributionisEnabledorstatus:upnpu:yoid:6ports:distributionalgorithm:L4LACPmode:activeLACPspeed:LACPHA:一些NP會(huì)丟 configsystemedit<port-setfp- nd| nd| {drop_iplsrr|{drop_iprr|{drop_ipsecurity|{drop_ipssrr|{drop_ipstream|{drop_ipunknown_option| nd| nd| {drop_winnuke|?有限的控制Non-!?Non-!如果NP不支持(例如需要配置保障帶寬則會(huì)用到CPUSecurityProcessorIPNAT64 特征庫(kù) 行為特征?TCP支持多播IPS?對(duì)于FortiGate3810A5001A1240B和3016B使用SP1集成??FortiGate3140B,5001C,FMC-?使用XLP新加速CPU結(jié)合2x8cores32threads?MSI-?總線連接PCI-?FortiGate5101C,FMC-

FG-設(shè)備含有那種#diagnosenpuspmAvailableSP

port1,port2,port3,fabric1,eth12,eth16,流掃描 加 掃描在SP上檢查 FG3K1B-1#diagnosenpuspmstatusAVruleversion:?無(wú)替換?誤識(shí)別率SP2或更新版 策略中啟用IPS,而不是在接口IPS?速率限制–達(dá)到閥值時(shí)丟棄所有?只對(duì)速率限制有效(不能基于會(huì)話狀態(tài)TCP (SYNFloodTCPSYNflood 的性能更好(相比使用CPU??源ip地 的流 如何工作FortiGate是針對(duì)TCP3次握手 :SYN,SYNACK,求 只發(fā)送SYN,從不發(fā)送?SP只會(huì)在客戶端ACK后才把連接發(fā)送到FortiOSTCP 在DoS策略中,針對(duì)‘tcp_syn_flood’,設(shè)置‘Action’為 ContentProcessorsCP4功 DES3DES和AESSHA-1和MD5消息認(rèn)證ANSIX9.31產(chǎn)生隨機(jī)數(shù)RSA公 CP5功高性能的IPSec引擎來(lái)支持IKE和DES3DES,和AES符合FIPS140-2?強(qiáng)加密 數(shù)強(qiáng)度公符合RFC1321210424032404FIPS180FIPS198ANSIX9.31CP6功 和SSL/TLSDES3DES和AES符合FIPS140-2SHA-1和MD5符合RFC1321210424032404andFIPS-180,FIPS198ANSIX9.31CP8功擴(kuò) ?公 引擎(PKCE)支持4094-位IPSec和SSL/TLS密鑰交換處理引DES3DESAESARC4?ANSIX9.31 查看CP種#gethardwarestatusModelname:FortiGate-100DASICversion:CP8ASICSRAM:CPU: (R)Atom(TM)CPUD525@NumberofCPUs:RAM:1977CompactFlash:15331MB/dev/sdaHarddisk:15272MB/dev/sdaUSBFlash:notavailableNetworkCardchipset:In (R)PRO/1000NetworkConnection(rev.0000)NetworkCardchipset:bcm-swEthernetdriver集 /“片上系統(tǒng)”SoC架在一 Energy-efficient高性價(jià)比更節(jié)能適合桌面和小