最新傲盾KFW4000技术简介

                     北京傲盾公司技术总监killers

   傲盾KFW4000集成傲盾6年的研发成果单台可以防护4G 64字节syn小包攻击引起了业界轰动,也得到了用户的一致肯定.在市场上我们没有发行其它DDOS防火墙单台防御2G，因此可以说，傲盾在技术上是处于绝对领先的地位。某些防火墙厂商在没有突破单台2G的情况下，就说自己实现单台防御4g是不可能的,下面简单介绍一下傲盾KFW4000型号的工作方式.

    首先傲盾KFW4000采用最新的PCI-E硬件总线接口,PCI Express 属于串行总线，总线带宽和总线时钟频率的概念与并行总线完全相同，只是它改变了传统意义上的总线位宽的概念。串行总线采用多条管线（或通道）的做法实现更高的速度，管线之间各自独立，多条管线组成一条总线系统.PCI Express 总线频率 2500 MHz，这是在 100 MHz 的基准频率通过锁相环振荡器(Phase Lock Loop，PLL)达到的。串行总线带宽(MB/s) = 串行总线时钟频率(MHz) * 串行总线位宽(bit/8 = B) * 串行总线管线 * 编码方式 * 每时钟传输几组数据(cycle)
PCI Express x1 总线位宽是 1位，总线频率 2500 MHz，串行总线管线是 1 条，每时钟传输 2 组数据，编码方式为 8b/10b，它的带宽为 476.84 MB/s(单位是字节BYTE也就是平时下载数据显示的每秒多少字节,1字节等于8bit)这个数乘以8就是每秒bit数，即 3814.7 Mbps(我们所说的网络带宽).
公式是 2500000000(Hz) * 1/8(bit) * 1(条管线) * 8/10(bit) * 2(每时钟传输2组数据) = 500000000 B/s = 476.8371582 MB/s，即 3814.6972656 Mbps。
傲盾KFW4000采用PCI-E X8总线 cpu和网络模块之间 带宽达到 30517.8 Mbps也就是30G,很明显带宽足够用了.
    傲盾KFW4000有8个1G光口2个1G电口,通过定制开发的高效网络核心模块,可以通过多个CPU平均负载处理每个光口的数据,从而实现4G数据的处理,只要cpu足够多可以处理更多的数据。在以太网上每传输一个数据包，以太网协议需要8byte的帧头和12byte的帧间隙的固定开销 所以千兆以太网发送和接收64byte 小包1,000,000,000bps/8bit/（64 + 8 + 12）byte=1,488,095pps 也就是148.8万。KFW4000通过高效核心控制多cpu可以防护每秒500万以上的64字节syn攻击。
  
    现在网络攻击变化无穷针对网络底层、协议层、应用层每个星期都有新的攻击和变种出来，目前大部分防火墙厂商只是简单的提供了针对网络地址、端口、数据包的频繁度、IP连接次数等传统的方法，或者通过提供模块升级来解决新的攻击，等有新的模块升级的时候可能已经被攻击几个星期了，而且一台防火墙要防护上千台服务器每台服务器的情况都不同，怎么样能迅速的第一时间解决已知和未知的网络攻击成为世界性的难题.
傲盾KFW4000 采用傲盾自主研发的《DataStream Fingerprint Inspection》数据流指纹检测技术核心,每个进出的数据包都会检测出是哪个数据流的,如果这个数据流合法在没有针对这个数据包的规则时，这个数据包就不用进一步过滤，从而可以高效严格的检测出数据包的合法性，防护更多的服务器。独有的数据包抓取分析功能和漏洞防护模块,可以在第一时间通过包分析迅速找到攻击和异常数据流，然后在漏洞规则脚本编辑里可以任意定制针对数据包、针对数据连接、针对应用层协议的规则，通过多个子规则可以互相组合几乎可以防护90%的新攻击,