請按我
nForce 4集成的网络模块拥有两条独立的1.25Gbits/s的连接通道,分别负责上行和下行,能够为千兆网控制器提供充足的净空达到最佳的网络传输效率。
NVIDIA在nForce3 250Gb中首次引入了防火墙弁遄A但是这个弁鄍D要是CPU实现的,实际使用这个弁鄋漸?#25143;并不多,不过到了nForce4的时候,NVIDIA决定把这部分的弁鉞w件化,大大提升开启防火墙时候的网络传输性能和降低CPU占用率。
常见的防火墙类型有stateless(无状态)型、stateful(状态表)型。
其中的stateless是最基本的形态,例如很多路由器就stateless型的防火墙的,这种防火墙会对每个包逐一检查。例如TCP协议是有所谓的“三次握手”,首先,客户端先发一个设置了同步(SYN)位的包给服务器,然后服务器回传一个包含了同步(SYN)位和应答(ACK)位的包给客户端,最后是客户端回传一个设置了应答(ACK)位的包给服务器端。随着规则的增加,对于相当多的传输协议来说,stateless看来就是一种低效率的防火墙类型,而且还可能被一些应答位包(例如ACK ping)蒙过去,结果导致一泻千里——例如客户端发出一个ACK给服务器,服务器就要把这个东西放到缓存等待认领,随着这些等待认领的连接大量积聚,正常的连接就会被拒绝掉,出现RST服务拒绝。
stateful型的防火墙则做出了一些改进,用一个状态表保留下新连接的属性,以后这个连接只要匹配状态表即被视作允许,无需每个传输包都检查,即使是非常复杂的规则也能高效地进行。nForce 4支持TCP、UDP协议下的stateful型防火墙。
此外,还有所谓的应用程序级防火墙,主要给代理服务器使用,可以看作是两个网络之间的安全气囊,但是在网络协议上有一些限制,只能对应SMTP、HTTP、FTP、TELNET等,对于UDP协议可能不支持。应用程序级防火墙属于网络前段的级别,nForce 4的环境属于网络的末端,因此nForce 4并不也没什丰痍n支持这个类型的防火墙。
虽然statefull防火墙的效率已经比stateless有了较大的改进,但是在nForce3上,这些传输包的检查动作还是由CPU来完成的,在开启防火墙弁鄋滷?#20917;下跑Windows 2000 DDK的NTTTCP测试,就可以发现此时的传输速率虽然达到了接近一千兆位每秒的水平,但是CPU占用率就达到了80%,PC在跑测试的时候基本上处于半瘫痪状态。
