被 NP 加速的流量

NP 会话

第一个数据包流程

配备 NP 处理器的 FortiGate，新会话的第一个数据包会判断是否可卸载（无基于代理 UTM/NGFW 时大多可卸载），其处理流程与“无 NP 加速设备”基本一致。后续数据包则进入简化的卸载流程。

已加速会话数据包流程

新会话第一个数据包处理完成后，后续数据包跳过路由、UTM/NGFW、内核，直接由 NP 转发，安全检查也由 NP 加速。

• 入站：网络接口 → TCP/IP 栈 → NP6 执行 DoS 检查/IP 完整性检查/ACL 检查。
• 处理：（若需）IPsec VPN 加密 → 流量整形 → WAN 优化。
• 出站：TCP/IP 栈 → 出口接口。

访问控制列表（ACL）

ACL 是 NP 的功能之一，在物理接口层（CPU 分析前）丢弃不合规 IPv4/IPv6 数据包，仅适用于 NP 接口。

• 优势：检查早、由 NP 执行，不占用 CPU 资源。
• 作用：在数据包到达 CPU 前阻断威胁，提升设备安全性。

NTurbo 的数据包流程

支持 NTurbo 的 FortiGate，可将基于流检测的 UTM/NGFW 会话卸载到 NP，进一步提升处理效率。在已卸载的基于流的 UTM/NGFW 会话中，首个数据包处理完成后，后续数据包将跳过路由和内核处理器。基于流的 UTM/NGFW 操作仍由 CPU 处理，同时将 IPSA 卸载模式匹配任务转发至 CP 处理器。

• 入站：网络接口 → TCP/IP 栈 → NP6 执行 IP 完整性检查。
• 处理：IPS 引擎通过 IPSA 卸载模式匹配 → （若需）IPsec VPN 加密 → 流量整形 → WAN 优化。
• 出站：TCP/IP 栈 → 出口接口。
• 威胁处理：检测到威胁则阻断会话，否则由 NP 转发。
• NTurbo 兼容性限制：启用以下功能时，基于流 UTM/NGFW 会话无法通过 NTurbo 卸载。
• DoS 策略。
• Session Helper。
• 大部分隧道类型（如 GRE）。