Parallel Path Processing

Parallel Path Processing（PPP，并行路径处理）通过防火墙策略配置从一组并行处理选项中，为数据包选择最优处理路径。大部分 FortiOS 功能通过防火墙策略触发，而策略中启用的功能直接决定数据包的处理逻辑。

PPP 的作用

• 差异化防护高风险流量：对 HTTP、邮件等可能包含安全威胁的流量，可通过策略施加 UTM/NGFW 处理，并借助 CP8/CP9/CP10 处理器卸载加速。支持从基础 IPS 攻击防护（检测网络层攻击）到高级威胁管理（ATM）、应用控制、防病毒、DLP（数据泄露防护）的全维度防护。
• 优化无风险流量性能：对低安全威胁的流量（如内部办公系统通信），可创建专用策略绕过 UTM/NGFW 检查。配备 NP 处理器的 FortiGate 可将此类流量卸载到 NP，释放 CPU 资源用于高风险流量处理，实现“安全不降级、性能不损耗”。

加速技术

• NTurbo：部分 FortiGate 型号支持 NTurbo，可将基于流 UTM/NGFW 的会话卸载到 NP 处理器。
• IPSA：基于流的会话通过 IPSA 技术，将模式匹配任务卸载到 CP 内容处理器，进一步降低 CPU 负载。

数据包的处理流程

穿越 FortiGate 的数据包会经历以下流程（并非所有数据包都需经过全部流程），具体取决于数据包类型和 FortiGate 软硬件配置。

入站流程（Ingress）

• 入站数据包流（Ingress Packet Flow）

  • 网络接口（Network Interface）
  • TCP/IP 栈（TCP/IP Stack）
  • DoS 策略（DoS Policy）
  • IP 完整性头部检查（IP Integrity Header Checking）
  • IPsec VPN 解密（IPsec VPN Decryption）

• 准入控制（Admission Control）

  • 隔离（Quarantine）
  • 终端遥测（FortiTelemetry）
  • 用户认证（User Authentication）

• 内核相关（Kernel）

  • 目的 NAT（Destination NAT，DNAT）
  • 路由（含 SD-WAN）
  • 状态检查/策略查找/会话管理（Stateful Inspection/Policy Lookup/Session Management）
  • Session Helper
  • 用户认证（User Authentication）
  • 设备识别（Device Identification）
  • SSL VPN
  • 本地管理流量（Local Management Traffic）

• UTM/NGFW 相关

  • 基于流检查（Flow-based Inspection）

    • NTurbo
    • IPSA

  • 僵尸网络检查（Botnet Check）

  • 基于代理检查（Proxy-based Inspection）

  • 显式 Web 代理（Explicit Web Proxy）

• 内核相关（Kernel）

  • 转发（Forwarding）
  • 源 NAT（Source NAT，SNAT）

出站流程（Egress）

• IPsec VPN 加密（IPsec VPN Encryption）
• 流量整形（Traffic Shaping）
• WAN 优化（WAN Optimization）
• TCP/IP 栈（TCP/IP Stack）
• 网络接口（Network Interface）