一、 NP的技術價值

　　目前在國內防火墻等安全產品市場上，千兆高端安全市場幾乎被國外產品所壟斷。因此開發防火墻等高性能、高穩定、具有自主知識產權的千兆線速安全產品，對于建設我國自主知識產權的信息保障基礎設施和落實27號文件精神具有重要的戰略意義。

　　防火墻和VPN等網絡安全產品發展中面臨的一個重要問題是“如何在保持足夠安全性的同時提供盡可能高的速率”。目前國內防火墻廠商基于Intel X86架構的千兆防火墻由于受CPU處理能力和PCI總線速度的制約，性能和功能不能達到網絡安全和網絡性能間的統一。所以，從純軟件技術向硬件技術發展是網絡安全產品發展的必然趨勢，中國信息化深度應用迫切需要貼近高性能、高靈活性、高可靠性的專用網絡安全設備。

　　國外廠商憑借在集成電路方面的技術優勢已推出基于ASIC的千兆線速防火墻和VPN產品，因開發難度大、周期長、產品靈活性差等原因，不適合技術和資金積累較薄弱的國內廠商發展。

　　如何突破技術壟斷，提高國家網絡安全的核心競爭力，是國內網絡安全廠商必須迫切解決的問題！隨著NP技術的成熟和發展，開發基于NP的網絡安全產品可以使國內安全企業抓住產業更新換代機會，迅速打破國外企業基于ASIC技術控制高端安全產品市場的局面。

　　二、 NP技術特點

　　網絡處理器（NP）是專門為處理數據包而設計的可編程處理器，能夠直接完成網絡數據處理的一般性任務。硬件體系結構大多采用高速的接口技術和總線規范，具有較高的I/O能力，包處理能力得到了很大提升。網絡處理器一般具有以下特點：

　　● 并行處理器: 采用多內核并行處理器結構。片內處理器按任務大致分為核心處理器和轉發引擎。

　　● 專用硬件協處理器: 對要求高速處理的通用功能模塊采用專用硬件實現以提高系統性能。

　　● 專用指令集: 轉發引擎通常采用專用的精簡指令集，并針對網絡協議處理特點優化。

　　● 分級存儲器組織: ＮＰ存儲器一般包含多種不同性能的存儲結構，對數據進行分類存儲以適應不同的應用目的。

　　● 高速Ｉ／Ｏ接口: NP具有豐富的高速Ｉ／Ｏ接口，包括物理鏈路接口、交換接口、存儲器接口、ＰＣＩ總線接口等。通過內部高速總線連接在一起，提供很強的硬件并行處理能力。

　　● 可擴展性: 多個ＮＰ之間還可以互連，構成網絡處理器簇，以支持更為大型高速的網絡處理。

　　從網絡處理器以上特點可以看出，與通用處理器相比，網絡處理器在網絡分組數據處理上具有明顯的優勢。

　　三、 NP防火墻的體系架構

　　1. 總體結構

　　NP架構防火墻一般由主控單元和網絡處理單元組成，網絡處理單元是采用網絡處理器芯片(NP)設計的專用網絡處理板，主控單元是采用通用處理器設計的管理與協處理板，網絡處理單元通過PCI 總線與主控單元通信。NP防火墻總體結構如圖1所示。

　　2. 網絡處理單元

　　網絡處理單元采用網絡處理器芯片設計專用網絡處理板，內嵌微碼運行實時性高的防火墻功能模塊。其硬件結構如圖2所示。

　　網絡處理單元包括網絡處理器、存儲器、網絡接口、PCI接口、引導Flash，通過高速總線連接在一起。存儲器包括快速存儲器和慢速存儲器。防火墻主要功能都在網絡處理單元上完成，安全軟件存放在網絡處理器的指令存儲器中，當網絡接口收到數據包時，由網絡處理器中的微引擎執行。安全軟件主要包括包分類、攻擊檢查、狀態檢測、規則檢查、內容掃描、地址轉換和帶寬控制等主要模塊。流程如圖3所示。

　　3. 主控單元

　　主控單元是采用通用CPU設計的主控板，用于配置管理網絡處理板和運行其他非實時性的安全模塊。包括CPU、存儲器、Flash、串行接口、網絡接口、PCI總線。通過串行接口或網絡接口對防火墻進行配置管理。Flash中存放防火墻操作系統，主控單元上電后將防火墻操作系統裝載到存儲器中執行。主控單元通過PCI總線與網絡處理單元通信。

　　主控單元上軟件包括控制管理軟件和高級安全軟件。控制管理軟件接收從Web界面和命令行對防火墻傳遞的配置信息，并轉換為網絡處理器識別的信息，發送到網絡處理單元的控制管理模塊，同時接收從網絡處理單元的控制管理模塊返回的信息。高級安全軟件主要是那些對實時性要求不高或在NP中實現會極大影響性能的功能。

　　4. 特點

　　防火墻安全過濾與其操作系統無關并與防火墻配置管理、控制分離，以網絡處理器為主，網絡處理器上的安全功能可以隨時升級。系統在提供高安全性和高性能的同時，符合電信級網絡設備高可靠、高穩定的要求。系統相對成本較低。由于具有自主知識產權，因此系統具有極強的功能和性能可擴展性等。

　　四、 NP防火墻的關鍵技術

　　在設計NP架構千兆線速防火墻過程中，為了確保防火墻的高安全、高性能、高可靠、高可控和高可擴，需要突破許多完全超越Intel X86架構防火墻的關鍵技術。包括線速安全過濾技術、可靠性設計技術、可擴?股杓萍際酢⒕妨骺丶際醯取?

　　1. 線速安全過濾技術

　　為使防火墻在千兆環境下達到線速性能，需要采用以下技術：

　　● 三級并行處理技術：包括處理器級并行、線程級并行和指令級并行。從硬件到軟件均采用并行處理機制，最大限度地提高數據幀的處理速度。

　　快速查表技術：防火墻最主要的功能是狀態檢測和安全規則檢查。為節約處理器資源和內存資源，在硬件上采用專用硬件查表協處理器提高查找速度；在軟件上根據各自特點采用不同的分類算法優化，樹形結構存儲等技術來提高查表速度。并采用狀態表倍速檢測技術，針對已建立連接，對數據包（請求和回應的數據包）的狀態檢查一次完成。

　　● 全規則動態平衡存儲技術：傳統防火墻的處理性能受限于設置的安全規則數目，隨著安全規則數的增加，其搜索增長速率呈線性遞增。我們實現了基于專用處理器的非線性快速規則匹配算法，保證防火墻每一次發起的規則查找在極短的時間內完成。與快速狀態表配合保證了防火墻線速處理的最小延時。

　　2. 可靠性設計技術

　　在千兆環境下對防火墻的高可靠性提出了更高的要求，我們通過以下技術在高可靠性方面取得突破;

　　● 硬件方面：網絡處理器單元采用１４層高速ＰＣＢ設計和板級仿真，解決由于高頻串擾帶來的千兆線速丟包問題；電源、風扇冗余設計；獨立硬件控制下的災難自恢復機制，保證整機的可靠性。

　　● 軟件方面：將網絡安全處理功能運行在網絡處理器中，避免操作系統帶來的穩定性和安全隱患問題；防火墻監控系統包括防火墻狀態監控，防火墻集群節點集中監控、統一日志等；采用冗余設計，保證防火墻一旦發生問題后，其負載可以迅速切換到其他防火墻上；實現負載均衡設計，通過動態的負載均衡技術解決單一防火墻負載過大的問題，與此同時采用集群防火墻的方式，從整體上提高防火墻處理網絡信息的能力。

　　3. 可擴展設計技術

　　作為網絡安全設備的防火墻，在系統的結構設計中，除突出高性能和高穩定性外，需要特別注重系統的可擴展性。其中包括將硬件按模塊化設計和軟件按模塊分層，并逐層封裝，其中，配置與控制層提供功能的擴展接口。

　　4. 精確流控技術

　　基于網絡處理器提供的能力，實現高效的數據流分類算法；在隊列調度方面，支持先進先出隊列、定制隊列、加權公平隊列和基于類的加權公平隊列調度算法; 在擁塞控制方面，實現業界流行的WRED 算法，準確的丟包算法保證當網絡發生擁塞時，避免由于誤丟包而帶來流量震蕩。

　　五、 NP架構與Intel X86架構的性能對比分析

　　以聯想為例，聯想集團采用IBM公司的NP3G4S-C網絡處理器芯片，自主開發了“超五”千兆線速防火墻無阻塞系統，帶寬（使用Smartbits 6000網絡性能測試儀實測64字節小包）達到3.5Gbps，是基于Inter X86架構準千兆防火墻的十倍以上。在《計算機世界》報社組織的千兆防火墻橫向評比中，吞吐量的各項測試都達到了100%的水平，用64字節的UDP包（480流）進行壓力測試，仍然達到了100%。在抗攻擊能力的測試中，在50%的Syn-flood攻擊流量及5000次/s的連接速率下，10萬次連接中有99.36%成功建立，受到攻擊的影響非常弱。

　　基于NP的防火墻無論在吞吐率還是延遲上都具有絕對優勢。在傳統Intel X86架構上開發高端網絡安全產品靈活性強，可擴充能力好，但性能無法完全滿足千兆骨干網絡傳輸需求。開發專用于網絡處理的ASIC芯片則費用高、時間長而且靈活性較差。在此情況下，利用網絡處理器開發下一代高速網絡安全產品是一個必然趨勢，特別是對國內防火墻廠商而言，采用網絡處理器可以快速縮短和國外廠商的差距，填補國內產品在高端市場上的空白。這對提高我國網絡安全防護的整體水平，建設具有自主知識產權的信息安全基礎設施具有戰略意義。

免責聲明：以上內容為本網站轉自其它媒體，相關信息僅為傳遞更多信息之目的，不代表本網觀點，亦不代表本網站贊同其觀點或證實其內容的真實性。