一、 NP的技術(shù)價(jià)值

　　目前在國內(nèi)防火墻等安全產(chǎn)品市場上，千兆高端安全市場幾乎被國外產(chǎn)品所壟斷。因此開發(fā)防火墻等高性能、高穩(wěn)定、具有自主知識(shí)產(chǎn)權(quán)的千兆線速安全產(chǎn)品，對于建設(shè)我國自主知識(shí)產(chǎn)權(quán)的信息保障基礎(chǔ)設(shè)施和落實(shí)27號(hào)文件精神具有重要的戰(zhàn)略意義。

　　防火墻和VPN等網(wǎng)絡(luò)安全產(chǎn)品發(fā)展中面臨的一個(gè)重要問題是“如何在保持足夠安全性的同時(shí)提供盡可能高的速率”。目前國內(nèi)防火墻廠商基于Intel X86架構(gòu)的千兆防火墻由于受CPU處理能力和PCI總線速度的制約，性能和功能不能達(dá)到網(wǎng)絡(luò)安全和網(wǎng)絡(luò)性能間的統(tǒng)一。所以，從純軟件技術(shù)向硬件技術(shù)發(fā)展是網(wǎng)絡(luò)安全產(chǎn)品發(fā)展的必然趨勢，中國信息化深度應(yīng)用迫切需要貼近高性能、高靈活性、高可靠性的專用網(wǎng)絡(luò)安全設(shè)備。

　　國外廠商憑借在集成電路方面的技術(shù)優(yōu)勢已推出基于ASIC的千兆線速防火墻和VPN產(chǎn)品，因開發(fā)難度大、周期長、產(chǎn)品靈活性差等原因，不適合技術(shù)和資金積累較薄弱的國內(nèi)廠商發(fā)展。

　　如何突破技術(shù)壟斷，提高國家網(wǎng)絡(luò)安全的核心競爭力，是國內(nèi)網(wǎng)絡(luò)安全廠商必須迫切解決的問題！隨著NP技術(shù)的成熟和發(fā)展，開發(fā)基于NP的網(wǎng)絡(luò)安全產(chǎn)品可以使國內(nèi)安全企業(yè)抓住產(chǎn)業(yè)更新?lián)Q代機(jī)會(huì)，迅速打破國外企業(yè)基于ASIC技術(shù)控制高端安全產(chǎn)品市場的局面。

　　二、 NP技術(shù)特點(diǎn)

　　網(wǎng)絡(luò)處理器（NP）是專門為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器，能夠直接完成網(wǎng)絡(luò)數(shù)據(jù)處理的一般性任務(wù)。硬件體系結(jié)構(gòu)大多采用高速的接口技術(shù)和總線規(guī)范，具有較高的I/O能力，包處理能力得到了很大提升。網(wǎng)絡(luò)處理器一般具有以下特點(diǎn)：

　　● 并行處理器: 采用多內(nèi)核并行處理器結(jié)構(gòu)。片內(nèi)處理器按任務(wù)大致分為核心處理器和轉(zhuǎn)發(fā)引擎。

　　● 專用硬件協(xié)處理器: 對要求高速處理的通用功能模塊采用專用硬件實(shí)現(xiàn)以提高系統(tǒng)性能。

　　● 專用指令集: 轉(zhuǎn)發(fā)引擎通常采用專用的精簡指令集，并針對網(wǎng)絡(luò)協(xié)議處理特點(diǎn)優(yōu)化。

　　● 分級存儲(chǔ)器組織: ＮＰ存儲(chǔ)器一般包含多種不同性能的存儲(chǔ)結(jié)構(gòu)，對數(shù)據(jù)進(jìn)行分類存儲(chǔ)以適應(yīng)不同的應(yīng)用目的。

　　● 高速Ｉ／Ｏ接口: NP具有豐富的高速Ｉ／Ｏ接口，包括物理鏈路接口、交換接口、存儲(chǔ)器接口、ＰＣＩ總線接口等。通過內(nèi)部高速總線連接在一起，提供很強(qiáng)的硬件并行處理能力。

　　● 可擴(kuò)展性: 多個(gè)ＮＰ之間還可以互連，構(gòu)成網(wǎng)絡(luò)處理器簇，以支持更為大型高速的網(wǎng)絡(luò)處理。

　　從網(wǎng)絡(luò)處理器以上特點(diǎn)可以看出，與通用處理器相比，網(wǎng)絡(luò)處理器在網(wǎng)絡(luò)分組數(shù)據(jù)處理上具有明顯的優(yōu)勢。

　　三、 NP防火墻的體系架構(gòu)

　　1. 總體結(jié)構(gòu)

　　NP架構(gòu)防火墻一般由主控單元和網(wǎng)絡(luò)處理單元組成，網(wǎng)絡(luò)處理單元是采用網(wǎng)絡(luò)處理器芯片(NP)設(shè)計(jì)的專用網(wǎng)絡(luò)處理板，主控單元是采用通用處理器設(shè)計(jì)的管理與協(xié)處理板，網(wǎng)絡(luò)處理單元通過PCI 總線與主控單元通信。NP防火墻總體結(jié)構(gòu)如圖1所示。

　　2. 網(wǎng)絡(luò)處理單元

　　網(wǎng)絡(luò)處理單元采用網(wǎng)絡(luò)處理器芯片設(shè)計(jì)專用網(wǎng)絡(luò)處理板，內(nèi)嵌微碼運(yùn)行實(shí)時(shí)性高的防火墻功能模塊。其硬件結(jié)構(gòu)如圖2所示。

　　網(wǎng)絡(luò)處理單元包括網(wǎng)絡(luò)處理器、存儲(chǔ)器、網(wǎng)絡(luò)接口、PCI接口、引導(dǎo)Flash，通過高速總線連接在一起。存儲(chǔ)器包括快速存儲(chǔ)器和慢速存儲(chǔ)器。防火墻主要功能都在網(wǎng)絡(luò)處理單元上完成，安全軟件存放在網(wǎng)絡(luò)處理器的指令存儲(chǔ)器中，當(dāng)網(wǎng)絡(luò)接口收到數(shù)據(jù)包時(shí)，由網(wǎng)絡(luò)處理器中的微引擎執(zhí)行。安全軟件主要包括包分類、攻擊檢查、狀態(tài)檢測、規(guī)則檢查、內(nèi)容掃描、地址轉(zhuǎn)換和帶寬控制等主要模塊。流程如圖3所示。

　　3. 主控單元

　　主控單元是采用通用CPU設(shè)計(jì)的主控板，用于配置管理網(wǎng)絡(luò)處理板和運(yùn)行其他非實(shí)時(shí)性的安全模塊。包括CPU、存儲(chǔ)器、Flash、串行接口、網(wǎng)絡(luò)接口、PCI總線。通過串行接口或網(wǎng)絡(luò)接口對防火墻進(jìn)行配置管理。Flash中存放防火墻操作系統(tǒng)，主控單元上電后將防火墻操作系統(tǒng)裝載到存儲(chǔ)器中執(zhí)行。主控單元通過PCI總線與網(wǎng)絡(luò)處理單元通信。

　　主控單元上軟件包括控制管理軟件和高級安全軟件?？刂乒芾碥浖邮諒腤eb界面和命令行對防火墻傳遞的配置信息，并轉(zhuǎn)換為網(wǎng)絡(luò)處理器識(shí)別的信息，發(fā)送到網(wǎng)絡(luò)處理單元的控制管理模塊，同時(shí)接收從網(wǎng)絡(luò)處理單元的控制管理模塊返回的信息。高級安全軟件主要是那些對實(shí)時(shí)性要求不高或在NP中實(shí)現(xiàn)會(huì)極大影響性能的功能。

　　4. 特點(diǎn)

　　防火墻安全過濾與其操作系統(tǒng)無關(guān)并與防火墻配置管理、控制分離，以網(wǎng)絡(luò)處理器為主，網(wǎng)絡(luò)處理器上的安全功能可以隨時(shí)升級。系統(tǒng)在提供高安全性和高性能的同時(shí)，符合電信級網(wǎng)絡(luò)設(shè)備高可靠、高穩(wěn)定的要求。系統(tǒng)相對成本較低。由于具有自主知識(shí)產(chǎn)權(quán)，因此系統(tǒng)具有極強(qiáng)的功能和性能可擴(kuò)展性等。

　　四、 NP防火墻的關(guān)鍵技術(shù)

　　在設(shè)計(jì)NP架構(gòu)千兆線速防火墻過程中，為了確保防火墻的高安全、高性能、高可靠、高可控和高可擴(kuò)，需要突破許多完全超越Intel X86架構(gòu)防火墻的關(guān)鍵技術(shù)。包括線速安全過濾技術(shù)、可靠性設(shè)計(jì)技術(shù)、可擴(kuò)?股杓萍際?、精确流控茧H醯取?

　　1. 線速安全過濾技術(shù)

　　為使防火墻在千兆環(huán)境下達(dá)到線速性能，需要采用以下技術(shù)：

　　● 三級并行處理技術(shù)：包括處理器級并行、線程級并行和指令級并行。從硬件到軟件均采用并行處理機(jī)制，最大限度地提高數(shù)據(jù)幀的處理速度。

　　快速查表技術(shù)：防火墻最主要的功能是狀態(tài)檢測和安全規(guī)則檢查。為節(jié)約處理器資源和內(nèi)存資源，在硬件上采用專用硬件查表協(xié)處理器提高查找速度；在軟件上根據(jù)各自特點(diǎn)采用不同的分類算法優(yōu)化，樹形結(jié)構(gòu)存儲(chǔ)等技術(shù)來提高查表速度。并采用狀態(tài)表倍速檢測技術(shù)，針對已建立連接，對數(shù)據(jù)包（請求和回應(yīng)的數(shù)據(jù)包）的狀態(tài)檢查一次完成。

　　● 全規(guī)則動(dòng)態(tài)平衡存儲(chǔ)技術(shù)：傳統(tǒng)防火墻的處理性能受限于設(shè)置的安全規(guī)則數(shù)目，隨著安全規(guī)則數(shù)的增加，其搜索增長速率呈線性遞增。我們實(shí)現(xiàn)了基于專用處理器的非線性快速規(guī)則匹配算法，保證防火墻每一次發(fā)起的規(guī)則查找在極短的時(shí)間內(nèi)完成。與快速狀態(tài)表配合保證了防火墻線速處理的最小延時(shí)。

　　2. 可靠性設(shè)計(jì)技術(shù)

　　在千兆環(huán)境下對防火墻的高可靠性提出了更高的要求，我們通過以下技術(shù)在高可靠性方面取得突破;

　　● 硬件方面：網(wǎng)絡(luò)處理器單元采用１４層高速ＰＣＢ設(shè)計(jì)和板級仿真，解決由于高頻串?dāng)_帶來的千兆線速丟包問題；電源、風(fēng)扇冗余設(shè)計(jì)；獨(dú)立硬件控制下的災(zāi)難自恢復(fù)機(jī)制，保證整機(jī)的可靠性。

　　● 軟件方面：將網(wǎng)絡(luò)安全處理功能運(yùn)行在網(wǎng)絡(luò)處理器中，避免操作系統(tǒng)帶來的穩(wěn)定性和安全隱患問題；防火墻監(jiān)控系統(tǒng)包括防火墻狀態(tài)監(jiān)控，防火墻集群節(jié)點(diǎn)集中監(jiān)控、統(tǒng)一日志等；采用冗余設(shè)計(jì)，保證防火墻一旦發(fā)生問題后，其負(fù)載可以迅速切換到其他防火墻上；實(shí)現(xiàn)負(fù)載均衡設(shè)計(jì)，通過動(dòng)態(tài)的負(fù)載均衡技術(shù)解決單一防火墻負(fù)載過大的問題，與此同時(shí)采用集群防火墻的方式，從整體上提高防火墻處理網(wǎng)絡(luò)信息的能力。

　　3. 可擴(kuò)展設(shè)計(jì)技術(shù)

　　作為網(wǎng)絡(luò)安全設(shè)備的防火墻，在系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)中，除突出高性能和高穩(wěn)定性外，需要特別注重系統(tǒng)的可擴(kuò)展性。其中包括將硬件按模塊化設(shè)計(jì)和軟件按模塊分層，并逐層封裝，其中，配置與控制層提供功能的擴(kuò)展接口。

　　4. 精確流控技術(shù)

　　基于網(wǎng)絡(luò)處理器提供的能力，實(shí)現(xiàn)高效的數(shù)據(jù)流分類算法；在隊(duì)列調(diào)度方面，支持先進(jìn)先出隊(duì)列、定制隊(duì)列、加權(quán)公平隊(duì)列和基于類的加權(quán)公平隊(duì)列調(diào)度算法; 在擁塞控制方面，實(shí)現(xiàn)業(yè)界流行的WRED 算法，準(zhǔn)確的丟包算法保證當(dāng)網(wǎng)絡(luò)發(fā)生擁塞時(shí)，避免由于誤丟包而帶來流量震蕩。

　　五、 NP架構(gòu)與Intel X86架構(gòu)的性能對比分析

　　以聯(lián)想為例，聯(lián)想集團(tuán)采用IBM公司的NP3G4S-C網(wǎng)絡(luò)處理器芯片，自主開發(fā)了“超五”千兆線速防火墻無阻塞系統(tǒng)，帶寬（使用Smartbits 6000網(wǎng)絡(luò)性能測試儀實(shí)測64字節(jié)小包）達(dá)到3.5Gbps，是基于Inter X86架構(gòu)準(zhǔn)千兆防火墻的十倍以上。在《計(jì)算機(jī)世界》報(bào)社組織的千兆防火墻橫向評比中，吞吐量的各項(xiàng)測試都達(dá)到了100%的水平，用64字節(jié)的UDP包（480流）進(jìn)行壓力測試，仍然達(dá)到了100%。在抗攻擊能力的測試中，在50%的Syn-flood攻擊流量及5000次/s的連接速率下，10萬次連接中有99.36%成功建立，受到攻擊的影響非常弱。

　　基于NP的防火墻無論在吞吐率還是延遲上都具有絕對優(yōu)勢。在傳統(tǒng)Intel X86架構(gòu)上開發(fā)高端網(wǎng)絡(luò)安全產(chǎn)品靈活性強(qiáng)，可擴(kuò)充能力好，但性能無法完全滿足千兆骨干網(wǎng)絡(luò)傳輸需求。開發(fā)專用于網(wǎng)絡(luò)處理的ASIC芯片則費(fèi)用高、時(shí)間長而且靈活性較差。在此情況下，利用網(wǎng)絡(luò)處理器開發(fā)下一代高速網(wǎng)絡(luò)安全產(chǎn)品是一個(gè)必然趨勢，特別是對國內(nèi)防火墻廠商而言，采用網(wǎng)絡(luò)處理器可以快速縮短和國外廠商的差距，填補(bǔ)國內(nèi)產(chǎn)品在高端市場上的空白。這對提高我國網(wǎng)絡(luò)安全防護(hù)的整體水平，建設(shè)具有自主知識(shí)產(chǎn)權(quán)的信息安全基礎(chǔ)設(shè)施具有戰(zhàn)略意義。

免責(zé)聲明：以上內(nèi)容為本網(wǎng)站轉(zhuǎn)自其它媒體，相關(guān)信息僅為傳遞更多信息之目的，不代表本網(wǎng)觀點(diǎn)，亦不代表本網(wǎng)站贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性。