基于NP的千兆电子商务应用系统安全防火墙设计
扫描二维码
随时随地手机看文章
1 引言
随着骨干网络带宽的不断加大,分布式千兆网络已成为电子商务系统的主流方案,而由此带来的电子商务系统安全问题也日益突出,研究和设计千兆电子商务系统防火墙,可有效保证电子商务系统的正常运行。
2 千兆防火墙硬件实现方案选择
防火墙分为软件防火墙和硬件防火墙。软件防火墙通过直接在专用或通用操作系统上运行防火墙软件来实现安全控制存取访问,成本低、灵活性好,但其性能却依赖于运行平台的特性,造成网络速度的严重下降,不能满足千兆防火墙的高性能要求,因此,千兆防火墙都是硬件防火墙。千兆防火墙的硬件实现一般有基于Intel X86架构、基于ASIC和基于网络处理器NP 3种。其中,基于Intel X86架构的实现方案以其高灵活性和扩展性在百兆防火墙上获得巨大成功,然而对于千兆网,X86架构的CPU由于考虑各种应用需要,具有一般化的通用体系结构和指令集,其处理速度相对较慢,难以满足千兆网络对于高线速的需求;基于ASIC的实现方案将指令或计算逻辑固化到硬件处理性能极高,但缺乏灵活性,不便于修改和升级;而基于NP的实现方案则采用微码编程,专为网络分组处理而开发,具有优化的体系结构和指令集,比X86 CPU具备更高的处理性能。而且NP有专门的指令集和配套的软件开发系统,编程能力强,能够方便开发各种应用,因而比ASIC更灵活。图1为这3种硬件防火墙设计在性能与功能和灵活性方面的综合特性比较。由图1看出,基于NP的实现方案是千兆防火墙最佳的硬件实现方案。
3 网络处理器NP简介
网络处理器NP(Network Processor)是专为处理数据包而设计的可编程处理器,其内含多个数据处理引擎,在处理2~4层的分组数据上比通用处理器具有明显优势。网络处理器的体系结构一般由网络处理器单元、硬件协处理器单元和网络接口单元3部分组成,如图2所示。网络处理器单元是由若干个微码处理器组成,这些微码处理器并行处理数据,极大提高网络处理器的处理速度。如果需要增加新的功能或标准,只需通过配套的软件开发系统给微码处理器增加新的微码。对于那些要求高速处理的复杂的通用功能模块(如内存操作、路由表查找算法、Qos的拥塞控制算法、流量调度算法等),则采用硬件协处理器实现,提高系统性能,从而实现业务的灵活性和高性能。
总之,网络处理器不但具有高性能和高可靠性的优点,还具有极大的灵活性和可扩展性。而且,网络处理器提供的编程能力还缩短开发周期,延长使用寿命。
4 千兆电子商务系统防火墙设计方案
基于NP的千兆电子商务系统防火墙由主控单元、网络处理单元和电源3部分组成,如图3所示。其中,主控单元采用通用处理器设计的管理与协处理板,网络处理单元通过PCI总线与主控单元通信;网络处理单元采用基于NP的专用网络处理板;电源则专为主控单元和网络处理单元提供电源支持。
4.1 主控单元
主控单元采用通用CPU设计的主控板,用于配置管理网络处理板和运行其他非实时性的安全模块,包括CPU、存储器、Flash、串行接口、网络接口和PCI总线,如图4所示。通过串行接口或网络接口配置管理防火墙。Flash中存储防火墙操作系统,主控单元上电后将防火墙操作系统装载到存储器中执行,并通过PCI总线与网络处理单元通信。
主控单元的软件包括控制管理和高级安全两部分。控制管理软件接收从Web界面和命令行对防火墙传递的配置信息,并转换为网络处理器识别的信息,发送到网络处理单元的控制管理模块,同时接收从网络处理单元的控制管理模块返回的信息。高级安全软件主要是那些对实时性要求不高或在NP中实现极大影响性能功能。图5为主控电源的软件逻辑结构框图。
4.2 网络处理单元
网络处理单元采用NP设计专用网络处理板,内嵌微码运行实时性高的防火墙功能模块。图6为其硬件结构框图,图7为网络处理流程。
4.3 千兆电子商务系统防火墙的特点
由于防火墙的安全过滤与操作系统无关,并与防火墙配置管理、控制分离,所以网络处理器的安全功能可随时升级。该系统在提供高安全性和高性能的同时,符合电信级网络设备高可靠、高稳定的要求,且相对成本较低。由于具有自主知识产权,因此该系统具有极强的功能和可扩展性。
5 千兆电子商务系统安全防火墙关键技术
为了确保电子商务系统高安全、高性能、高可靠、高可控和高可扩等性能,需突破许多完全超越Intel X86架构防火墙的关键技术,包括线速安全过滤、可靠性设计、可扩展设计、精确流控等技术。
5.1 线速安全过滤技术
为使安全防火墙在千兆环境下达到线速性能,需采用技术有:
(1)三级并行处理机制 包括处理器级并行、线程级并行和指令级并行。从硬件到软件均采用并行处理机制,最大限度提高数据帧的处理速度。
(2)快速查表技术 防火墙最主要功能是状态检测和安全规则检查。为节约处理器资源和内存资源,硬件采用专用硬件查表协处理器提高查找速度;软件根据其特点采用不同的分类优化算法,来提高查表速度。
(3)全规则动态平衡存储技术传统防火墙的处理性能受限于设置的安全规则数目,随着安全规则数的增加,其搜索增长速率呈线性递增。设计全规则动态平衡存储技术,实现专用处理器的非线性快速规则匹配算法,保证在极短时间内完成防火墙每一次发起规则查找。
5.2 可靠性设计技术
在千兆环境下对防火墙的高可靠性提出更高要求,可在硬件和软件两个方面取得突破。
(1)硬件方面网络处理器单元采用14层高速PCB设计和板级仿真,解决因高频串扰带来的千兆线速丢包问题,和独立硬件控制下灾难自恢复机制,保证系统可靠性。
(2)软件方面 可将网络安全处理功能运行在网络处理器中,避免操作系统带来的不稳定性和安全隐患问题。
5.3 可扩展设计技术
作为网络安全设备的防火墙,在系统的结构设计中,除突出高性能和高稳定性外,需特别注重系统的可扩展性。扩展设计包括硬件采用模块化设计和软件采用模块分层,并逐层封装,配置与控制层提供功能的扩展接口。
5.4 精确流控技术
基于网络处理器提供的能力,实现高效的数据流分类算法;在队列调度方面,支持先进先出队列、定制队列、加权公平队列和基于类的加权公平队列调度算法;在拥塞控制方面,实现业界流行的WRED算法,准确的丢包算法保证当网络发生拥塞时,避免由于误丢包而带来流量震荡。
6 结束语
基于NP的安全防火墙设计已成为分布式电子商务系统中最成熟的技术,是电子商务安全管理人员有效的防御工具。但任何一个安全产品或技术都不能提供永远安全,因为网络在变化,应用在变化,入侵手段也在变化。对于电子商务应用系统安全防火墙来说,技术的不断进步才是真正的保障。研制新的网络安全设计方案,将成为今后互联网络发展应用的一个重要课题。