一、 NP的技術價值
目前在國內防火墻等安全產品市場上,千兆高端安全市場幾乎被國外產品所壟斷。因此開發防火墻等高性能、高穩定、具有自主知識產權的千兆線速安全產品,對于建設我國自主知識產權的信息保障基礎設施和落實27號文件精神具有重要的戰略意義。
防火墻和VPN等網絡安全產品發展中面臨的一個重要問題是“如何在保持足夠安全性的同時提供盡可能高的速率”。目前國內防火墻廠商基于Intel X86架構的千兆防火墻由于受CPU處理能力和PCI總線速度的制約,性能和功能不能達到網絡安全和網絡性能間的統一。所以,從純軟件技術向硬件技術發展是網絡安全產品發展的必然趨勢,中國信息化深度應用迫切需要貼近高性能、高靈活性、高可靠性的專用網絡安全設備。
國外廠商憑借在集成電路方面的技術優勢已推出基于ASIC的千兆線速防火墻和VPN產品,因開發難度大、周期長、產品靈活性差等原因,不適合技術和資金積累較薄弱的國內廠商發展。
如何突破技術壟斷,提高國家網絡安全的核心競爭力,是國內網絡安全廠商必須迫切解決的問題!隨著NP技術的成熟和發展,開發基于NP的網絡安全產品可以使國內安全企業抓住產業更新換代機會,迅速打破國外企業基于ASIC技術控制高端安全產品市場的局面。
二、 NP技術特點
網絡處理器(NP)是專門為處理數據包而設計的可編程處理器,能夠直接完成網絡數據處理的一般性任務。硬件體系結構大多采用高速的接口技術和總線規范,具有較高的I/O能力,包處理能力得到了很大提升。網絡處理器一般具有以下特點:
● 并行處理器: 采用多內核并行處理器結構。片內處理器按任務大致分為核心處理器和轉發引擎。
● 專用硬件協處理器: 對要求高速處理的通用功能模塊采用專用硬件實現以提高系統性能。
● 專用指令集: 轉發引擎通常采用專用的精簡指令集,并針對網絡協議處理特點優化。
● 分級存儲器組織: NP存儲器一般包含多種不同性能的存儲結構,對數據進行分類存儲以適應不同的應用目的。
● 高速I/O接口: NP具有豐富的高速I/O接口,包括物理鏈路接口、交換接口、存儲器接口、PCI總線接口等。通過內部高速總線連接在一起,提供很強的硬件并行處理能力。
● 可擴展性: 多個NP之間還可以互連,構成網絡處理器簇,以支持更為大型高速的網絡處理。
從網絡處理器以上特點可以看出,與通用處理器相比,網絡處理器在網絡分組數據處理上具有明顯的優勢。
三、 NP防火墻的體系架構
1. 總體結構
NP架構防火墻一般由主控單元和網絡處理單元組成,網絡處理單元是采用網絡處理器芯片(NP)設計的專用網絡處理板,主控單元是采用通用處理器設計的管理與協處理板,網絡處理單元通過PCI 總線與主控單元通信。NP防火墻總體結構如圖1所示。
2. 網絡處理單元
網絡處理單元采用網絡處理器芯片設計專用網絡處理板,內嵌微碼運行實時性高的防火墻功能模塊。其硬件結構如圖2所示。
網絡處理單元包括網絡處理器、存儲器、網絡接口、PCI接口、引導Flash,通過高速總線連接在一起。存儲器包括快速存儲器和慢速存儲器。防火墻主要功能都在網絡處理單元上完成,安全軟件存放在網絡處理器的指令存儲器中,當網絡接口收到數據包時,由網絡處理器中的微引擎執行。安全軟件主要包括包分類、攻擊檢查、狀態檢測、規則檢查、內容掃描、地址轉換和帶寬控制等主要模塊。流程如圖3所示。
3. 主控單元
主控單元是采用通用CPU設計的主控板,用于配置管理網絡處理板和運行其他非實時性的安全模塊。包括CPU、存儲器、Flash、串行接口、網絡接口、PCI總線。通過串行接口或網絡接口對防火墻進行配置管理。Flash中存放防火墻操作系統,主控單元上電后將防火墻操作系統裝載到存儲器中執行。主控單元通過PCI總線與網絡處理單元通信。
主控單元上軟件包括控制管理軟件和高級安全軟件。控制管理軟件接收從Web界面和命令行對防火墻傳遞的配置信息,并轉換為網絡處理器識別的信息,發送到網絡處理單元的控制管理模塊,同時接收從網絡處理單元的控制管理模塊返回的信息。高級安全軟件主要是那些對實時性要求不高或在NP中實現會極大影響性能的功能。
4. 特點
防火墻安全過濾與其操作系統無關并與防火墻配置管理、控制分離,以網絡處理器為主,網絡處理器上的安全功能可以隨時升級。系統在提供高安全性和高性能的同時,符合電信級網絡設備高可靠、高穩定的要求。系統相對成本較低。由于具有自主知識產權,因此系統具有極強的功能和性能可擴展性等。
四、 NP防火墻的關鍵技術
在設計NP架構千兆線速防火墻過程中,為了確保防火墻的高安全、高性能、高可靠、高可控和高可擴,需要突破許多完全超越Intel X86架構防火墻的關鍵技術。包括線速安全過濾技術、可靠性設計技術、可擴?股杓萍際酢⒕妨骺丶際醯取?
1. 線速安全過濾技術
為使防火墻在千兆環境下達到線速性能,需要采用以下技術:
● 三級并行處理技術:包括處理器級并行、線程級并行和指令級并行。從硬件到軟件均采用并行處理機制,最大限度地提高數據幀的處理速度。
快速查表技術:防火墻最主要的功能是狀態檢測和安全規則檢查。為節約處理器資源和內存資源,在硬件上采用專用硬件查表協處理器提高查找速度;在軟件上根據各自特點采用不同的分類算法優化,樹形結構存儲等技術來提高查表速度。并采用狀態表倍速檢測技術,針對已建立連接,對數據包(請求和回應的數據包)的狀態檢查一次完成。
● 全規則動態平衡存儲技術:傳統防火墻的處理性能受限于設置的安全規則數目,隨著安全規則數的增加,其搜索增長速率呈線性遞增。我們實現了基于專用處理器的非線性快速規則匹配算法,保證防火墻每一次發起的規則查找在極短的時間內完成。與快速狀態表配合保證了防火墻線速處理的最小延時。
2. 可靠性設計技術
在千兆環境下對防火墻的高可靠性提出了更高的要求,我們通過以下技術在高可靠性方面取得突破;
● 硬件方面:網絡處理器單元采用14層高速PCB設計和板級仿真,解決由于高頻串擾帶來的千兆線速丟包問題;電源、風扇冗余設計;獨立硬件控制下的災難自恢復機制,保證整機的可靠性。
● 軟件方面:將網絡安全處理功能運行在網絡處理器中,避免操作系統帶來的穩定性和安全隱患問題;防火墻監控系統包括防火墻狀態監控,防火墻集群節點集中監控、統一日志等;采用冗余設計,保證防火墻一旦發生問題后,其負載可以迅速切換到其他防火墻上;實現負載均衡設計,通過動態的負載均衡技術解決單一防火墻負載過大的問題,與此同時采用集群防火墻的方式,從整體上提高防火墻處理網絡信息的能力。
3. 可擴展設計技術
作為網絡安全設備的防火墻,在系統的結構設計中,除突出高性能和高穩定性外,需要特別注重系統的可擴展性。其中包括將硬件按模塊化設計和軟件按模塊分層,并逐層封裝,其中,配置與控制層提供功能的擴展接口。
4. 精確流控技術
基于網絡處理器提供的能力,實現高效的數據流分類算法;在隊列調度方面,支持先進先出隊列、定制隊列、加權公平隊列和基于類的加權公平隊列調度算法; 在擁塞控制方面,實現業界流行的WRED 算法,準確的丟包算法保證當網絡發生擁塞時,避免由于誤丟包而帶來流量震蕩。
五、 NP架構與Intel X86架構的性能對比分析
以聯想為例,聯想集團采用IBM公司的NP3G4S-C網絡處理器芯片,自主開發了“超五”千兆線速防火墻無阻塞系統,帶寬(使用Smartbits 6000網絡性能測試儀實測64字節小包)達到3.5Gbps,是基于Inter X86架構準千兆防火墻的十倍以上。在《計算機世界》報社組織的千兆防火墻橫向評比中,吞吐量的各項測試都達到了100%的水平,用64字節的UDP包(480流)進行壓力測試,仍然達到了100%。在抗攻擊能力的測試中,在50%的Syn-flood攻擊流量及5000次/s的連接速率下,10萬次連接中有99.36%成功建立,受到攻擊的影響非常弱。
基于NP的防火墻無論在吞吐率還是延遲上都具有絕對優勢。在傳統Intel X86架構上開發高端網絡安全產品靈活性強,可擴充能力好,但性能無法完全滿足千兆骨干網絡傳輸需求。開發專用于網絡處理的ASIC芯片則費用高、時間長而且靈活性較差。在此情況下,利用網絡處理器開發下一代高速網絡安全產品是一個必然趨勢,特別是對國內防火墻廠商而言,采用網絡處理器可以快速縮短和國外廠商的差距,填補國內產品在高端市場上的空白。這對提高我國網絡安全防護的整體水平,建設具有自主知識產權的信息安全基礎設施具有戰略意義。
