1 引言
随着骨干网络带宽的不断加大,分布式千兆网络已成为电子商务系统的主流方案,而由此带来的电子商务系统安全问题也日益突出,研究和设计千兆电子商务系统防火墙,可有效保证电子商务系统的正常运行。
2 千兆防火墙硬件实现方案选择
防火墙分为软件防火墙和硬件防火墙。软件防火墙通过直接在专用或通用操作系统上运行防火墙软件来实现安全控制存取访问,成本低、灵活性好,但其性能却依赖于运行平台的特性,造成网络速度的严重下降,不能满足千兆防火墙的高性能要求,因此,千兆防火墙都是硬件防火墙。千兆防火墙的硬件实现一般有基于Intel X86架构、基于ASIC和基于网络处理器NP 3种。其中,基于Intel X86架构的实现方案以其高灵活性和扩展性在百兆防火墙上获得巨大成功,然而对于千兆网,X86架构的CPU由于考虑各种应用需要,具有一般化的通用体系结构和指令集,其处理速度相对较慢,难以满足千兆网络对于高线速的需求;基于ASIC的实现方案将指令或计算逻辑固化到硬件处理性能极高,但缺乏灵活性,不便于修改和升级;而基于NP的实现方案则采用微码编程,专为网络分组处理而开发,具有优化的体系结构和指令集,比X86 CPU具备更高的处理性能。而且NP有专门的指令集和配套的软件开发系统,编程能力强,能够方便开发各种应用,因而比ASIC更灵活。图1为这3种硬件防火墙设计在性能与功能和灵活性方面的综合特性比较。由图1看出,基于NP的实现方案是千兆防火墙最佳的硬件实现方案。
3 网络处理器NP简介
网络处理器NP(Network Processor)是专为处理数据包而设计的可编程处理器,其内含多个数据处理引擎,在处理2~4层的分组数据上比通用处理器具有明显优势。网络处理器的体系结构一般由网络处理器单元、硬件协处理器单元和网络接口单元3部分组成,如图2所示。网络处理器单元是由若干个微码处理器组成,这些微码处理器并行处理数据,极大提高网络处理器的处理速度。如果需要增加新的功能或标准,只需通过配套的软件开发系统给微码处理器增加新的微码。对于那些要求高速处理的复杂的通用功能模块(如内存操作、路由表查找算法、Qos的拥塞控制算法、流量调度算法等),则采用硬件协处理器实现,提高系统性能,从而实现业务的灵活性和高性能。
总之,网络处理器不但具有高性能和高可靠性的优点,还具有极大的灵活性和可扩展性。而且,网络处理器提供的编程能力还缩短开发周期,延长使用寿命。
4 千兆电子商务系统防火墙设计方案
基于NP的千兆电子商务系统防火墙由主控单元、网络处理单元和电源3部分组成,如图3所示。其中,主控单元采用通用处理器设计的管理与协处理板,网络处理单元通过PCI总线与主控单元通信;网络处理单元采用基于NP的专用网络处理板;电源则专为主控单元和网络处理单元提供电源支持。
4.1 主控单元
主控单元采用通用CPU设计的主控板,用于配置管理网络处理板和运行其他非实时性的安全模块,包括CPU、存储器、Flash、串行接口、网络接口和PCI总线,如图4所示。通过串行接口或网络接口配置管理防火墙。Flash中存储防火墙操作系统,主控单元上电后将防火墙操作系统装载到存储器中执行,并通过PCI总线与网络处理单元通信。