【51CTO.com獨家特稿】 隨著網(wǎng)絡(luò)規(guī)模不斷擴大、各種應(yīng)用業(yè)務(wù)日益增多，特別是政府、電信、金融、電力等關(guān)鍵行業(yè)的數(shù)據(jù)中心、電信網(wǎng)絡(luò)等的數(shù)據(jù)流量巨大，技術(shù)含量不斷提高，都要求有一個高可靠性、高質(zhì)量和高安全性的網(wǎng)絡(luò)來承載，支撐由此帶來的網(wǎng)絡(luò)流量、管理控制、交換傳輸?shù)膹?fù)雜變化對網(wǎng)絡(luò)的新要求，并保證網(wǎng)絡(luò)以及信息系統(tǒng)的安全。為了滿足上述信息系統(tǒng)安全需求，傳統(tǒng)的防火墻已經(jīng)顯的力不從心了。這就對防火墻系統(tǒng)的架構(gòu)提出了新的挑戰(zhàn)。
 
防火墻產(chǎn)品一直以來都占據(jù)著網(wǎng)絡(luò)安全產(chǎn)品中的重要位置。防火墻產(chǎn)品在經(jīng)歷了X86、NP、ASIC、多核等技術(shù)的演化過程，仍能滿足大部分用戶的需求。像前面提到的高端用戶對防火墻的要求至少要達到小包萬兆線速轉(zhuǎn)發(fā)性能。而只是靠提高CPU主頻和CPU內(nèi)核的數(shù)量已經(jīng)無法滿足高端用戶的萬兆級以上需求了。這就要求我們從其他方面入手來提高安全產(chǎn)品的整體處理性能。分布式處理是一個很好的選擇。在高端交換機/路由器領(lǐng)域，一般采用機架式體系架構(gòu)、插板式功能模塊、分布式處理系統(tǒng)。用戶可以根據(jù)自己的需求選擇不同的機架類型和插板模塊來搭建自己的網(wǎng)絡(luò)。

2、 分布式防火墻架構(gòu)

2．1分布式防火墻硬件架構(gòu)。  

隨著網(wǎng)絡(luò)的升級和擴容，傳統(tǒng)的盒式防火墻已經(jīng)很難滿足大容量、高性能、可擴展的需求和挑戰(zhàn)。這就引入了機架式防火墻產(chǎn)品的設(shè)計與研發(fā)。分布式的Crossbar架構(gòu)能夠很好的滿足高性能和靈活擴展性的挑戰(zhàn)?！　?/P>

分布式Crossbar架構(gòu)除了交換網(wǎng)板采用了Crossbar架構(gòu)之外，在每個業(yè)務(wù)板上也采用了Crossbar+交換芯片的架構(gòu)。在業(yè)務(wù)板上加交換芯片可以很好地解決了本地交換的問題，而在業(yè)務(wù)板交換芯片和交換網(wǎng)板之間的Crossbar芯片解決了把業(yè)務(wù)板的業(yè)務(wù)數(shù)據(jù)信元化從而提高了交換效率，并且使得業(yè)務(wù)板的數(shù)據(jù)類型和交換網(wǎng)板的信元成為兩個平面，也就是說可以有非常豐富的業(yè)務(wù)板，比如可以把防火墻、IPS系統(tǒng)、路由器、內(nèi)容交換、IPv6等等類型的業(yè)務(wù)整合到核心交換平臺上。同時這個Crossbar有相應(yīng)的高速接口分別連接到兩個主控板或者交換網(wǎng)板，從而大大提高了雙主控主備切換的速度?！　?/P>

分布式Crossbar設(shè)計中，CPU也采用了分布式設(shè)計。設(shè)備主控板上的主CPU負(fù)責(zé)整機控制調(diào)度、路由表學(xué)習(xí)和下發(fā)；業(yè)務(wù)板從CPU主要負(fù)責(zé)本地查表、業(yè)務(wù)板狀態(tài)維護、安全業(yè)務(wù)功能處理等工作。這就實現(xiàn)了分布式路由計算和分布式路由表查詢，大大緩解主控板的壓力，提高了設(shè)備的整體性能，這也是業(yè)務(wù)板本地轉(zhuǎn)發(fā)能夠提高效率的重要原因。這種分布式Crossbar、分布式業(yè)務(wù)處理的設(shè)計理念是核心網(wǎng)絡(luò)設(shè)備設(shè)計的發(fā)展方向，保證了防火墻等安全設(shè)備能夠部署到網(wǎng)絡(luò)核心位置，不會成為網(wǎng)絡(luò)的瓶頸。  

上面的分布式Crossbar技術(shù)解決了高性能、可擴展的需求，下面的主要部件備份冗余設(shè)計解決了高可靠性的需求。如圖1所示：不僅交換網(wǎng)板和控制模塊采用雙冗余設(shè)計，防火墻板、電源和接口板也采用雙冗余設(shè)計。

 圖1

2．2分布式防火墻軟件架構(gòu)。  

為了配合分布式硬件架構(gòu)，軟件也采用分布式設(shè)計。主控板上運行主操作系統(tǒng)，負(fù)責(zé)整臺設(shè)備的管理配置、路由學(xué)習(xí)、配置下發(fā)等。業(yè)務(wù)板操作系統(tǒng)負(fù)責(zé)接收下發(fā)的配置，和業(yè)務(wù)處理等功能。  

由于采用了分布式架構(gòu)設(shè)計，防火墻系統(tǒng)不僅在硬件上實現(xiàn)了控制平面和轉(zhuǎn)發(fā)平面的分離，而且在軟件上也實現(xiàn)了控制平面和轉(zhuǎn)發(fā)平面的分離。這樣能有效的提高系統(tǒng)的高性能和高可靠性。

2．3數(shù)據(jù)轉(zhuǎn)發(fā)流程  

要想利用分布式處理技術(shù)來提高網(wǎng)絡(luò)安全產(chǎn)品的性能，我們首先要解決數(shù)據(jù)流在內(nèi)部網(wǎng)絡(luò)間轉(zhuǎn)發(fā)的問題。在機架式體系架構(gòu)上，一般用主控板來操作整臺設(shè)備，對設(shè)備進行管理、配置，然后把配置下發(fā)到各個子系統(tǒng)上使他們協(xié)同工作。接口板用來提供設(shè)備的接口供用戶接入網(wǎng)絡(luò)，并把數(shù)據(jù)流提交到安全業(yè)務(wù)板上。由安全業(yè)務(wù)板完成訪問策略控制、NAT地址轉(zhuǎn)換、IPS防御、防病毒、IPSEC VPN等功能。  

圖2

如圖2所示，防火墻系統(tǒng)在處理數(shù)據(jù)包轉(zhuǎn)發(fā)業(yè)務(wù)時數(shù)據(jù)流內(nèi)部轉(zhuǎn)發(fā)過程：

1． 從接口業(yè)務(wù)板 接收的數(shù)據(jù)包重定向（保護vlan 內(nèi)的包）到安全業(yè)務(wù)板上；

2． 安全業(yè)務(wù)板1收到報文；

3． 安全引擎處理，同時進行路由查找準(zhǔn)備向接口業(yè)務(wù)板的另一個接口轉(zhuǎn)發(fā)；

4． 向接口業(yè)務(wù)板發(fā)送數(shù)據(jù)包；

5． 數(shù)據(jù)包從接口業(yè)務(wù)板目的端口進行發(fā)送；  

通過上面的數(shù)據(jù)流內(nèi)部轉(zhuǎn)發(fā)處理，我們再根據(jù)VLAN或者接口把不同的數(shù)據(jù)流定向到不同的安全業(yè)務(wù)板上，就能夠從整體上提高整臺設(shè)備的安全處理能力。  

圖3  

如圖3所示：我們把vlan1的數(shù)據(jù)定向到安全業(yè)務(wù)板一上，把vlan2的數(shù)據(jù)定向到安全業(yè)務(wù)板二上，把vlan10的數(shù)據(jù)定向到安全業(yè)務(wù)板十上。這樣我們就能夠獲得10倍于一塊安全業(yè)務(wù)板的處理性能。#p#

3、 安全業(yè)務(wù)板的多核架構(gòu)設(shè)計  

安全業(yè)務(wù)板采用8核心32個vCPU的專用處理器。這樣我們可以在安全業(yè)務(wù)板上也采用控制平面和轉(zhuǎn)發(fā)平面的分離，從而提高安全業(yè)務(wù)板的可靠性和轉(zhuǎn)發(fā)性能。如下圖所示：

圖4  

在數(shù)據(jù)轉(zhuǎn)發(fā)系統(tǒng)上，每個vCPU都對已經(jīng)建立的連接創(chuàng)建本地連接，這樣每個vCPU在處理后續(xù)的報文時，在查找到本地連接后就可以快速轉(zhuǎn)發(fā)出去，不需要去查找全局連接表，沒有鎖競爭，大大提高了轉(zhuǎn)發(fā)系統(tǒng)的性能。這項技術(shù)我們已經(jīng)提交一項國家專利申請。

4、小結(jié)  

北京天融信公司的網(wǎng)絡(luò)衛(wèi)士高端防火墻系統(tǒng)應(yīng)用了先進的機架式體系架構(gòu)、插板式功能模塊、分布式處理系統(tǒng)，將分布式處理技術(shù)融入天融信自主知識產(chǎn)權(quán)操作系統(tǒng)TOS系統(tǒng)，實現(xiàn)了高效率的狀態(tài)檢測引擎，達到了小包萬兆、大包百G性能，能夠滿足高端用戶的安全控制要求，同時也打破了國外產(chǎn)品長期壟斷高端防火墻產(chǎn)品市場的局面。