用NP(网络处理器)设计千兆线速防火墙

核心提示： 2. 可靠性设计技术在千兆环境下对防火墙的高可靠性提出了更高的要求，我们通过以下技术在高可靠性方面取得突破;● 硬件方面：网络处理器单元采用１４层高速ＰＣＢ设计和板级仿真，用NP(网络处理器)设计千兆线速防火墙(4)，解决由于高频串扰带来的千兆线速丢包问题；电源、风扇冗余设计；独立硬件控制

2. 可靠性设计技术

在千兆环境下对防火墙的高可靠性提出了更高的要求，我们通过以下技术在高可靠性方面取得突破;

● 硬件方面：网络处理器单元采用１４层高速ＰＣＢ设计和板级仿真，解决由于高频串扰带来的千兆线速丢包问题；电源、风扇冗余设计；独立硬件控制下的灾难自恢复机制，保证整机的可靠性。

● 软件方面：将网络安全处理功能运行在网络处理器中，避免操作系统带来的稳定性和安全隐患问题；防火墙监控系统包括防火墙状态监控，防火墙集群节点集中监控、统一日志等；采用冗余设计，保证防火墙一旦发生问题后，其负载可以迅速切换到其他防火墙上；实现负载均衡设计，通过动态的负载均衡技术解决单一防火墙负载过大的问题，与此同时采用集群防火墙的方式，从整体上提高防火墙处理网络信息的能力。

3. 可扩展设计技术

作为网络安全设备的防火墙，在系统的结构设计中，除突出高性能和高稳定性外，需要特别注重系统的可扩展性。其中包括将硬件按模块化设计和软件按模块分层，并逐层封装，其中，配置与控制层提供功能的扩展接口。

4. 精确流控技术

基于网络处理器提供的能力，实现高效的数据流分类算法；在队列调度方面，支持先进先出队列、定制队列、加权公平队列和基于类的加权公平队列调度算法; 在拥塞控制方面，实现业界流行的WRED 算法，准确的丢包算法保证当网络发生拥塞时，避免由于误丢包而带来流量震荡。

五、 NP架构与Intel X86架构的性能对比分析

以联想为例，联想集团采用IBM公司的NP3G4S-C网络处理器芯片，自主开发了“超五”千兆线速防火墙无阻塞系统，带宽（使用Smartbits 6000网络性能测试仪实测64字节小包）达到3.5Gbps，是基于Inter X86架构准千兆防火墙的十倍以上。在《计算机世界》报社组织的千兆防火墙横向评比中，吞吐量的各项测试都达到了100%的水平，用64字节的UDP包（480流）进行压力测试，仍然达到了100%。在抗攻击能力的测试中，在50%的Syn-flood攻击流量及5000次/s的连接速率下，10万次连接中有99.36%成功建立，受到攻击的影响非常弱。

基于NP的防火墙无论在吞吐率还是延迟上都具有绝对优势。在传统Intel X86架构上开发高端网络安全产品灵活性强，可扩充能力好，但性能无法完全满足千兆骨干网络传输需求。开发专用于网络处理的ASIC芯片则费用高、时间长而且灵活性较差。在此情况下，利用网络处理器开发下一代高速网络安全产品是一个必然趋势，特别是对国内防火墙厂商而言，采用网络处理器可以快速缩短和国外厂商的差距，填补国内产品在高端市场上的空白。这对提高我国网络安全防护的整体水平，建设具有自主知识产权的信息安全基础设施具有战略意义。