用NP(网络处理器)设计千兆线速防火墙
2008-12-18 12:18:40 来源:WEB开发网主控单元上软件包括控制管理软件和高级安全软件。控制管理软件接收从Web界面和命令行对防火墙传递的配置信息,并转换为网络处理器识别的信息,发送到网络处理单元的控制管理模块,同时接收从网络处理单元的控制管理模块返回的信息。高级安全软件主要是那些对实时性要求不高或在NP中实现会极大影响性能的功能。
4. 特点
防火墙安全过滤与其操作系统无关并与防火墙配置管理、控制分离,以网络处理器为主,网络处理器上的安全功能可以随时升级。系统在提供高安全性和高性能的同时,符合电信级网络设备高可靠、高稳定的要求。系统相对成本较低。由于具有自主知识产权,因此系统具有极强的功能和性能可扩展性等。
四、 NP防火墙的关键技术
在设计NP架构千兆线速防火墙过程中,为了确保防火墙的高安全、高性能、高可靠、高可控和高可扩,需要突破许多完全超越Intel X86架构防火墙的关键技术。包括线速安全过滤技术、可靠性设计技术、可扩展设计技术、精确流控技术等。
1. 线速安全过滤技术
为使防火墙在千兆环境下达到线速性能,需要采用以下技术:
● 三级并行处理技术:包括处理器级并行、线程级并行和指令级并行。从硬件到软件均采用并行处理机制,最大限度地提高数据帧的处理速度。
快速查表技术:防火墙最主要的功能是状态检测和安全规则检查。为节约处理器资源和内存资源,在硬件上采用专用硬件查表协处理器提高查找速度;在软件上根据各自特点采用不同的分类算法优化,树形结构存储等技术来提高查表速度。并采用状态表倍速检测技术,针对已建立连接,对数据包(请求和回应的数据包)的状态检查一次完成。
● 全规则动态平衡存储技术:传统防火墙的处理性能受限于设置的安全规则数目,随着安全规则数的增加,其搜索增长速率呈线性递增。我们实现了基于专用处理器的非线性快速规则匹配算法,保证防火墙每一次发起的规则查找在极短的时间内完成。与快速状态表配合保证了防火墙线速处理的最小延时。
更多精彩
赞助商链接