分布式防火墻架構的特點

作者：王震 2010-08-17 16:54:45

安全

分布式 防火墻產品一直以來都占據著網絡安全產品中的重要位置。防火墻產品在經歷了X86、NP、ASIC、多核等技術的演化過程，仍能滿足大部分用戶的需求。像前面提到的高端用戶對防火墻的要求至少要達到小包萬兆線速轉發(fā)性能。

【51CTO.com獨家特稿】 隨著網絡規(guī)模不斷擴大、各種應用業(yè)務日益增多，特別是政府、電信、金融、電力等關鍵行業(yè)的數(shù)據中心、電信網絡等的數(shù)據流量巨大，技術含量不斷提高，都要求有一個高可靠性、高質量和高安全性的網絡來承載，支撐由此帶來的網絡流量、管理控制、交換傳輸?shù)膹碗s變化對網絡的新要求，并保證網絡以及信息系統(tǒng)的安全。為了滿足上述信息系統(tǒng)安全需求，傳統(tǒng)的防火墻已經顯的力不從心了。這就對防火墻系統(tǒng)的架構提出了新的挑戰(zhàn)。
 
防火墻產品一直以來都占據著網絡安全產品中的重要位置。防火墻產品在經歷了X86、NP、ASIC、多核等技術的演化過程，仍能滿足大部分用戶的需求。像前面提到的高端用戶對防火墻的要求至少要達到小包萬兆線速轉發(fā)性能。而只是靠提高CPU主頻和CPU內核的數(shù)量已經無法滿足高端用戶的萬兆級以上需求了。這就要求我們從其他方面入手來提高安全產品的整體處理性能。分布式處理是一個很好的選擇。在高端交換機/路由器領域，一般采用機架式體系架構、插板式功能模塊、分布式處理系統(tǒng)。用戶可以根據自己的需求選擇不同的機架類型和插板模塊來搭建自己的網絡。

2、 分布式防火墻架構

2．1分布式防火墻硬件架構。

隨著網絡的升級和擴容，傳統(tǒng)的盒式防火墻已經很難滿足大容量、高性能、可擴展的需求和挑戰(zhàn)。這就引入了機架式防火墻產品的設計與研發(fā)。分布式的Crossbar架構能夠很好的滿足高性能和靈活擴展性的挑戰(zhàn)。　　

分布式Crossbar架構除了交換網板采用了Crossbar架構之外，在每個業(yè)務板上也采用了Crossbar+交換芯片的架構。在業(yè)務板上加交換芯片可以很好地解決了本地交換的問題，而在業(yè)務板交換芯片和交換網板之間的Crossbar芯片解決了把業(yè)務板的業(yè)務數(shù)據信元化從而提高了交換效率，并且使得業(yè)務板的數(shù)據類型和交換網板的信元成為兩個平面，也就是說可以有非常豐富的業(yè)務板，比如可以把防火墻、IPS系統(tǒng)、路由器、內容交換、IPv6等等類型的業(yè)務整合到核心交換平臺上。同時這個Crossbar有相應的高速接口分別連接到兩個主控板或者交換網板，從而大大提高了雙主控主備切換的速度。　　

分布式Crossbar設計中，CPU也采用了分布式設計。設備主控板上的主CPU負責整機控制調度、路由表學習和下發(fā)；業(yè)務板從CPU主要負責本地查表、業(yè)務板狀態(tài)維護、安全業(yè)務功能處理等工作。這就實現(xiàn)了分布式路由計算和分布式路由表查詢，大大緩解主控板的壓力，提高了設備的整體性能，這也是業(yè)務板本地轉發(fā)能夠提高效率的重要原因。這種分布式Crossbar、分布式業(yè)務處理的設計理念是核心網絡設備設計的發(fā)展方向，保證了防火墻等安全設備能夠部署到網絡核心位置，不會成為網絡的瓶頸。

上面的分布式Crossbar技術解決了高性能、可擴展的需求，下面的主要部件備份冗余設計解決了高可靠性的需求。如圖1所示：不僅交換網板和控制模塊采用雙冗余設計，防火墻板、電源和接口板也采用雙冗余設計。

 圖1

2．2分布式防火墻軟件架構。

為了配合分布式硬件架構，軟件也采用分布式設計。主控板上運行主操作系統(tǒng)，負責整臺設備的管理配置、路由學習、配置下發(fā)等。業(yè)務板操作系統(tǒng)負責接收下發(fā)的配置，和業(yè)務處理等功能。

由于采用了分布式架構設計，防火墻系統(tǒng)不僅在硬件上實現(xiàn)了控制平面和轉發(fā)平面的分離，而且在軟件上也實現(xiàn)了控制平面和轉發(fā)平面的分離。這樣能有效的提高系統(tǒng)的高性能和高可靠性。

2．3數(shù)據轉發(fā)流程

要想利用分布式處理技術來提高網絡安全產品的性能，我們首先要解決數(shù)據流在內部網絡間轉發(fā)的問題。在機架式體系架構上，一般用主控板來操作整臺設備，對設備進行管理、配置，然后把配置下發(fā)到各個子系統(tǒng)上使他們協(xié)同工作。接口板用來提供設備的接口供用戶接入網絡，并把數(shù)據流提交到安全業(yè)務板上。由安全業(yè)務板完成訪問策略控制、NAT地址轉換、IPS防御、防病毒、IPSEC VPN等功能。

圖2

如圖2所示，防火墻系統(tǒng)在處理數(shù)據包轉發(fā)業(yè)務時數(shù)據流內部轉發(fā)過程：

1． 從接口業(yè)務板 接收的數(shù)據包重定向（保護vlan 內的包）到安全業(yè)務板上；

2． 安全業(yè)務板1收到報文；

3． 安全引擎處理，同時進行路由查找準備向接口業(yè)務板的另一個接口轉發(fā)；

4． 向接口業(yè)務板發(fā)送數(shù)據包；

5． 數(shù)據包從接口業(yè)務板目的端口進行發(fā)送；

通過上面的數(shù)據流內部轉發(fā)處理，我們再根據VLAN或者接口把不同的數(shù)據流定向到不同的安全業(yè)務板上，就能夠從整體上提高整臺設備的安全處理能力。

圖3

如圖3所示：我們把vlan1的數(shù)據定向到安全業(yè)務板一上，把vlan2的數(shù)據定向到安全業(yè)務板二上，把vlan10的數(shù)據定向到安全業(yè)務板十上。這樣我們就能夠獲得10倍于一塊安全業(yè)務板的處理性能。#p#

3、 安全業(yè)務板的多核架構設計

安全業(yè)務板采用8核心32個vCPU的專用處理器。這樣我們可以在安全業(yè)務板上也采用控制平面和轉發(fā)平面的分離，從而提高安全業(yè)務板的可靠性和轉發(fā)性能。如下圖所示：

圖4

在數(shù)據轉發(fā)系統(tǒng)上，每個vCPU都對已經建立的連接創(chuàng)建本地連接，這樣每個vCPU在處理后續(xù)的報文時，在查找到本地連接后就可以快速轉發(fā)出去，不需要去查找全局連接表，沒有鎖競爭，大大提高了轉發(fā)系統(tǒng)的性能。這項技術我們已經提交一項國家專利申請。

4、小結

北京天融信公司的網絡衛(wèi)士高端防火墻系統(tǒng)應用了先進的機架式體系架構、插板式功能模塊、分布式處理系統(tǒng)，將分布式處理技術融入天融信自主知識產權操作系統(tǒng)TOS系統(tǒng)，實現(xiàn)了高效率的狀態(tài)檢測引擎，達到了小包萬兆、大包百G性能，能夠滿足高端用戶的安全控制要求，同時也打破了國外產品長期壟斷高端防火墻產品市場的局面。

網站名稱：分布式防火墻架構的特點
網站鏈接：http://www.5511xx.com/article/ccshdgd.html