【51CTO.com獨家特稿】 隨著網絡規模不斷擴大、各種應用業務日益增多，特別是政府、電信、金融、電力等關鍵行業的數據中心、電信網絡等的數據流量巨大，技術含量不斷提高，都要求有一個高可靠性、高質量和高安全性的網絡來承載，支撐由此帶來的網絡流量、管理控制、交換傳輸的復雜變化對網絡的新要求，并保證網絡以及信息系統的安全。為了滿足上述信息系統安全需求，傳統的防火墻已經顯的力不從心了。這就對防火墻系統的架構提出了新的挑戰。
 
防火墻產品一直以來都占據著網絡安全產品中的重要位置。防火墻產品在經歷了X86、NP、ASIC、多核等技術的演化過程，仍能滿足大部分用戶的需求。像前面提到的高端用戶對防火墻的要求至少要達到小包萬兆線速轉發性能。而只是靠提高CPU主頻和CPU內核的數量已經無法滿足高端用戶的萬兆級以上需求了。這就要求我們從其他方面入手來提高安全產品的整體處理性能。分布式處理是一個很好的選擇。在高端交換機/路由器領域，一般采用機架式體系架構、插板式功能模塊、分布式處理系統。用戶可以根據自己的需求選擇不同的機架類型和插板模塊來搭建自己的網絡。

2、 分布式防火墻架構

2．1分布式防火墻硬件架構。  

隨著網絡的升級和擴容，傳統的盒式防火墻已經很難滿足大容量、高性能、可擴展的需求和挑戰。這就引入了機架式防火墻產品的設計與研發。分布式的Crossbar架構能夠很好的滿足高性能和靈活擴展性的挑戰。　　

分布式Crossbar架構除了交換網板采用了Crossbar架構之外，在每個業務板上也采用了Crossbar+交換芯片的架構。在業務板上加交換芯片可以很好地解決了本地交換的問題，而在業務板交換芯片和交換網板之間的Crossbar芯片解決了把業務板的業務數據信元化從而提高了交換效率，并且使得業務板的數據類型和交換網板的信元成為兩個平面，也就是說可以有非常豐富的業務板，比如可以把防火墻、IPS系統、路由器、內容交換、IPv6等等類型的業務整合到核心交換平臺上。同時這個Crossbar有相應的高速接口分別連接到兩個主控板或者交換網板，從而大大提高了雙主控主備切換的速度。　　

分布式Crossbar設計中，CPU也采用了分布式設計。設備主控板上的主CPU負責整機控制調度、路由表學習和下發；業務板從CPU主要負責本地查表、業務板狀態維護、安全業務功能處理等工作。這就實現了分布式路由計算和分布式路由表查詢，大大緩解主控板的壓力，提高了設備的整體性能，這也是業務板本地轉發能夠提高效率的重要原因。這種分布式Crossbar、分布式業務處理的設計理念是核心網絡設備設計的發展方向，保證了防火墻等安全設備能夠部署到網絡核心位置，不會成為網絡的瓶頸。  

上面的分布式Crossbar技術解決了高性能、可擴展的需求，下面的主要部件備份冗余設計解決了高可靠性的需求。如圖1所示：不僅交換網板和控制模塊采用雙冗余設計，防火墻板、電源和接口板也采用雙冗余設計。

 圖1

2．2分布式防火墻軟件架構。  

為了配合分布式硬件架構，軟件也采用分布式設計。主控板上運行主操作系統，負責整臺設備的管理配置、路由學習、配置下發等。業務板操作系統負責接收下發的配置，和業務處理等功能。  

由于采用了分布式架構設計，防火墻系統不僅在硬件上實現了控制平面和轉發平面的分離，而且在軟件上也實現了控制平面和轉發平面的分離。這樣能有效的提高系統的高性能和高可靠性。

2．3數據轉發流程  

要想利用分布式處理技術來提高網絡安全產品的性能，我們首先要解決數據流在內部網絡間轉發的問題。在機架式體系架構上，一般用主控板來操作整臺設備，對設備進行管理、配置，然后把配置下發到各個子系統上使他們協同工作。接口板用來提供設備的接口供用戶接入網絡，并把數據流提交到安全業務板上。由安全業務板完成訪問策略控制、NAT地址轉換、IPS防御、防病毒、IPSEC VPN等功能。  

圖2

如圖2所示，防火墻系統在處理數據包轉發業務時數據流內部轉發過程：

1． 從接口業務板 接收的數據包重定向（保護vlan 內的包）到安全業務板上；

2． 安全業務板1收到報文；

3． 安全引擎處理，同時進行路由查找準備向接口業務板的另一個接口轉發；

4． 向接口業務板發送數據包；

5． 數據包從接口業務板目的端口進行發送；  

通過上面的數據流內部轉發處理，我們再根據VLAN或者接口把不同的數據流定向到不同的安全業務板上，就能夠從整體上提高整臺設備的安全處理能力。  

圖3  

如圖3所示：我們把vlan1的數據定向到安全業務板一上，把vlan2的數據定向到安全業務板二上，把vlan10的數據定向到安全業務板十上。這樣我們就能夠獲得10倍于一塊安全業務板的處理性能。#p#

3、 安全業務板的多核架構設計  

安全業務板采用8核心32個vCPU的專用處理器。這樣我們可以在安全業務板上也采用控制平面和轉發平面的分離，從而提高安全業務板的可靠性和轉發性能。如下圖所示：

圖4  

在數據轉發系統上，每個vCPU都對已經建立的連接創建本地連接，這樣每個vCPU在處理后續的報文時，在查找到本地連接后就可以快速轉發出去，不需要去查找全局連接表，沒有鎖競爭，大大提高了轉發系統的性能。這項技術我們已經提交一項國家專利申請。

4、小結  

北京天融信公司的網絡衛士高端防火墻系統應用了先進的機架式體系架構、插板式功能模塊、分布式處理系統，將分布式處理技術融入天融信自主知識產權操作系統TOS系統，實現了高效率的狀態檢測引擎，達到了小包萬兆、大包百G性能，能夠滿足高端用戶的安全控制要求，同時也打破了國外產品長期壟斷高端防火墻產品市場的局面。