千家论坛_智能建筑与智能家居技术交流社区

标题: 防火墙NP技术谈 [打印本页]

作者: leadsec365    时间: 2005-4-28 16:17
标题: 防火墙NP技术谈

(摘自我的朋友ONTHEING)NP(网络处理器)是一种可编程ASIC。不但可为系统提供类似ASIC的处理速度,而且可以提供类似通用处理器的灵活性。网络处理器主要被用于处理线速数据,进行协议分析和数据分类,可以进行深度包分类,位于物理接口处理器和交换架构之间。网络处理器作为一种新的基于完全处理器的体系结构,集成了ASIC&RISC处理器的优点,硬件的性能和软件的灵活性结合在一起。    目前防火墙的实现主要基于软件或者硬件。软件防火墙通过直接在专用或通用操作系统上运行防火墙软件来实现安全控制存取访问。该体系的优点是成本低、灵活性好,升级方便,只需对软件进行改动即可,但性能依赖于其运行平台的性能,会造成网络速度的严重下降,在高流量的情况下,极有可能造成系统崩溃,这样失去了防火墙的作用。    硬件防火墙采用专用集成芯片(ASIC)来处理数据。这种防火墙的特点是具有较高的系统吞吐量,但是基于ASIC的体系结构也有其缺点。一旦指令或逻辑被嵌入芯片,那么改变这些指令使之增加新的安全功能时十分困难,甚至需要重新设计芯片。   用网络处理器实现的防火墙则可以有效地解决上述的问题。网络处理器中的多个分布式通道处理引擎(即微处理器)负责数据包的处理和转发,并把数据包的相关信息如源IP地址、目的IP地址等递交给协处理器引擎,由协处理器引擎来完成分类、查表以及深度内容过滤。协处理器引擎进行报文过滤控制或运行防火墙应用程序,根据报文的信息做出对数据进行何种处理的判断,指示网络处理器的通道处理引擎对数据包进行何种处理。   网络处理器内部嵌有RISC内核,可以运行控制层的应用程序(包括操作系统、路由协议、防火墙规则控制模块、用户认证等),在需要控制层完成诸如加密、解密算法等耗时任务时,可以通过PCI 总线外挂CPU,以辅助或取代内部RISC提供更强大的处理能力。系统可扩展性也是采用网络处理器的优点,通过交换接口可以实现多个模块的扩充,以提高系统带宽,满足各种需要,同时很容易地实现报文过滤和应用网关功能。协处理器通道引擎检测数据包的源、目的IP 地址,源、目的端口及数据包其他相关数据包头信息,查找安全策略表,判断是否通过,最终由网络处理器的通道处理引擎来执行判断的结果,从而实现报文过滤防火墙,不仅可以对包头进行解析过滤,还可以对包内容进行深度解析过滤。应用网关型防火墙可以通过协处理器或者外部CPU运行具体的应用网关程序,作出对数据进行什么处理的判断,由通道处理引擎执行判断的结果。   基于NP的防火墙具有以下特点:   ● 完全可编程能力   网络处理器可以适用于多种接口、协议和产品类型,可以支持对协议堆栈的第二层至第七层进行编程。从另一个方面讲,对各种协议的支持,还包括对信元,分组,数据流等多种数据类型的支持。利用网络处理器的可编程能力支持多协议,可以极大地缩短通信产品的开发时间,从而大大增强其竞争能力,同时网络处理器的多协议特性也节省了网络提供商和业务提供商的开销。因为网络处理器是完全可编程的,只要通过软件升级就为防火墙添加新功能,以适用于不同的网络环境。在网络安全领域拥有这一特性至关重要。   ●强大的处理能力   网络处理器的体系结构不仅是多个RISC核和协处理器的简单集成。网络处理器对这种处理体系结构进行了优化,采用了分布式存储系统,突破存储瓶颈,多个微处理器(每个微处理器都支持多线程)并发操作,支持高带宽的线速处理。由于数据处理、转发和对数据处理、转发控制分别由通道处理引擎和协处理器完成, 使网络处理器具有甚至超过ASIC 的处理速度,不会造成网络带宽的瓶颈。  ●系统可扩充能力   网络处理器拥有开放的系统接口,模块化的系统设计易于实现系统扩充,以满足不同网络环境的需要。  网络处理器通过十分灵活的体系结构和强大的处理能力,将RISC可编程能力和ASIC的线速处理能力有机结合,极大推动了线速防火墙的发展。各大厂商均推出了10Gbps的网络处理器,40G 的网络处理器正在逐步推向市场。可见在网络安全领域,防火墙、VPN网关、入侵检测等安全产品会逐步采用网络处理器技术,从而在根本上保证防火墙不会成为网络瓶颈;同时在今后几年里,网络处理器将迅速得以普及应用,代表着下一代网络设备的核心功能单元,将有着非常巨大的发展空间






欢迎光临 千家论坛_智能建筑与智能家居技术交流社区 (http://bbs.qianjia.com:8020/) Powered by Discuz! X3.2