【51CTO.com独家特稿】 随着网络规模不断扩大、各种应用业务日益增多,特别是政府、电信、金融、电力等关键行业的数据中心、电信网络等的数据流量巨大,技术含量不断提高,都要求有一个高可靠性、高质量和高安全性的网络来承载,支撑由此带来的网络流量、管理控制、交换传输的复杂变化对网络的新要求,并保证网络以及信息系统的安全。为了满足上述信息系统安全需求,传统的防火墙已经显的力不从心了。这就对防火墙系统的架构提出了新的挑战。
防火墙产品一直以来都占据着网络安全产品中的重要位置。防火墙产品在经历了X86、NP、ASIC、多核等技术的演化过程,仍能满足大部分用户的需求。像前面提到的高端用户对防火墙的要求至少要达到小包万兆线速转发性能。而只是靠提高CPU主频和CPU内核的数量已经无法满足高端用户的万兆级以上需求了。这就要求我们从其他方面入手来提高安全产品的整体处理性能。分布式处理是一个很好的选择。在高端交换机/路由器领域,一般采用机架式体系架构、插板式功能模块、分布式处理系统。用户可以根据自己的需求选择不同的机架类型和插板模块来搭建自己的网络。
2、 分布式防火墙架构
2.1分布式防火墙硬件架构。
随着网络的升级和扩容,传统的盒式防火墙已经很难满足大容量、高性能、可扩展的需求和挑战。这就引入了机架式防火墙产品的设计与研发。分布式的Crossbar架构能够很好的满足高性能和灵活扩展性的挑战。
分布式Crossbar架构除了交换网板采用了Crossbar架构之外,在每个业务板上也采用了Crossbar+交换芯片的架构。在业务板上加交换芯片可以很好地解决了本地交换的问题,而在业务板交换芯片和交换网板之间的Crossbar芯片解决了把业务板的业务数据信元化从而提高了交换效率,并且使得业务板的数据类型和交换网板的信元成为两个平面,也就是说可以有非常丰富的业务板,比如可以把防火墙、IPS系统、路由器、内容交换、IPv6等等类型的业务整合到核心交换平台上。同时这个Crossbar有相应的高速接口分别连接到两个主控板或者交换网板,从而大大提高了双主控主备切换的速度。
分布式Crossbar设计中,CPU也采用了分布式设计。设备主控板上的主CPU负责整机控制调度、路由表学习和下发;业务板从CPU主要负责本地查表、业务板状态维护、安全业务功能处理等工作。这就实现了分布式路由计算和分布式路由表查询,大大缓解主控板的压力,提高了设备的整体性能,这也是业务板本地转发能够提高效率的重要原因。这种分布式Crossbar、分布式业务处理的设计理念是核心网络设备设计的发展方向,保证了防火墙等安全设备能够部署到网络核心位置,不会成为网络的瓶颈。
上面的分布式Crossbar技术解决了高性能、可扩展的需求,下面的主要部件备份冗余设计解决了高可靠性的需求。如图1所示:不仅交换网板和控制模块采用双冗余设计,防火墙板、电源和接口板也采用双冗余设计。
图1
2.2分布式防火墙软件架构。
为了配合分布式硬件架构,软件也采用分布式设计。主控板上运行主操作系统,负责整台设备的管理配置、路由学习、配置下发等。业务板操作系统负责接收下发的配置,和业务处理等功能。
由于采用了分布式架构设计,防火墙系统不仅在硬件上实现了控制平面和转发平面的分离,而且在软件上也实现了控制平面和转发平面的分离。这样能有效的提高系统的高性能和高可靠性。
2.3数据转发流程
要想利用分布式处理技术来提高网络安全产品的性能,我们首先要解决数据流在内部网络间转发的问题。在机架式体系架构上,一般用主控板来操作整台设备,对设备进行管理、配置,然后把配置下发到各个子系统上使他们协同工作。接口板用来提供设备的接口供用户接入网络,并把数据流提交到安全业务板上。由安全业务板完成访问策略控制、NAT地址转换、IPS防御、防病毒、IPSEC VPN等功能。
图2
如图2所示,防火墙系统在处理数据包转发业务时数据流内部转发过程:
1. 从接口业务板 接收的数据包重定向(保护vlan 内的包)到安全业务板上;
2. 安全业务板1收到报文;
3. 安全引擎处理,同时进行路由查找准备向接口业务板的另一个接口转发;
4. 向接口业务板发送数据包;
5. 数据包从接口业务板目的端口进行发送;
通过上面的数据流内部转发处理,我们再根据VLAN或者接口把不同的数据流定向到不同的安全业务板上,就能够从整体上提高整台设备的安全处理能力。
图3
如图3所示:我们把vlan1的数据定向到安全业务板一上,把vlan2的数据定向到安全业务板二上,把vlan10的数据定向到安全业务板十上。这样我们就能够获得10倍于一块安全业务板的处理性能。#p#
3、 安全业务板的多核架构设计
安全业务板采用8核心32个vCPU的专用处理器。这样我们可以在安全业务板上也采用控制平面和转发平面的分离,从而提高安全业务板的可靠性和转发性能。如下图所示:
图4
在数据转发系统上,每个vCPU都对已经建立的连接创建本地连接,这样每个vCPU在处理后续的报文时,在查找到本地连接后就可以快速转发出去,不需要去查找全局连接表,没有锁竞争,大大提高了转发系统的性能。这项技术我们已经提交一项国家专利申请。
4、小结
北京天融信公司的网络卫士高端防火墙系统应用了先进的机架式体系架构、插板式功能模块、分布式处理系统,将分布式处理技术融入天融信自主知识产权操作系统TOS系统,实现了高效率的状态检测引擎,达到了小包万兆、大包百G性能,能够满足高端用户的安全控制要求,同时也打破了国外产品长期垄断高端防火墙产品市场的局面。