万兆防火墙讨论

《万兆防火墙讨论》由会员分享，可在线阅读，更多相关《万兆防火墙讨论（14页珍藏版）》请在装配图网上搜索。

1、SecPathF5000-A5是H3C针对大型企业、运营商和数据中心网络的高性能安全防护需求推出的新一代防火墙设备。它综合采用多核多线程技术及 ASIC处理器构建分布式架构，将 系统管理和业务处理相分离。值得一提的是， SecPathF5000-A5在 业内首次采用了先进的 Crossbar 无阻塞 交换网技术，引入了交换矩 阵交换方式处理数据业务，真正实现整机安全业务的线速处理，不 仅使吞吐量达到40Gbps实现防火墙处理性能从万兆到超万兆的跨 越，更可实现高达160G的交换流量！了解工作原理实现千兆防火墙的困难千兆防火墙的代表产品包括 Netscreen的5000系列防火墙，以及Nodia

2、-CheckPoint的IP720以上的产品。这种防火墙的特 点是网络吞吐性能要求高 即带宽要求高），普通的硬件主板不能承 受，市场出货量又少。因此，在世界上能够实现的厂家很少，而且 必须是世界级的进行市场推广的公司才能推出真正的千兆防火墙。 其他的，即使是名为千兆，实际上也只是假千兆，说穿了就是把千 兆卡用到百兆防火墙的内核上，实际上达不到千兆性能。要了解个 中因由，首先要了解防火墙的工作原理。大家都知道，防火墙的工作核心其实就是对 IP包头与预定政策 的匹配控制。防火墙在工作的时侯，首先从内存读出政策链的第一 条放进寄存器，然后经系统总线（pciO，再经pci-pci桥，再经pci1 到

3、pci 网卡读取 IP 包的头信息，把它与寄存器中的政策进行匹配， 然后决定该IP包的处理。一来一去需要两次经过 PIC总线。如果IP 包比较大，那么这个包头信息与包的大小比较就相对小得多，这时 侯系统带宽的瓶颈就是网卡的内存暂存能力，也就是我们所说的百 兆网卡和千兆网卡的区别，或者称为线速的限制 （wirespeed。但如 果 IP 包很小，那么 IP 包头所占的比例就相当高，这时，瓶颈就是 PCI 总线的交换能力了。任何来往于该 PCI 的其他传输，都将因为总线争夺而受到限制。在这一数据交换中，数据通过 Hubi nk,从ICH ）到 MCH（Memory Controller Hub 的

4、传输 有四次，经过 PCI 总线的传输有两次。因为 HubLink 的最大数据吞 吐量是266MB，约2.2Gbps;但因为32位PCI总线以33MHz运 行，所以数据传输率被限制到1.06Gbps左右。而且还要连接运行各 种系统数据交换。因为PCI总线的带宽限制，PCI网卡永远也不能 实现真正的全双工的2Gbps带度，最高理论速度是单向IGbps,而 实际达到的不超过一半，即 500M。换句话说，对于硬件确定的系统，每秒能够处理 IP 包的数量是 一个相对的常数。这个常数与CPU处理能力和寄存器数目，以及系 统总线的交换速度形成的整体能力密切相关。对于使用 PIII 处理器 和X86服务器主

5、板 或工控主板，32位PCI总线）的防火墙，这个数字大致在五十万到一百万之间。 注意不要把它和最大的会话保持这个标称参数混淆，最大会话主要与系统的可分配内存有关系）。 因此，基于 Intel X86 主板的防火墙的极限吞吐量在 IP 包大小为 512 比特时，大致是三百兆左右。显然，这个吞吐能力很符合百兆防火 墙的环境，也符合低流量的千兆网环境的要求。但对于高流量的千 兆网，就无能为力了，必须在硬件上整体改进才可能满足这个阶梯 的升级要求。从前文也可以看出，防火墙的吞吐量是与 IP 包的大小密切相关 的，所以谈论吞吐量如果脱离包的大小是毫无意义的，任何防火墙 都可以达到百兆线速，只不过是在包大

6、到什么程度才能达到线速而 已。另一方面， Intel X86 主板架构的服务器，即我们通常说的英特 服务器，ASIC服务器 冗余指令集服务器），或PC服务器尽管不 能完全满足千兆环境的防火墙吞吐要求，但一般的千兆环境还是可 以应付的。因为以太网中的设备不止防火墙一个，还有交换机、路 由器等等，这些产品全部都可以形成瓶颈，因此，一个局域网段的 极限流量不是它的线速，而大约是线速的 25%以下。即千兆约 250 兆，百兆约 25 兆。考虑到目前国内一般千兆网的实际流量都不高 很少超过十兆的），所以这种基础的防火墙还是可以承担一般千兆 网的流量要求的。但如果千兆干网达到 100 兆以上流量，几个千兆

7、 口累加的吞吐量就超过了这种防火墙的内部极限，这种防火墙就会 大量丢包，成为网络系统的瓶颈了。因此，要克服这个瓶颈，就只有一个办法，提高系统每秒能够 匹配的 IP 包的能力。其中的关键是扩宽 PCI 总线的交换速度，反而 CPU速度并不是系统的瓶颈，相对而言，今天的 CPU能力大得惊 人，处理防火墙过滤如同牛刀杀鸡，所以大量防火墙把多余的处理 能力用到VPN的强密解密处理上。而PCI速度实际上从问世到今 天，也已经从33M提升到133M，只是与CPU的摩尔速度相比，显 得慢得多了，偏偏一个桶能装的水是以最短的桶条来衡量的。到今 天，要解决硬件瓶颈，已经形成了几种相对可行的方案。一种就是使用专门

8、设计的多总线服务器。如Nokia IP740虽然也是X86，但内置三条PCI总线，这样就可以提高防火墙的极限吞吐 量，满足一般的千兆环境。第二种是使用专门的处理插卡，换方 之，就是把千兆的网卡和专门的过滤处理器做到一起，形成新的千 兆网卡，大部分工作无需再经 PCI 总线到 CPU 才返回，直接在 PCI1就交换完毕了。这是CheckPoint曾经使用的方法。第三种方法 与第二种相似，所不同的不是使用专门的 PCI 集成网卡，而是使用 一个前置在 Pci1 总线上的单片机，直接处理防火墙的过滤转发要 求。这样同样可以克服总线限制。使用这种方法的就是著名的 netscreen公司的ASIC处理器

9、。最后一种办法目前仍没有确定可 行。就是使用英特的 NP 处理器。它的缺点是把整个防火墙变成了 一个过滤器。可是防火墙虽然主要工作是过滤转发，但并不是过滤 转发就是防火墙，其他功能也是很重要的。否则就与路由器没有什 么区别了。另一个简单的办法就是使用 RISC-SCSI 的架构，也即通 常所说的高档 UNIX 主机，因为使用 64 位总线，也是可以克服 32 位 PCI 总线形成的瓶颈；这也几乎是普通防火墙厂商满足千兆要求 的唯一办法了，就是把防火墙软件装到 UNIX 主机上面，成本可想 而知。无论是那一种方式，无不与一定量的市场需求密切相关。设计 定制专门的硬件成本很高，动辄以千万美元计算，

10、任何公司都不可 能为区区一百几十台的出货量去搞什么专门的硬件。而且，千兆防 火墙需求量只是百兆防火墙的几十分之一 只有败家子式的蠢才才会 清一色用千兆防火墙），这就决定了即使是年出货量上千台的防火 墙生产商也不能承受定制专门的千兆级硬件的成本。要知道，即使 是尽得中国官方采购天时的天融信也远达不到这个出货水平。所 以，世界上除非是在全世界范围内成功销售自已产品的公司，否 则，推出真正的千兆防火墙是非常困难的。除非出现 64位的 PCI 总 线，否则百兆和千兆就是一个难以超越的等级；反之，一旦 64 位总 线成为主流，那时千兆就象今天的百兆和十兆一样，很容易就成为 一个可以自动适应的网络带宽等级

11、。到那时，瓶颈制约的就是万兆 了。不过说老实话，除非是实时看高清晰度电影和电视转播，否则 我的想像力根本想不出拿着万兆到底干什么好。目前英特正在研发新一代的网络系统总线CSA, 传输流架构），这一接口的投入，将为 LOMvLAN on Motherborad ）打下基 础。介时，国产千兆防火墙产品就可以无需特别定制的硬件而扬帆 四海了。随着网络传输速度的快速提高，用户对 安全产品的性能要求也不 断提高，防火墙正面临着向更高处理性能一一 OC-48乃至OC-192发 展的挑战。因此，硬件防火墙正在受到人们的普遍重视。如何做出 令用户满意的硬件防火墙产品，是当前网络安全领域的热点和难点 问题之一。

12、市场发展呼唤万兆NP技术虽说NP技术为信息安全产业发展提供了一个更便捷、高效的开 发平台，但当今成熟NP芯片的处理能力也仅仅是在 20Mbp4Gbps 之间，即使使用IBM NP3G4弦样的高端NP芯片构成的系统，也不 能完全满足高端用户6Gbps- 10Gbps,也可以达到或接近ASIC防 火墙的处理能力，但是在典型的宽带应用环境中，数万甚至数十万的 并发连接不仅对通用CPU结构的防火墙带来更多的中断，而且使它的 处理能力急剧下降。ASIC结构则不存在这个问题，会话数的多少对 处理能力几乎没有影响。在加密、解密能力方面,PC结构的防火墙 需要借助昂贵的硬件加密卡才能达到一定处理速度。而ASI

13、C芯片集成了防火墙基本操作，即便在运行高强度加、解密的情况下处理速度 也不会有太大的降低。在短期与长期成本方面,ASIC防火墙购置成 本虽然要比软件防火墙高，但是考虑到企业网络未来的升级,ASIC防 火墙能够有效保护企业的现有投资，节省日常维护费用。ASIC与NP孰优孰劣目前国内市场销售的基于 ASIC技术的防火墙，已可达到全部千兆网 口的全线速包转发速率。而一般基于网络处理器的防火墙在64字节小包情况下，还不能完全做到全端口的千兆线速转发。在厂商和用户的固有观念中，网络处理器浓重的软件色彩使它成 为灵活性的代名词，在产品升级维护方面有较大的优势。而纯硬件的 ASIC防火墙则缺乏可编程性，这使

14、得它缺乏灵活性从而跟不上防火 墙功能的快速发展。而事实上，随着科技的飞速发展，现代的ASIC技 术通过增加ASIC芯片的可编程性，使其与软件更好地配合，从而同时 满足来自灵活性和运行性能的要求。从实现功能方面看,ASIC技术可以比较容易地集成IDS、VPN等功能，目前已经能实现内容过滤和 防病毒功能。而网络处理器受限于较低的计算能力，这些功能一般只 能靠协处理器来实现。从今后产品的成本来分析，一片网络处理器的价格在三四百美元左 右,如果需要协处理器，还要加上协处理器的成本。ASIC技术前期如 果使用 FPGA(Field Programmable Gate Arrays,现场可编程门阵列来实现

15、，两者价格大致相当。不过如果量产以后,ASIC的价格可 以降低一个量级。因此从长远来看,ASIC技术更有潜力。这也是 Intel和IBM等厂商相继放弃网络处理器产品的原因之一。从技术成熟度方面来看，相比ASIC这种已经被市场实践证明了的成 熟技术,网络处理器用于防火墙其实是近几年才出现的。在此之前，网络处理器在市场上的表现并不理想，一般只被用于低端路由器、交 换机等数据通信产品。究其原因，主要是网络处理器开发需要的编程 技术比预期的要更复杂和困难，而且在实际应用中的性能往往并不理 想,远低于其厂商的标称性能。这种技术应用在防火墙这样的复杂网 络设备上,究竟能否在不影响功能的前提下，达到预期的性

16、能，还有待检验国内某些网络安全产品厂商从开发难度低、开发成本低和开发周期 短等几个方面，选择了网络处理器技术，毕竟网络处理器产生的一大 原因就是降低这方面的门槛。但从实际的市场销售情况来看，这些低 成本、短时间开发出来的产品因为多数采用了从通用CPU结构移植软件的方式，不仅没有发挥出网络处理器本身的优势，还造成了系统 的不稳定和低性能，在严酷的市场竞争中处于劣势。ASIC技术成为首选通用CPU勺使用虽然已经有较长的历史了 ，但是国内安全产业使用的 CPU全部都是国外技术，没有核心研发和生产能力。而网络处理器作 为一种过渡技术已经被主流芯片生产厂商放弃，在未来的升级换代方 面基本没有可能，且基于

17、网络处理器的安全产品的性价比优势已经很 不明显,必将在将来的市场竞争中逐渐被淘汰。从目前的情况来看，主流千兆防火墙产品大部分采用的是 ASIC技术, 随着市场的发展和技术的进步，具有可编程性能的ASIC技术必将是 有实力厂商的首选，而用户也会有更加稳定、成熟、高性能的千兆防 火墙产品可以选择。链接:千兆防火墙特征高速 目前千兆防火墙一个很大的局限性是速度不够，真正达到千兆线速的 防火墙少之又少。因为防范 DoS （拒绝服务 攻击是防火墙一个很重 要的任务，千兆防火墙往往用在主干网络出口 ，如造成网络堵塞，再安 全的防火墙也无法应用。应用 ASIC是实现高速防火墙的主要方法。多功能化多功能也是防

18、火墙的发展方向之一，鉴于目前路由器和防火墙价格都 比较高,组网环境也越来越复杂，一般用户总希望防火墙可以支持更 多的功能，满足组网和节省投资的需要。例如千兆防火墙支持广域网 口并不影响安全性，但在某些情况下却可以为用户节省一台路由器， 支持部分路由器协议，可以更好地满足组网需要。而随着技术的发 展,ASIC芯片已经能固化这些常用的功能，为用户带来更好的投资保 护。安全未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火 墙会更多地参与应用层分析，为应用提供更安全的保障。在信息安全 的发展与对抗过程中，防火墙的技术一定会不断更新、日新月异，在 信息安全的防御体系中，起到堡垒的作用。ASIC技术以其系统固化 和算法固化的特点，可以组建最不容易因网络攻击而瘫痪的安全系