【赛迪网讯】人物介绍：聂伟国，任职于上海市外高桥保税区网络发展有限公司，任公司副总经理。主管技术工作，负责领导网络安全产品的研究、开发和客户服务工作。

一．现状分析

90年代由于网络通信量模式（traffic pattern）的改变，传统路由器逐渐成为网络性能的瓶颈。目前网络设计中广泛采用交换技术，以避免在网络的关键区域采用路由技术。但路由器又不能不用，因此网络设计十分复杂。如今，由于对性能的担忧，使得防火墙在今天的网络设计中处于与路由器类似的尴尬处境。

对于业务网，安全性是不可或缺的。设置安全功能最合理的位置，即内部网络通向外部网络的“前门”，却是用户最不愿意增加性能瓶颈的地方。在高速宽带网络环境中，低性能的防火墙成了网络中的瓶颈，影响整个网络的性能和扩展。如何保证安全和性能成为防火墙引擎设计的关键因素。由于目前国内市场上流行的硬件防火墙产品，其平台基本上采用通用PC或工业PC架构，在提高性能方面所能做的工作仅仅是提升系统CPU的处理能力，增大内存容量。随着网络速度的飞速发展，这种技术无法达到千兆或万兆网络的系统要求。我们必须寻找一种全新的技术去实现真正的线速千兆位防火墙。

所谓真正的线速防火墙，意味着在任何环境下都不存在瓶颈，甚至在最大数据流、全双工、64帧长环境下，并且使用1千条或更多的策略时也可以连续运行，不会丢弃一个数据包，真正做到不影响网络性能。

二．通用网络处理器（Network Processor）

工业PC采用通用CPU，由于定位不同，它不能很好地适应网络设备的要求。大家只要看PC机图形卡的发展历史就可了解到这种限制。

为了缓解性能瓶颈，实现真正的线速千兆位防火墙，最近几年涌现出了许多新的系统和解决方案。一种方式就是采用专用ASIC。例如netscreen-500产品使用了NetScreen的 GigaScreen security ASIC，从而使防火墙的性能可以达到700Mbps，Check Point与Nokia联合，将其 Firewall-1软件用于Nokia的IP Security Platform上。但是专用ASIC的开发周期太长，复杂的ASIC要耗时18个月到2年时间，无法灵活地适应当今越来越短的产品更新周期。另外安全标准尚处在不断的变化之中，因此ASIC设备必须可编程或者足够“软”。

网络处理器作为一种可编程器件，它具有高性能，高灵活性以及高可靠性的特点，它已经成为新一代网络设备的核心处理器，是未来网络设备的发展趋势。网络处理器以其杰出的包处理性能及可编程性成为构筑转发引擎不可替代的核心。与传统的处理器相比，网络处理器具有以下的优势：

a)网络处理器可以提供数据包的线速转发功能，包括数据包的分类、统计和转发。另外还可以根据用户程序的要求进行数据包的重组和分拆；

b)网络处理器可以根据用户需要进行带宽的分配和优先级定义，实现对各类用户数据包的分类管理；

c)实现对三层及三层以上协议的分析、过滤。

总的来说，网络处理器一方面保持了基于CPU设计的灵活性，另一方面消除了传统CPU的瓶颈问题。在采用网络处理器的条件下，可以构建一种速度可与专用ASIC相媲美的完全可编程的架构。另外，使用NPU，软硬件都易于升级，软件可以支持新的标准和协议，硬件支持更高的网络速度，从而使产品的生命周期更长，企业的投资得到保护。

三．华堂千兆防火墙解决方案 — HTNG-Firewall

华堂网络安全防御系统采用状态检测技术，综合了包过滤和应用代理的优势。它是一种动态的安全技术，覆盖网络的所有层次，可以支持多种协议和应用程序，并可以很容易地实现应用的扩充。它又是主动的安全技术，在安全规则的基础上执行严格的RFC检查，可以发现并防御未知的攻击。同时它也是高效的技术，可以有效的利用索引提升系统在百条、千条甚至更多安全策略时的性能

华堂现有的防火墙产品就是采用这种技术。在保证高安全性的前提下，为了获得更高的性能，突破防火墙成为网络瓶颈的这一尴尬处境，华堂提出了基于网络处理器的防火墙的解决方案 —— HTNG-Firewall。

1．硬件框架

HTNG-Firewall是一个完整的软硬件防火墙解决方案。我们采用了目前使用最广泛的Intel?IXP系列网络处理器，同时配合Solidum公司专门进行包分类管理的协处理器PAX.port。

系统由一个宿主CPU和两个Intel? IXP网络处理器以及一个协处理器协同工作。主IXP从硬件接口接收数据包，与协处理器一起进行处理后将包送给ARM或SFC。从IXP从SFC接收数据包，进行用户属性表控制、MAC封装等处理后发给硬件接口。

2．软件框架

软件方面，我们采用Intel提出的IXA ACE软件架构，根据网络处理应用的特点，将HTNG-Firewall软件构架分成了三个逻辑层面。

数据层面：主要进行高速处理和转发包。由MicroEngin和Solidum协处理器完成；

控制层面：负责建立、配置和更新表以及数据集合，数据层面在进行查找时需要用到这些表和数据集合。由IXP网络处理器的StrongARM Core处理；

管理层面：根据用户的输入或来自其他应用的信息，负责系统配置，收集和汇报统计结果，停止和开始应用。管理层面执行了一个GUI以显示和得到来自用户的消息。由Host CPU/网络主机实现；

通讯模块：共享内存/网络通讯

3．设计概述

HTNG-Firewall核心包括状态检测、NAT、认证、QoS、VLAN等。为了完成这些功能，Intel? IXP网络处理器和协处理器协同工作，在满足网络安全的条件下获得良好的性能。

过滤模块是防御系统的核心，HTNG-Firewall的过滤模块由核心过滤和多维状态检测两大部分组成，而多维状态检测又可分为智能状态检测、地址绑定和用户认证等几部分，这几个方面结合构成一个完整的过滤整体。其中，智能状态检测是确保系统安全的关键，同时由于状态表经常需要动态更新，又成为影响性能的重要因素，因此智能状态检测成为设计中的一个难点。在这里我们主要介绍它的实现方法。

智能状态检测，是通过状态检测虚拟机实现对协议的智能控制。状态检测虚拟机的工作原理是“根据目前的状态和安全策略，作出对数据包的处理决定，并进行状态更新”。状态检测虚拟机维护一个动态的状态表，记录协议的相关通信信息，并严格按照RFC的规定进行状态变迁的检查，这样可以有效的检测出状态的非正常变迁，及时报警和过滤，实现主动安全防护。为了提高智能状态检测的性能，必须首先解决查找和更新的性能瓶颈。

传统方式下，基于软件的查找策略，如树或哈希算法，其执行过程都是相当慢的，而且与表的大小相关联。只能适用于比较小的、性能较低的包转发应用。

而采用哈希算法和树相结合的方法虽然可以减少每次搜索对寄存器的访问次数，但是数据结构的高度优化和压缩使得状态表的更新需要花费更多的寄存器访问和处理器周期。当状态表增大时，这个值还会增加。在状态表更新时，输入的数据包必须被缓存或丢弃，降低了系统的性能。

因此，为了适应高性能网络的要求，理想的包处理方案必须既能快速查找以保证线速的数据转发，又能够以很小的更新时延来动态地更新状态表。要解决这个问题，目前看来最为有效的办法是采用专门的协处理器结合内容寻址寄存器CAM来完成。。HTNG-Firewall就采用了PAX.port1200这一专用协处理器进行快速状态查找和更新。

HTNG-Firewall由ARM建立和删除这样一个动态的状态表，其中记录了所有协议的相关通信信息。它包括的信息有源IP地址，源端口号，目标IP地址，目标端口号，协议号，序列号，状态，NAT，认证以及超时等。所有的网络通信在系统内部都有一条记录，对于每一个进来的数据包，首先利用协处理器查找状态表，实现硬件级的快速搜索，迅速定位，然后对状态表进行更新，高速过滤，处理后的数据包进入转发。这种技术保证了网络处理器微引擎能够快速处理和转发包，从而确保了系统性能不受这种动态更新的影响。

4．HTNG-Firewall 的优势

网络处理器和特殊协处理器的使用，使HTNG-Firewall具有快速过滤引擎，独立的数据和控制层面优化了系统的性能。

状态包检测要求产生许多相关的通信信息以提升系统安全性，HTNG-Firewall利用协处理器进行包分类，使用硬件查找，通过减少查找时间有效的加快了数据处理的速度。

ACE的软件架构，使得HTNG-Firewall在Intel的新一代网络处理器上的移植更加方便，可以迅速开发出更高性能的产品，减少开发周期和费用。

利用网络处理器不仅能实现真正的线速千兆位防火墙，而且随着网络处理器的升级换代，每块芯片上微引擎数量和时钟速度的提高，在不久的将来也能实现线速万兆位防火墙。

四．总结

总之，软硬结合的防火墙技术是继最初的全软件到现在的全硬件(FPGA 、ASIC)之后技术发展的必然，作为实现软硬结合载体的网络处理器，是今后高性能防火墙的一个必然发展趋势。以使用网络处理器为特征的新一代防火墙的出现和应用，代表了防火墙技术发展的最新方向，华堂将继续跟踪和深入研究，不断为大家带了新的技术和产品。

（责任编辑：yliang）


“首届同方杯中国信息化知识大赛暨中国信息化优秀解决方案评选”活动相关报道：
信息化知识大赛高手云集!
信息化方案评选厂商共聚!
“首届同方杯中国信息化知识大赛暨优秀解决方案评选”火热进行中！