分布式防火墻由安全策略管理服務(wù)器[Server]以及客戶端防火墻[Client]組成，分布式的Crossbar架構(gòu)能夠很好的滿足高性能和靈活擴(kuò)展性的挑戰(zhàn)。

1、  前言

防火墻產(chǎn)品一直以來(lái)都占據(jù)著網(wǎng)絡(luò)安全產(chǎn)品中的重要位置。防火墻產(chǎn)品在經(jīng)歷了X86、NP、ASIC、多核等技術(shù)的演化過(guò)程，仍能滿足大部分用戶的需求。像前面提到的高端用戶對(duì)防火墻的要求至少要達(dá)到小包萬(wàn)兆線速轉(zhuǎn)發(fā)性能。而只是靠提高CPU主頻和CPU內(nèi)核的數(shù)量已經(jīng)無(wú)法滿足高端用戶的萬(wàn)兆級(jí)以上需求了。這就要求我們從其他方面入手來(lái)提高安全產(chǎn)品的整體處理性能。分布式處理是一個(gè)很好的選擇。在高端交換機(jī)/路由器領(lǐng)域，一般采用機(jī)架式體系架構(gòu)、插板式功能模塊、分布式處理系統(tǒng)。用戶可以根據(jù)自己的需求選擇不同的機(jī)架類型和插板模塊來(lái)搭建自己的網(wǎng)絡(luò)。

2、  分布式防火墻架構(gòu)

2．1分布式防火墻硬件架構(gòu)。

隨著網(wǎng)絡(luò)的升級(jí)和擴(kuò)容，傳統(tǒng)的盒式防火墻已經(jīng)很難滿足大容量、高性能、可擴(kuò)展的需求和挑戰(zhàn)。這就引入了機(jī)架式防火墻產(chǎn)品的設(shè)計(jì)與研發(fā)。分布式的Crossbar架構(gòu)能夠很好的滿足高性能和靈活擴(kuò)展性的挑戰(zhàn)。

分布式Crossbar架構(gòu)除了交換網(wǎng)板采用了Crossbar架構(gòu)之外，在每個(gè)業(yè)務(wù)板上也采用了Crossbar+交換芯片的架構(gòu)。在業(yè)務(wù)板上加交換芯片可以很好地解決了本地交換的問(wèn)題，而在業(yè)務(wù)板交換芯片和交換網(wǎng)板之間的Crossbar芯片解決了把業(yè)務(wù)板的業(yè)務(wù)數(shù)據(jù)信元化從而提高了交換效率，并且使得業(yè)務(wù)板的數(shù)據(jù)類型和交換網(wǎng)板的信元成為兩個(gè)平面，也就是說(shuō)可以有非常豐富的業(yè)務(wù)板，比如可以把防火墻、IPS系統(tǒng)、路由器、內(nèi)容交換、IPv6等等類型的業(yè)務(wù)整合到核心交換平臺(tái)上。同時(shí)這個(gè)Crossbar有相應(yīng)的高速接口分別連接到兩個(gè)主控板或者交換網(wǎng)板，從而大大提高了雙主控主備切換的速度。

分布式Crossbar設(shè)計(jì)中，CPU也采用了分布式設(shè)計(jì)。設(shè)備主控板上的主CPU負(fù)責(zé)整機(jī)控制調(diào)度、路由表學(xué)習(xí)和下發(fā)；業(yè)務(wù)板從CPU主要負(fù)責(zé)本地查表、業(yè)務(wù)板狀態(tài)維護(hù)、安全業(yè)務(wù)功能處理等工作。這就實(shí)現(xiàn)了分布式路由計(jì)算和分布式路由表查詢，大大緩解主控板的壓力，提高了設(shè)備的整體性能，這也是業(yè)務(wù)板本地轉(zhuǎn)發(fā)能夠提高效率的重要原因。這種分布式Crossbar、分布式業(yè)務(wù)處理的設(shè)計(jì)理念是核心網(wǎng)絡(luò)設(shè)備設(shè)計(jì)的發(fā)展方向，保證了防火墻等安全設(shè)備能夠部署到網(wǎng)絡(luò)核心位置，不會(huì)成為網(wǎng)絡(luò)的瓶頸。

上面的分布式Crossbar技術(shù)解決了高性能、可擴(kuò)展的需求，下面的主要部件備份冗余設(shè)計(jì)解決了高可靠性的需求。如圖1所示：不僅交換網(wǎng)板和控制模塊采用雙冗余設(shè)計(jì)，防火墻板、電源和接口板也采用雙冗余設(shè)計(jì)。

2．2分布式防火墻軟件架構(gòu)。

為了配合分布式硬件架構(gòu)，軟件也采用分布式設(shè)計(jì)。主控板上運(yùn)行主操作系統(tǒng)，負(fù)責(zé)整臺(tái)設(shè)備的管理配置、路由學(xué)習(xí)、配置下發(fā)等。業(yè)務(wù)板操作系統(tǒng)負(fù)責(zé)接收下發(fā)的配置，和業(yè)務(wù)處理等功能。

由于采用了分布式架構(gòu)設(shè)計(jì)，防火墻系統(tǒng)不僅在硬件上實(shí)現(xiàn)了控制平面和轉(zhuǎn)發(fā)平面的分離，而且在軟件上也實(shí)現(xiàn)了控制平面和轉(zhuǎn)發(fā)平面的分離。這樣能有效的提高系統(tǒng)的高性能和高可靠性。

2．3數(shù)據(jù)轉(zhuǎn)發(fā)流程

要想利用分布式處理技術(shù)來(lái)提高網(wǎng)絡(luò)安全產(chǎn)品的性能，我們首先要解決數(shù)據(jù)流在內(nèi)部網(wǎng)絡(luò)間轉(zhuǎn)發(fā)的問(wèn)題。在機(jī)架式體系架構(gòu)上，一般用主控板來(lái)操作整臺(tái)設(shè)備，對(duì)設(shè)備進(jìn)行管理、配置，然后把配置下發(fā)到各個(gè)子系統(tǒng)上使他們協(xié)同工作。接口板用來(lái)提供設(shè)備的接口供用戶接入網(wǎng)絡(luò)，并把數(shù)據(jù)流提交到安全業(yè)務(wù)板上。由安全業(yè)務(wù)板完成訪問(wèn)策略控制、NAT地址轉(zhuǎn)換、IPS防御、防病毒、IPSEC VPN等功能。

防火墻系統(tǒng)在處理數(shù)據(jù)包轉(zhuǎn)發(fā)業(yè)務(wù)時(shí)數(shù)據(jù)流內(nèi)部轉(zhuǎn)發(fā)過(guò)程：

1． 從接口業(yè)務(wù)板 接收的數(shù)據(jù)包重定向（保護(hù)vlan 內(nèi)的包）到安全業(yè)務(wù)板上；

2． 安全業(yè)務(wù)板1收到報(bào)文；

3． 安全引擎處理，同時(shí)進(jìn)行路由查找準(zhǔn)備向接口業(yè)務(wù)板的另一個(gè)接口轉(zhuǎn)發(fā)；

4． 向接口業(yè)務(wù)板發(fā)送數(shù)據(jù)包；

5． 數(shù)據(jù)包從接口業(yè)務(wù)板目的端口進(jìn)行發(fā)送；

通過(guò)上面的數(shù)據(jù)流內(nèi)部轉(zhuǎn)發(fā)處理，我們?cè)俑鶕?jù)VLAN或者接口把不同的數(shù)據(jù)流定向到不同的安全業(yè)務(wù)板上，就能夠從整體上提高整臺(tái)設(shè)備的安全處理能力。

我們把vlan1的數(shù)據(jù)定向到安全業(yè)務(wù)板一上，把vlan2的數(shù)據(jù)定向到安全業(yè)務(wù)板二上，把vlan10的數(shù)據(jù)定向到安全業(yè)務(wù)板十上。這樣我們就能夠獲得10倍于一塊安全業(yè)務(wù)板的處理性能。

3、  安全業(yè)務(wù)板的多核架構(gòu)設(shè)計(jì)

安全業(yè)務(wù)板采用8核心32個(gè)vCPU的專用處理器。這樣我們可以在安全業(yè)務(wù)板上也采用控制平面和轉(zhuǎn)發(fā)平面的分離，從而提高安全業(yè)務(wù)板的可靠性和轉(zhuǎn)發(fā)性能。在數(shù)據(jù)轉(zhuǎn)發(fā)系統(tǒng)上，每個(gè)vCPU都對(duì)已經(jīng)建立的連接創(chuàng)建本地連接，這樣每個(gè)vCPU在處理后續(xù)的報(bào)文時(shí)，在查找到本地連接后就可以快速轉(zhuǎn)發(fā)出去，不需要去查找全局連接表，沒(méi)有鎖競(jìng)爭(zhēng)，大大提高了轉(zhuǎn)發(fā)系統(tǒng)的性能。這項(xiàng)技術(shù)我們已經(jīng)提交一項(xiàng)國(guó)家專利申請(qǐng)。

分布式防火墻把Internet和內(nèi)部網(wǎng)絡(luò)均視為"不友好的"。它們對(duì)個(gè)人計(jì)算機(jī)進(jìn)行保護(hù)的方式如同邊界防火墻對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行保護(hù)一樣。對(duì)于Web服務(wù)器來(lái)說(shuō)，分布式防火墻進(jìn)行配置后能夠阻止一些非必要的協(xié)議，從而阻止了非法入侵的發(fā)生，同時(shí)還具有入侵檢測(cè)及防護(hù)功能。

【編輯推薦】

1. 淺析網(wǎng)絡(luò)安全技術(shù)
2. 網(wǎng)絡(luò)安全之?dāng)?shù)據(jù)泄露
3. 2011年網(wǎng)絡(luò)安全形勢(shì)將更復(fù)雜