| 出版日期:2003-11-24 总期号:1269 本年期号:88 |
|
 |
走出千兆防火墙的误区
汪辉 2003年,国内厂商纷纷推出基于NP或ASIC架构的千兆防火墙系统。而用户面对大量“线速千兆”、“自主研发”、“纯硬件”、“NP”、“ASIC”等字眼,存在极大的困惑。是否国内大部分厂商都拥有自主研发基于NP或设计ASIC芯片的能力?是否采用了NP或ASIC架构就一定带来高性能?什么样的才可以被叫作线速千兆防火墙系统,衡量标准是什么? 千兆防火墙的硬件实现技术主要有三种:Intel X86架构工控机、ASIC硬件加速技术和NP加速技术。 Intel X86架构曾经以其高灵活性和扩展性,在百兆防火墙上获得过巨大的成功。然而对于千兆网来说,X86架构的CPU由于考虑了各种应用的需要,具有一般化的通用体系结构和指令集,以求支持复杂的运算并容易开发新的功能,所以其处理速度相对较慢,很难满足千兆网络对于高线速的需求。 ASIC通过把指令或计算逻辑固化到硬件中,可以获得很高的处理能力。但是ASIC将指令或计算逻辑固化到了硬件中,缺乏灵活性,也不便于修改和升级;深层次包分析(L4+)增加ASIC的复杂度;ASIC的开发周期长,典型设计周期18个月;ASIC设计费用昂贵且风险较大。 NP(网络处理器)采用微码编程,是专门为进行网络分组处理而开发的,具有优化的体系结构和指令集,所以比X86 CPU具备更高的处理性能。而且NP有专门的指令集和配套的软件开发系统,具有很强的编程能力,能够方便地开发各种应用,支持可扩展的服务,因而比ASIC更具灵活性。 误区一: 单凭并发连接数考察千兆线速 性能对于千兆防火墙而言是很重要的一个指标。但是大量厂商均号称自己的千兆防火墙为“千兆线速”,用户很难从本质上了解千兆防火墙的性能指标,仅仅通过并发连接数等指标考察产品性能,这其实是一个很大的误区。 吞吐量测试数据、丢包率测试数据和延迟测试数据才是衡量一个千兆防火墙的性能指标参数。吞吐量指标根据RFC的定义:网络设备在不丢失任何一个帧的情况下的最大转发速率,即吞吐量=∑端口速率×2(全双工),以太网吞吐量最大理论值称为线速,即指网络设备有足够的能力以全速处理最小的数据封包转发。因此一个千兆防火墙系统要达到千兆线速,必须在全速处理最小的数据封包(64字节)转发时可达到100%吞吐率。 然而根据CCID评测在2002年和2003年对国内外千兆防火墙的评测数据:还没有一款千兆防火墙在64字节帧长时可以达到100%的吞吐率(最好的测试数据仅为72.58%)。因此号称“千兆线速”的防火墙也仅仅是在帧长在128字节以上时可能达到100%。根据RFC定义,这样的设备并不能成为线速。 因此用户在选购千兆防火墙设备时,不要被厂商的市场宣传字眼迷惑,考虑性能时必须从吞吐量、延迟、丢包率等数据确定产品的性能。 误区二: NP、ASIC架构性能一定好 一些网络安全厂商在市场宣传上大幅度强调采用了NP或ASIC架构。然而对于用户而言,采用何种结构并不是关键点。如果采用NP架构设计的千兆防火墙在性能上同Intel X86架构的千兆防火墙一样,那么对于用户而言就没有任何价值。 无论采用哪种结构(Intel X86、NP、ASIC),只是在性能上面带来不同的影响,但并不是说采用了NP或者ASIC设计的千兆防火墙在性能上就一定优越于通用CPU结构的千兆防火墙。就拿NP架构的千兆防火墙而言,必须在微码的优化、中间判断环节的减少、策略决策模块同执行模块的分离上面进行技术优化,这样设计出来的千兆防火墙在性能上才能很大程度上优于通用CPU架构的防火墙系统。 清华紫光比威自主研发的双NP架构千兆防火墙系统,通过两片网络处理器协同工作,使性能在64字节时吞吐率可达80%左右。 UF12000系统提供三级处理结构,其中MicroEngine和StrongARM位于NP上,Pentium作为整个系统的主控CPU。UF12000对数据流的处理主要有两个通道:NP完成高速通道的处理,Pentium完成数据包的深入分析和处理。 进入UF12000的数据包首先由微引擎根据Pentium生成的状态连接表进行处理,如果在状态连接表中存在同类型数据包记录,那么数据包将不需要上传给Pentium而是直接由微引擎直接高速转发,对于没有同类型记录的数据包交给Pentium处理,由Pentium转发并生成相应状态连接表,同时将处理结果通知微引擎,这样微引擎可以根据Pentium的处理结果对随后的数据包进行高速处理。 同时,清华紫光比威还在如下方面进行结构优化,提升吞吐率,包括决策和执行分开、减少中间判断环节、将防火墙的数据平面的功能放在NP上完成(将数据通道分为:高速通道和低速通道、高速通道直接由NP完成、低速通道需要Pentium的参入,完成对数据包的深入分析)、将防火墙的控制平面和管理平面的功能放在Pentium上完成。 因此,对于用户选购千兆防火墙而言,无论防火墙采用何种方式实现,吞吐量、延迟、丢包率仍然是判断一个防火墙性能的主要依据。 千兆防火墙衡量标准 对于一个千兆防火墙系统,用户需要在如下方面衡量其差别: 1. 千兆防火墙主要功能(过滤、内容检查、转发、NAT等); 2. 千兆防火墙不只是提供千兆接口,而是能够提供千兆流量带宽的防火墙(线速转发、过滤和NAT处理; 线速处理每个包的时间要求很短,千兆以太约600ns); 3. 支持VLAN,连接数500,000以上(规则数至少50,000以上); 4. 系统冗余,千兆防火墙必须提供多方位的冗余设计,比如链路冗余、电源冗余、日志存储介质冗余和风扇冗余等; 5. 提供虚拟防火墙功能,满足目前功能的要求以及将来可扩充性的需要; 如果提供虚拟防火墙功能的千兆防火墙可以同VLAN支持完美结合,比如清华紫光比威千兆双NP防火墙UF12000提供虚拟防火墙功能VF(Virtual Firewall),一台UF12000最大可虚拟成500台防火墙系统,每一台虚拟系统可单独配置策略、账户信息和日志审计。 每个VF都有独立的管理界面,在标准的浏览器界面中输入UF12000的IP地址,VF的登录界面会自动出现。同时配置所有的VF,需要通过专用的配置网络接口(浏览器)或者串口(命令行)来进行。虚拟防火墙可以被配置成透明模式或者地址翻译模式(NAT/PAT)。根据虚拟防火墙的配置,来自不可信网络的流量会直接流到具有相应的目标IP地址或者VLAN号的防火墙上。从受保护网络到不可信任网络的流量,基于相应的源IP地址或VLAN Tag值,也会通过适当的虚拟防火墙才能传输。 
双NP架构图 
虚拟防火墙(VF)实例图 清华紫光比威双NP 千兆防火墙主要指标 内外口均采用千兆GBIC光口和千兆电口链路冗余设计; 1,000,000并发连接数,最大65,535策略数,每秒可新建30,000连接数,无用户数限制; 最小64字节下双向吞吐率可达80%左右; 提供接口链路冗余备份、风扇冗余、日志配置存储冗余、电源冗余和系统HA; 最大可虚拟成500台防火墙系统(VF功能); 提供正向和反向NAT池,ARP代理、PAT等功能; 内置入侵检测系统,可检测2000多种网络入侵方式; 系统可有效抵御多种DoS、DDoS攻击方式。 |
||||||||||||||||||||||||||||
