万兆防火墙讨论

SecPathF5000-A5是H3C针对大型企业、运营商和数据中心网络的高性能安全防护需求推出的新一代防火墙设备。

它综合采用多核多线程技术及ASIC处理器构建分布式架构，将系统管理和业务处理相分离。

值得一提的是，SecPathF5000-A5在业内首次采用了先进的Crossbar无阻塞交换网技术，引入了交换矩阵交换方式处理数据业务，真正实现整机安全业务的线速处理，不仅使吞吐量达到40Gbps，实现防火墙处理性能从万兆到超万兆的跨越，更可实现高达160G的交换流量！
了解工作原理实现千兆防火墙的困难
千兆防火墙的代表产品包括Netscreen的5000系列防火墙，以及Nodia-CheckPoint的IP720以上的产品。

这种防火墙的特点是网络吞吐性能要求高<即带宽要求高），普通的硬件主板不能承受，市场出货量又少。

因此，在世界上能够实现的厂家很少，而且必须是世界级的进行市场推广的公司才能推出真正的千兆防火墙。

其他的，即使是名为千兆，实际上也只是假千兆，说穿了就是把千兆卡用到百兆防火墙的内核上，实际上达不到千兆性能。

要了解个中因由，首先要了解防火墙的工作原理。

大家都知道，防火墙的工作核心其实就是对IP包头与预定政策的匹配控制。

防火墙在工作的时侯，首先从内存读出政策链的第一条放进寄存器，然后经系统总线(pci0>，再经pci-pci桥，再经pci1
到pci网卡读取IP包的头信息，把它与寄存器中的政策进行匹配，然后决定该IP包的处理。

一来一去需要两次经过PIC总线。

如果IP 包比较大，那么这个包头信息与包的大小比较就相对小得多，这时侯系统带宽的瓶颈就是网卡的内存暂存能力，也就是我们所说的百兆网卡和千兆网卡的区别，或者称为线速的限制(wirespeed>。

但如果IP包很小，那么IP包头所占的比例就相当高，这时，瓶颈就是PCI 总线的交换能力了。

任何来往于该PCI的其他传输，都将因为总线争夺而受到限制。

在这一数据交换中，数据通过Hubink,从
ICH<I/O Controller Hub>）到MCH(Memory Controller Hub>的传输有四次，经过PCI总线的传输有两次。

因为HubLink的最大数据吞吐量是266MB，约2.2Gbps；但因为32位PCI总线以 33MHz运行，所以数据传输率被限制到1.06Gbps左右。

而且还要连接运行各种系统数据交换。

因为PCI总线的带宽限制，PCI网卡永远也不能实现真正的全双工的2Gbps带度，最高理论速度是单向1Gbps，而实际达到的不超过一半，即500M。

换句话说，对于硬件确定的系统，每秒能够处理IP包的数量是一个相对的常数。

这个常数与CPU处理能力和寄存器数目，以及系统总线的交换速度形成的整体能力密切相关。

对于使用PIII处理器和 X86服务器主板<或工控主板，32位PCI总线）的防火墙，这个
数字大致在五十万到一百万之间。

<注意不要把它和最大的会话保持这个标称参数混淆，最大会话主要与系统的可分配内存有关系）。

因此，基于Intel X86主板的防火墙的极限吞吐量在IP包大小为512比特时，大致是三百兆左右。

显然，这个吞吐能力很符合百兆防火墙的环境，也符合低流量的千兆网环境的要求。

但对于高流量的千兆网，就无能为力了，必须在硬件上整体改进才可能满足这个阶梯的升级要求。

从前文也可以看出，防火墙的吞吐量是与IP包的大小密切相关的，所以谈论吞吐量如果脱离包的大小是毫无意义的，任何防火墙都可以达到百兆线速，只不过是在包大到什么程度才能达到线速而已。

另一方面，Intel X86主板架构的服务器，即我们通常说的英特服务器，ASIC服务器<冗余指令集服务器），或PC服务器尽管不能完全满足千兆环境的防火墙吞吐要求，但一般的千兆环境还是可以应付的。

因为以太网中的设备不止防火墙一个，还有交换机、路由器等等，这些产品全部都可以形成瓶颈，因此，一个局域网段的极限流量不是它的线速，而大约是线速的25%以下。

即千兆约250兆，百兆约25兆。

考虑到目前国内一般千兆网的实际流量都不高<很少超过十兆的），所以这种基础的防火墙还是可以承担一般千兆网的流量要求的。

但如果千兆干网达到100兆以上流量，几个千兆口累加的吞吐量就超过了这种防火墙的内部极限，这种防火墙就会大量丢包，成为网络系统的瓶颈了。

因此，要克服这个瓶颈，就只有一个办法，提高系统每秒能够匹配的IP包的能力。

其中的关键是扩宽PCI总线的交换速度，反而CPU速度并不是系统的瓶颈，相对而言，今天的CPU能力大得惊人，处理防火墙过滤如同牛刀杀鸡，所以大量防火墙把多余的处理能力用到VPN的强密解密处理上。

而PCI速度实际上从问世到今天，也已经从33M提升到133M，只是与CPU的摩尔速度相比，显得慢得多了，偏偏一个桶能装的水是以最短的桶条来衡量的。

到今天，要解决硬件瓶颈，已经形成了几种相对可行的方案。

一种就是使用专门设计的多总线服务器。

如Nokia IP740虽然也是X86，但内置三条PCI总线，这样就可以提高防火墙的极限吞吐量，满足一般的千兆环境。

第二种是使用专门的处理插卡，换方之，就是把千兆的网卡和专门的过滤处理器做到一起，形成新的千兆网卡，大部分工作无需再经PCI总线到CPU才返回，直接在
PCI1就交换完毕了。

这是 CheckPoint曾经使用的方法。

第三种方法与第二种相似，所不同的不是使用专门的PCI集成网卡，而是使用一个前置在Pci1总线上的单片机，直接处理防火墙的过滤转发要求。

这样同样可以克服总线限制。

使用这种方法的就是著名的netscreen公司的ASIC处理器。

最后一种办法目前仍没有确定可行。

就是使用英特的NP处理器。

它的缺点是把整个防火墙变成了一个过滤器。

可是防火墙虽然主要工作是过滤转发，但并不是过滤
转发就是防火墙，其他功能也是很重要的。

否则就与路由器没有什么区别了。

另一个简单的办法就是使用RISC-SCSI的架构，也即通常所说的高档UNIX主机，因为使用64位总线，也是可以克服32位PCI总线形成的瓶颈；这也几乎是普通防火墙厂商满足千兆要求的唯一办法了，就是把防火墙软件装到UNIX主机上面，成本可想而知。

无论是那一种方式，无不与一定量的市场需求密切相关。

设计定制专门的硬件成本很高，动辄以千万美元计算，任何公司都不可能为区区一百几十台的出货量去搞什么专门的硬件。

而且，千兆防火墙需求量只是百兆防火墙的几十分之一<只有败家子式的蠢才才会清一色用千兆防火墙），这就决定了即使是年出货量上千台的防火墙生产商也不能承受定制专门的千兆级硬件的成本。

要知道，即使是尽得中国官方采购天时的天融信也远达不到这个出货水平。

所以，世界上除非是在全世界范围内成功销售自已产品的公司，否则，推出真正的千兆防火墙是非常困难的。

除非出现64位的PCI总线，否则百兆和千兆就是一个难以超越的等级；反之，一旦64位总线成为主流，那时千兆就象今天的百兆和十兆一样，很容易就成为一个可以自动适应的网络带宽等级。

到那时，瓶颈制约的就是万兆了。

不过说老实话，除非是实时看高清晰度电影和电视转播，否则我的想像力根本想不出拿着万兆到底干什么好。

目前英特正在研发新一代的网络系统总线CSA，<传输流架构），这一接口的投入，将为LOM<LAN on Motherborad）打下基础。

介时，国产千兆防火墙产品就可以无需特别定制的硬件而扬帆四海了。

随着网络传输速度的快速提高，用户对安全产品的性能要求也不断提高，防火墙正面临着向更高处理性能——OC-48乃至OC-192发展的挑战。

因此，硬件防火墙正在受到人们的普遍重视。

如何做出令用户满意的硬件防火墙产品，是当前网络安全领域的热点和难点问题之一。

市场发展呼唤万兆NP技术
虽说NP技术为信息安全产业发展提供了一个更便捷、高效的开发平台，但当今成熟NP芯片的处理能力也仅仅是在20Mbps—4Gbps 之间，即使使用IBM NP3G4S这样的高端NP芯片构成的系统，也不能完全满足高端用户6Gbps—10Gbps<即万兆）数据流量的需求。

因此，如何让多颗NP芯片协同进行访问控制工作，从而提升防火墙的处理能力，已成为近一年多来，希望在网络安全领域大展拳脚的信息安全厂商们孜孜以求的奋斗目标。

如果能够解决多NP协同处理技术的难题，将使得防火墙的处理性能成倍提高，从而满足包括电信骨干网在内的最高端用户的数据流量需求。

如何使用多NP技术实现万兆防火墙
万兆防火墙硬件由三部分组成：业务板、控制板以及高速交换背板。

业务板负责数据包的安全性检查以及转发功能，每块业务板上有一块网络处理器，可以处理4Gbps的数据包；控制板负责策略管理和类似动态路由协议等控制功能；业务板和控制板的通信、业务板之间的数据交换都是通过高速交换背板完成，交换背板的带宽在Tbps数量级，这样可以保证业务流处理的顺畅性。

一旦防火墙收到数据包后，就会对数据包进行缓存，同时读取包头信息，传送到处理器。

数据包处理器是由多个RSIC结构的CPU组成，每个CPU又分成几个硬件线程，每个线程都有独立的处理和访问空间，这样，可以保证数据包的并行高效处理。

在分析、处理数据包头过程中，还引入了很多的硬件加速机制，类似于很多的IP 核，这些固定的IP核在防火墙的功能实现中，可以达到这样的功效——避免例如状态表、规则表处理的瓶颈，保证防火墙的线速转发功能。

当一个数据包从一个网络接口流入防火墙后，根据该网络接口的配置再进行防火墙上行功能处理。

上行处理功能主要包括VLAN功能、安全认证功能、状态检测功能、转发功能以及流量控制功能。

数据包在上行接口卡上处理完数据后，如果还需要转发，则通过交换背板送到对应的出接口上处理。

出接口可以和入接口处在不同的接口板上。

数据包通过背板送到下行板卡后，需要做的主要工作就是把数据包重组，然后转发出去。

联想网御率先推出多NP万兆防火墙
联想网御经过1年半的艰苦探索，彻底解决了背板交换条件下的多NP高速通信、多NP微码协同、多NP状态同步等技术难题，率先推出了64Bytes小数据包处理能力可达7Gbps、512Bytes以上数据包处理能力达到万兆级的超性能防火墙。

这款命名为“网御Super V-9000系列”的超级防火墙，集成了NP技术和ASIC技术的优点，采用背板交换方式的模块化结构，可以根据最终用户的个性化需求，灵活配置多块NP防火墙主板，并可以组合配置线速千兆防火墙的接口模块、线速千兆VPN模块、线速百兆阵列接口模块。

在软件设计方面，它不但支持硬件平台“按需配置”，而且在功能上做了大量的优化和完善。

网御Super V-9000系列还将全面支持OSPF、RIP、BGP等动态路由协议，支持精确化的带宽管理和最小时延管理，支持基于H.323的网守呼叫等多项新功能。

千兆防火墙架构之争
防火墙的硬件体系架构之争不论是出现多种技术并存互动的局面,还是出现一种技术成为主流而替代另一种技术的局面,都是市场规律和用户实际需求选择的结果。

经过多年的发展,国内市场上的防火墙产品经历了从软件防火墙到硬件防火墙的体系变化,目前国内用户普遍能接受的也正是硬件防火墙。

但随着防火墙产品同质化现象的日益明显,厂商和用户都把注意力转移到了产品的技术架构体系上,尤其是近年愈演愈烈的硬件架构
之争。

这也给用户选择防火墙产品带来了很多困惑。

防火墙产品的硬件体系架构变革之争是随着近年千兆网络开始在国内大规模推广应用而升温的。

在目前的多数网络环境中,传统的IA 体系结构已不能满足千兆防火墙高吞吐量、低时延的要求。

因此专用集成电路(ASIC>和网络处理器(NetworkProcessor,即NP>技术成为众多国内厂商实现千兆防火墙的主要选择。

不过,对于用户来说,ASIC、NP,以及以IA为代表的通用处理器,哪种技术更适合千兆防火墙的应用?对于这一问题的解答,用户可以从性能、灵活性、功能完备性、成本、开发难度、技术成熟性等方面来进行比较。

从性能上来看,因为基于网络处理器的防火墙在本质上是基于软件的解决方案,它在很大的程度上依赖于软件设计的性能,而ASIC因为是将算法固化在硬件中,因而在性能上有比较明显的优势。

可以说,防火墙的硬件体系架构之争不论是出现多种技术并存互动的局面,还是出现一种技术成为主流而替代另一种技术的局面,都是市场规律和用户实际需求选择的结果,只有在激烈变革中生存下来的技术才是市场和用户真正需要的技术。

ASIC与通用CPU架构比较
ASIC全称为Application Specific Integrated Circuit,意思是专用集成电路,是一种带有逻辑处理的加速处理器。

简单地说,ASIC就
是利用硬件的逻辑电路实现预先设计的功能。

网络产品采用ASIC技术,其目的在于把一些原先由CPU完成的经常性和反复性工作交给专门硬件来负责完成,从而在性能上实现突破性的提高。

ASIC技术目前已广泛应用于交换机、路由器、防火墙以及智能型IC卡身份证等领域。

CPU芯片与ASIC芯片各有优缺点。

CPU芯片最大的优点是灵活性高,它利用指令集和软件完成各种各样的工作,但是CPU的实际处理能力往往受主机和通用操作系统规格的限制。

ASIC则是以单一功能的集成电路来完成进程处理,具有高可靠性和强大的处理能力,属于“专用硬件”范畴。

随着网络建设复杂性的增加,以及宽带网络的迅速发展与普及,人们发现目前多数防火墙在速度、功能、稳定性方面仍不尽如人意,这都成为促进ASIC硬件防火墙发展的动力。

ASIC硬件防火墙采用ASIC 芯片和多总线、并行处理方式,使原先需要上千甚至上万条指令才能完成的过程,在瞬间由数个特殊硬件单元顺利完成,多总线结构保证在端口上有数据传送时防火墙内部仍然可以同时进行高效数据处理,不再受传统硬件结构的“中断”限制。

ASIC硬件防火墙采用专用操作系统,具有很高的安全性。

事实
上,ASIC防火墙中也设计有通用CPU单元,但这并不妨碍独立工作的ASIC具有超高速处理能力。

这是因为此类防火墙的操作系统和CPU 只起到ASIC硬件驱动和提供管理接口作用,只负责总体协调却不参与任何防火墙的基本处理。

在ASIC芯片全力投入数据处理的时
候,CPU仍然处于优先级很低的工作状态,而不会影响到对设备管理的响应速度。

所以ASIC硬件防火墙可以全面发挥自身的速度和处理能力,不受会话数量的影响。

通用CPU结构的防火墙和ASIC结构的防火墙工作方式各不相同。

通用CPU结构的防火墙如果利用其高主频的优势去完成某一项任务时(如单策略、单会话状态下的地址转换>,也可以达到或接近ASIC防火墙的处理能力,但是在典型的宽带应用环境中,数万甚至数十万的并发连接不仅对通用CPU结构的防火墙带来更多的中断,而且使它的处理能力急剧下降。

ASIC结构则不存在这个问题,会话数的多少对处理能力几乎没有影响。

在加密、解密能力方面,PC结构的防火墙需要借助昂贵的硬件加密卡才能达到一定处理速度。

而ASIC芯片集成了防火墙基本操作,即便在运行高强度加、解密的情况下处理速度也不会有太大的降低。

在短期与长期成本方面,ASIC防火墙购置成本虽然要比软件防火墙高,但是考虑到企业网络未来的升级,ASIC防火墙能够有效保护企业的现有投资,节省日常维护费用。

ASIC与NP孰优孰劣
目前国内市场销售的基于ASIC技术的防火墙,已可达到全部千兆网口的全线速包转发速率。

而一般基于网络处理器的防火墙在64字节小包情况下,还不能完全做到全端口的千兆线速转发。

在厂商和用户的固有观念中,网络处理器浓重的软件色彩使它成为灵活性的代名词,在产品升级维护方面有较大的优势。

而纯硬件的ASIC防火墙则缺乏可编程性,这使得它缺乏灵活性从而跟不上防火墙功能的快速发展。

而事实上,随着科技的飞速发展,现代的ASIC技术通过增加ASIC芯片的可编程性,使其与软件更好地配合,从而同时满足来自灵活性和运行性能的要求。

从实现功能方面看,ASIC技术可以比较容易地集成IDS、VPN等功能,目前已经能实现内容过滤和防病毒功能。

而网络处理器受限于较低的计算能力,这些功能一般只能靠协处理器来实现。

从今后产品的成本来分析,一片网络处理器的价格在三四百美元左右,如果需要协处理器,还要加上协处理器的成本。

ASIC技术前期如果使用FPGA(Field Programmable Gate Arrays,现场可编程门阵列>来实现,两者价格大致相当。

不过如果量产以后,ASIC的价格可以降低一个量级。

因此从长远来看,ASIC技术更有潜力。

这也是Intel和IBM等厂商相继放弃网络处理器产品的原因之一。

从技术成熟度方面来看,相比ASIC这种已经被市场实践证明了的成熟技术,网络处理器用于防火墙其实是近几年才出现的。

在此之前,网络处理器在市场上的表现并不理想,一般只被用于低端路由器、交换机等数据通信产品。

究其原因,主要是网络处理器开发需要的编程技术比预期的要更复杂和困难,而且在实际应用中的性能往往并不理想,远低于其厂商的标称性能。

这种技术应用在防火墙这样的复杂网络设备上,究竟能否在不影响功能的前提下,达到预期的性能,还有待
国内某些网络安全产品厂商从开发难度低、开发成本低和开发周期短等几个方面,选择了网络处理器技术,毕竟网络处理器产生的一大原因就是降低这方面的门槛。

但从实际的市场销售情况来看,这些低成本、短时间开发出来的产品因为多数采用了从通用CPU结构移植软件的方式,不仅没有发挥出网络处理器本身的优势,还造成了系统的不稳定和低性能,在严酷的市场竞争中处于劣势。

ASIC技术成为首选
通用CPU的使用虽然已经有较长的历史了,但是国内安全产业使用的CPU全部都是国外技术,没有核心研发和生产能力。

而网络处理器作为一种过渡技术已经被主流芯片生产厂商放弃,在未来的升级换代方面基本没有可能,且基于网络处理器的安全产品的性价比优势已经很不明显,必将在将来的市场竞争中逐渐被淘汰。

从目前的情况来看,主流千兆防火墙产品大部分采用的是ASIC技术,随着市场的发展和技术的进步,具有可编程性能的ASIC技术必将是有实力厂商的首选,而用户也会有更加稳定、成熟、高性能的千兆防火墙产品可以选择。

链接:千兆防火墙特征
目前千兆防火墙一个很大的局限性是速度不够,真正达到千兆线速的防火墙少之又少。

因为防范DoS (拒绝服务>攻击是防火墙一个很重要的任务,千兆防火墙往往用在主干网络出口,如造成网络堵塞,再安全的防火墙也无法应用。

应用ASIC是实现高速防火墙的主要方法。

多功能化
多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。

例如千兆防火墙支持广域网口并不影响安全性,但在某些情况下却可以为用户节省一台路由器,支持部分路由器协议,可以更好地满足组网需要。

而随着技术的发展,ASIC芯片已经能固化这些常用的功能,为用户带来更好的投资保护。

安全
未来防火墙的操作系统会更安全。

随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。

在信息安全的发展与对抗过程中,防火墙的技术一定会不断更新、日新月异,在信息安全的防御体系中,起到堡垒的作用。

ASIC技术以其系统固化和算法固化的特点,可以组建最不容易因网络攻击而瘫痪的安全系统。