透析分布式防火墙架构
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
相 应 的 高 速 接 口分 别 连 接 到 两 个 主 控 板 或 者 交 换 网 板 , 从
架构、 板式功能模 块 、 布式处理 系统 , 插 分 用户可 以根据 自
己的需 求选 择 不 同 的 机 架 类 型 和 插 板 模 块 来 搭 建 自己 的 网
而大 大提 高了双主控 主备切 换的速度 。
位置。防火墙产 品在 经历 了 X8 、 、 I 多核等技术 6 NP AS C、 的演化过程 , 仍能 满足大部分 用户 的需 求。高端用 户对 防
火墙的要求 至少要达到 小包万兆 线速转发性 能 , 只是靠 而
地 交 换 的 问题 , 而在 业 务板 交 换芯 片 和交 换 网板 之 间的 C o sa 芯 片解 决了 把业务 板的业 务数据 信元 化从 而提 rsb r
随着 网络 的升级 和扩容 , 传统 的盒式 防火 墙 已经很难
满 足 大容 量 、 性 能 、 扩展 的 需 求 和 挑 战 。这 就 引 入 了机 高 可
架 式 防火 墙产 品的设计 与研发 。分 布 式的 C os a r sb r架构
能够 很 好 地 满 足 高 性 能 和灵 活 扩展 性 的挑 战 。 分 布 式 C osa rsb r架 构 除 了 交 换 网 板 采 用 了 C osa rsb r 架 构 之 外 , 每 个 业 务 板 上 也 采 用 了 C os a + 交 换 芯 在 rsb r 片 的 架 构 。 在 业 务 板 上 加 交 换 芯 片 可 以很 好 地 解 决 了 本
备 的整体性 能, 这也是业务 板本地 转发能够提高效率 的重
要 原 因 。这 种 分 布 式 C o a 、 布 式 业 务 处 理 的设 计 理 rwb r分 念 是 核 心 网络 设 备 设 计 的 发 展 方 向 , 证 了 防 火 墙 等 安 全 保
设备能够部署到 网络核心位置 , 不会成为 网络的瓶颈。
高了交换效率 , 并且 使 得 业 务 板 的 数 据 类 型 和 交 换 网 板 的
提 高 C U 主 频和 C U 内核 数量 已经无法 满足高 端用 P P
户 的万 兆级 以上 需 求 了 。 这 就 要 求 我 们 从 其 他 方 面 人 手 来
信元成为 两个 平面 , 也就是说可 以有非常 丰富的业务 板, 比
,
+
-
,
●
1 前 言 .
络。
随着网络规模不断扩大 、 各种应用业务 日益增 多 , 特别 是政府 、 电信 、 金融、 电力等 关键行业 的数据 中心、 电信 网络 等的数据流量巨大 , 技术含量不 断提 高, 都要求有一个高可 靠性、 高质量和高安全性 的网络 来承 载, 支撑 由此带来 的网 络流量 、 管理控制 、 交换 传输的复 杂变 化对 网络的新要 求 , 并保证网络以及信息系统的安全。为 了满足上述信息 系统
解 决 之 道 ・ o u in S l to
透析分布式 防火墙架构
王 震
( 京 天 融 信科 技 有 限 公 司 北 京 1 0 8 ) 北 0 0 5
【 摘要】为 了满足电信级防火墙 的高性 能、 高可靠性 、 高扩展性需求 , 以北京天融信公司 的防火墙 为基础就分布 式防火墙系
统 做 了 一些 架构 上 的探 讨 。硬 件上 采 用分 布 式 c sbr 多 核 技 术 , 件 上 采 用 控 制 系 统 和 转 发 系 统分 离 技 术 。 r sa 加 o 软
安 全 需 求 , 统 的 防火 墙 已经 显 得 力 不从 心 了 , 就 对 防火 传 这 墙 系 统 的 架 构提 出 了 新 的挑 战 。 防 火墙 产 品 一 直 以来 都 占据 着 网 络 安 全 产 品 中的 重 要
2 .分 布 式 防 火 墙 架 构
2 .1分布式防火墙硬件架构
分 布 式 C os a r s r设计 中 , P 也 采 用 了分 布 式 设 计 。 b C U 信 息 安 全 与 技 术 ・ 0 O0 1 7・ 21. 9・ 1
S lto o u i n・解 决之 道
设备主控 板上 的主 C U 负责整机控 制调度 由表学习 P 路 和下发, 业务板从 C U 主要负责本地 查表、 P 业务板状态维 护、 安全业务功 能处理 等工作。这就实现 了分布 式路由计 算和分布式路由表查询 , 大大缓解 主控板的压力 , 提高了设 流提交到安全业务板上 。由安全业务板完成访问策略控制 、 NAT地址转换 、P IS防御 、 防病毒 、P E P IS C V N等功能。
如 可 以把 防 火 墙 、 P IS系 统 、 由 器 、 容 交 换 、 P 6等 类 路 内 Iv
提 高安全产 品的整体处理性 能 , 分布式 处理 是一个 很好 的 选 择。在高端 交换机 /路 由器 领域 , 般采用机 架式体系 一
型的业务 整合到 核心交换 平 台上。同时这 个 C os a 有 rsb r
【 关键字】防火 墙 ; 主控板 : 1 接 3业务板 ; 安全 业务板
Diti u e Fi walAr hi c ur s rb t r e I c t t e e
Wa gZ e n hn
(e i T P E o oao B in H ii 108) Bin O S Ccr rtn e i a n 005 Jg p i Jg D g [ bt c om e tl o r a’h hpr ra c, i -vibi, i — aaiy eu e etw aeo eT P E ’fe a A sr t ete cmfe l i ・ f m ne h haaa iyh h cl l qi m n, ebs n h O S Cs rw l a ]T e i w l g eo s g l l g s bi r r t t t l
架构、 板式功能模 块 、 布式处理 系统 , 插 分 用户可 以根据 自
己的需 求选 择 不 同 的 机 架 类 型 和 插 板 模 块 来 搭 建 自己 的 网
而大 大提 高了双主控 主备切 换的速度 。
位置。防火墙产 品在 经历 了 X8 、 、 I 多核等技术 6 NP AS C、 的演化过程 , 仍能 满足大部分 用户 的需 求。高端用 户对 防
火墙的要求 至少要达到 小包万兆 线速转发性 能 , 只是靠 而
地 交 换 的 问题 , 而在 业 务板 交 换芯 片 和交 换 网板 之 间的 C o sa 芯 片解 决了 把业务 板的业 务数据 信元 化从 而提 rsb r
随着 网络 的升级 和扩容 , 传统 的盒式 防火 墙 已经很难
满 足 大容 量 、 性 能 、 扩展 的 需 求 和 挑 战 。这 就 引 入 了机 高 可
架 式 防火 墙产 品的设计 与研发 。分 布 式的 C os a r sb r架构
能够 很 好 地 满 足 高 性 能 和灵 活 扩展 性 的挑 战 。 分 布 式 C osa rsb r架 构 除 了 交 换 网 板 采 用 了 C osa rsb r 架 构 之 外 , 每 个 业 务 板 上 也 采 用 了 C os a + 交 换 芯 在 rsb r 片 的 架 构 。 在 业 务 板 上 加 交 换 芯 片 可 以很 好 地 解 决 了 本
备 的整体性 能, 这也是业务 板本地 转发能够提高效率 的重
要 原 因 。这 种 分 布 式 C o a 、 布 式 业 务 处 理 的设 计 理 rwb r分 念 是 核 心 网络 设 备 设 计 的 发 展 方 向 , 证 了 防 火 墙 等 安 全 保
设备能够部署到 网络核心位置 , 不会成为 网络的瓶颈。
高了交换效率 , 并且 使 得 业 务 板 的 数 据 类 型 和 交 换 网 板 的
提 高 C U 主 频和 C U 内核 数量 已经无法 满足高 端用 P P
户 的万 兆级 以上 需 求 了 。 这 就 要 求 我 们 从 其 他 方 面 人 手 来
信元成为 两个 平面 , 也就是说可 以有非常 丰富的业务 板, 比
,
+
-
,
●
1 前 言 .
络。
随着网络规模不断扩大 、 各种应用业务 日益增 多 , 特别 是政府 、 电信 、 金融、 电力等 关键行业 的数据 中心、 电信 网络 等的数据流量巨大 , 技术含量不 断提 高, 都要求有一个高可 靠性、 高质量和高安全性 的网络 来承 载, 支撑 由此带来 的网 络流量 、 管理控制 、 交换 传输的复 杂变 化对 网络的新要 求 , 并保证网络以及信息系统的安全。为 了满足上述信息 系统
解 决 之 道 ・ o u in S l to
透析分布式 防火墙架构
王 震
( 京 天 融 信科 技 有 限 公 司 北 京 1 0 8 ) 北 0 0 5
【 摘要】为 了满足电信级防火墙 的高性 能、 高可靠性 、 高扩展性需求 , 以北京天融信公司 的防火墙 为基础就分布 式防火墙系
统 做 了 一些 架构 上 的探 讨 。硬 件上 采 用分 布 式 c sbr 多 核 技 术 , 件 上 采 用 控 制 系 统 和 转 发 系 统分 离 技 术 。 r sa 加 o 软
安 全 需 求 , 统 的 防火 墙 已经 显 得 力 不从 心 了 , 就 对 防火 传 这 墙 系 统 的 架 构提 出 了 新 的挑 战 。 防 火墙 产 品 一 直 以来 都 占据 着 网 络 安 全 产 品 中的 重 要
2 .分 布 式 防 火 墙 架 构
2 .1分布式防火墙硬件架构
分 布 式 C os a r s r设计 中 , P 也 采 用 了分 布 式 设 计 。 b C U 信 息 安 全 与 技 术 ・ 0 O0 1 7・ 21. 9・ 1
S lto o u i n・解 决之 道
设备主控 板上 的主 C U 负责整机控 制调度 由表学习 P 路 和下发, 业务板从 C U 主要负责本地 查表、 P 业务板状态维 护、 安全业务功 能处理 等工作。这就实现 了分布 式路由计 算和分布式路由表查询 , 大大缓解 主控板的压力 , 提高了设 流提交到安全业务板上 。由安全业务板完成访问策略控制 、 NAT地址转换 、P IS防御 、 防病毒 、P E P IS C V N等功能。
如 可 以把 防 火 墙 、 P IS系 统 、 由 器 、 容 交 换 、 P 6等 类 路 内 Iv
提 高安全产 品的整体处理性 能 , 分布式 处理 是一个 很好 的 选 择。在高端 交换机 /路 由器 领域 , 般采用机 架式体系 一
型的业务 整合到 核心交换 平 台上。同时这 个 C os a 有 rsb r
【 关键字】防火 墙 ; 主控板 : 1 接 3业务板 ; 安全 业务板
Diti u e Fi walAr hi c ur s rb t r e I c t t e e
Wa gZ e n hn
(e i T P E o oao B in H ii 108) Bin O S Ccr rtn e i a n 005 Jg p i Jg D g [ bt c om e tl o r a’h hpr ra c, i -vibi, i — aaiy eu e etw aeo eT P E ’fe a A sr t ete cmfe l i ・ f m ne h haaa iyh h cl l qi m n, ebs n h O S Cs rw l a ]T e i w l g eo s g l l g s bi r r t t t l