基于NP的千兆電子商務(wù)應用系統安全防火墻設計

1 引言
隨著(zhù)骨干網(wǎng)絡(luò )帶寬的不斷加大，分布式千兆網(wǎng)絡(luò )已成為電子商務(wù)系統的主流方案，而由此帶來(lái)的電子商務(wù)系統安全問(wèn)題也日益突出，研究和設計千兆電子商務(wù)系統防火墻，可有效保證電子商務(wù)系統的正常運行。

2 千兆防火墻硬件實(shí)現方案選擇
防火墻分為軟件防火墻和硬件防火墻。軟件防火墻通過(guò)直接在專(zhuān)用或通用操作系統上運行防火墻軟件來(lái)實(shí)現安全控制存取訪(fǎng)問(wèn)，成本低、靈活性好，但其性能卻依賴(lài)于運行平臺的特性，造成網(wǎng)絡(luò )速度的嚴重下降，不能滿(mǎn)足千兆防火墻的高性能要求，因此，千兆防火墻都是硬件防火墻。千兆防火墻的硬件實(shí)現一般有基于Intel X86架構、基于A(yíng)SIC和基于網(wǎng)絡(luò )處理器NP 3種。其中，基于Intel X86架構的實(shí)現方案以其高靈活性和擴展性在百兆防火墻上獲得巨大成功，然而對于千兆網(wǎng)，X86架構的CPU由于考慮各種應用需要，具有一般化的通用體系結構和指令集，其處理速度相對較慢，難以滿(mǎn)足千兆網(wǎng)絡(luò )對于高線(xiàn)速的需求；基于A(yíng)SIC的實(shí)現方案將指令或計算邏輯固化到硬件處理性能極高，但缺乏靈活性，不便于修改和升級；而基于NP的實(shí)現方案則采用微碼編程，專(zhuān)為網(wǎng)絡(luò )分組處理而開(kāi)發(fā)，具有優(yōu)化的體系結構和指令集，比X86 CPU具備更高的處理性能。而且NP有專(zhuān)門(mén)的指令集和配套的軟件開(kāi)發(fā)系統，編程能力強，能夠方便開(kāi)發(fā)各種應用，因而比ASIC更靈活。圖1為這3種硬件防火墻設計在性能與功能和靈活性方面的綜合特性比較。由圖1看出，基于NP的實(shí)現方案是千兆防火墻最佳的硬件實(shí)現方案。

3 網(wǎng)絡(luò )處理器NP簡(jiǎn)介
網(wǎng)絡(luò )處理器NP(Network Processor)是專(zhuān)為處理數據包而設計的可編程處理器，其內含多個(gè)數據處理引擎，在處理2～4層的分組數據上比通用處理器具有明顯優(yōu)勢。網(wǎng)絡(luò )處理器的體系結構一般由網(wǎng)絡(luò )處理器單元、硬件協(xié)處理器單元和網(wǎng)絡(luò )接口單元3部分組成，如圖2所示。網(wǎng)絡(luò )處理器單元是由若干個(gè)微碼處理器組成，這些微碼處理器并行處理數據，極大提高網(wǎng)絡(luò )處理器的處理速度。如果需要增加新的功能或標準，只需通過(guò)配套的軟件開(kāi)發(fā)系統給微碼處理器增加新的微碼。對于那些要求高速處理的復雜的通用功能模塊(如內存操作、路由表查找算法、Qos的擁塞控制算法、流量調度算法等)，則采用硬件協(xié)處理器實(shí)現，提高系統性能，從而實(shí)現業(yè)務(wù)的靈活性和高性能。

總之，網(wǎng)絡(luò )處理器不但具有高性能和高可靠性的優(yōu)點(diǎn)，還具有極大的靈活性和可擴展性。而且，網(wǎng)絡(luò )處理器提供的編程能力還縮短開(kāi)發(fā)周期，延長(cháng)使用壽命。

4 千兆電子商務(wù)系統防火墻設計方案
基于NP的千兆電子商務(wù)系統防火墻由主控單元、網(wǎng)絡(luò )處理單元和電源3部分組成，如圖3所示。其中，主控單元采用通用處理器設計的管理與協(xié)處理板，網(wǎng)絡(luò )處理單元通過(guò)PCI總線(xiàn)與主控單元通信；網(wǎng)絡(luò )處理單元采用基于NP的專(zhuān)用網(wǎng)絡(luò )處理板；電源則專(zhuān)為主控單元和網(wǎng)絡(luò )處理單元提供電源支持。

4．1 主控單元
主控單元采用通用CPU設計的主控板，用于配置管理網(wǎng)絡(luò )處理板和運行其他非實(shí)時(shí)性的安全模塊，包括CPU、存儲器、Flash、串行接口、網(wǎng)絡(luò )接口和PCI總線(xiàn)，如圖4所示。通過(guò)串行接口或網(wǎng)絡(luò )接口配置管理防火墻。Flash中存儲防火墻操作系統，主控單元上電后將防火墻操作系統裝載到存儲器中執行，并通過(guò)PCI總線(xiàn)與網(wǎng)絡(luò )處理單元通信。