千兆线速防火墙SOFTWall8000的设计与实现.pdfVIP

第28卷 第24期 计算机工程与设计 2007年l2月 Vo1．28 No．24 Computer Engineering and Design Dec．2007 刊 线速防火墙SOFTWall8000的设计与实现 石聪聪， 蔡圣闻， 谢俊元 (南京大学计算机科学技术系，江苏南京210093) 摘 要：随着千兆网络开始在国内大规模普及，对千兆线速防火墙等高性能网络安全产品的需求日益迫切。利用XpeediumTM CXE．16芯片、ppl200、TCAM和CPCI2．16技术开发了千兆线速防火墙硬件平台，并基于该平台设计并实现了千兆线速级防火 墙系统SOFTWalI8000。该防火墙系统与使用网络处理器(NP)和ASIC技术实现的千兆防火墙系统相比，具有结构开放、灵活， 综合计算能力强、可靠性高等优势。 关键词：千兆；线速；防火墙；负载均衡；并行 中图法分类号：TP393．08 文献标识码：A 文章编号：1000．7024(2007)24．5858．05 Design and implementation of gigabit wire-speed firewall SOFTWall8000 SHI Cong-cong， CAI Sheng-wen， XIE Jun-yuan (Department ofComputer Science and Technology,Nanjing University,Nanjing 210093，China) Abstract：AuniversalhardwareplatformbasedonXpeediumTMCXE一16，ppl200，TCAM chipandCPCI2．16technologyisproposed． On TM this platform，a firewall system with gigabit wire—speed is designed and implemented、Compared to others using NP and ASIC tech- nique，this firewall system is better in structure，flexibility,integrated compute and reliability． Key words：gigabit；wire·speed；firewall；load equalization；concurrence 设计周期l8个月，设计费用昂贵且风险较大。 0 引 言 网络处理器可以说是介于x86和ASIC两者之间的技术， 随着互联网的迅猛发展，它在人们的日常工作、生活和娱 它是专门为处理数据包而设计的可编程处理器，它的特点是 乐中都发挥着十分重要的作用。由于技术的不断更新，现在 内含了多个数据处理引擎，这些引擎可以并发进行数据处理 的网络速度越来越快，带宽也从十兆发展到百兆、千兆，乃至 工作，在处理2到4层的分组数据上比通用处理器具有明显的 万兆。面对于兆甚至万兆的带宽，百兆防火墙以及部分准干 优势。网络处理器对数据包处理的一般性任务进行了优化， 兆的防火墙都无法为目前的千兆网络提供有效的保护措施。 如TCP／IP数据的校验和计算、包分类、路由查找等。同时硬件 因此设计～种真正能够达到千兆线速的防火墙迫在眉睫。 体系结构的设计也大多采用高速的接口技术和总线规范，具 目前千兆防火墙的实现技术主要有3种，分别是基于传 有较高的I／0能力。这种基于网络处理器的网络设备使得数 统的X86架构，专用集成电路(ASIC)和网络处理器(NP)例。 据包的处理能力得到了很大的提升。 传统的