基于网络处理器安全网关探究及开发.docVIP

基于网络处理器安全网关探究及开发摘 要：为了满足信息化建设不断前进以及信息化、网络化给人们带来工作和生活便利的同时越来越高的信息安全需要，给出了一种基于新技术的安全网关的开发方法，该方法对于保障信息网络的安全、提高信息网络的防护能力，都具有重要意义。 关键词：信息安全；NP处理器；安全网关；IP 中图分类号：TN915文献标识码：A文章编号：2095-1302(2011)08-0063-03 信息安全技术是实现网络信息安全的重要保障，网络犯罪是一种技术犯罪，必须有足够的技术手段才能防范。安全专用网关是保障网络信息安全的一种重要设备，它包括认证、审计、日志、网络监测、过滤以及安全性分析等功能。作为信息化建设和提高网络抗攻击能力的主要组成部分，安全网关一直受到世界各国的高度重视。特别是对于设备的稳定性以及适应各种复杂环境的能力提出了很高的要求。安全网关的主要作用是对接入信息专网的每个子网提供全面的网络防护，以抵御来自各方对于网络和网络内部主机以及服务器的攻击。 1 关键技术分析 1.1 NP技术优势 NP(Network Processer，网络处理器)是广泛应用于高端网络的设备。在安全网关中使用NP技术，其网络部分的处理可由NP芯片单独完成，以与CPU并行工作，可以大大提高安全网关的吞吐能力。同时，由于它具有硬件可编程能力，而且新功能的扩充和产品升级也很容易，因而弥补了使用纯硬件更新周期慢的不足。因此，NP技术代表了当今发展的最新趋势。同基于X86架构的网络安全设备相比，基于NP架构的芯片级硬件安全网关具有以下优势： 首先，SoC(System on Chip)的体系架构和纯硬件设计可以达到电信级的稳定性，其无故障运行时间和使用寿命大大增加，并可减少系统维护开销，节约成本。表1所列是几种结构体系的系统平均无故障时间对比表。 其次，其核心算法在NP芯片中完成，故可保护自有专利技术，提升了系统的安全等级和抗攻击能力； 另外，NP硬件加速完全可以达到分组包线速的过滤要求，可适应高速网络发展和接入网络用户数规模的高速增长需要。表2所列是NP结构与其它系统的性能比对。 1.2 NP架构安全网关的稳定性优势 基于X86系列架构的产品，又被称为工控机设备，属于第一代产品。与X86工控结构相比较，NP架构的安全网关的稳定性和可靠性大幅度提高。NP架构可以达到5个9电信级的可靠性。 由于安全网关通常部署在局域网关键出口位置，而且必须长年累月不停顿运行。因此，安全网关的可靠性，稳定性对用户来说至关重要，甚至是致命的。 大多使用X86结构的工控机系统，有些甚至直接使用PC系统，网络接口直接使用PCI网卡，有些选用的网卡还很低端。而PC系统、工控系统毕竟不是网络设备，在使用目标上存在很大的差别，一个是通用开放的，一个是专用固定的。X86架构的固有属性往往会给设备带来很多不可靠。同时，X86系统结构的设备运行开销较大，其CPU一般采用PC级通用CPU，功耗大，发热大，可靠运行时间一般都比较短，并且还要采用大功率风扇，不仅噪音大，而且由于风扇需要固定，很容易在运输和搬运的过程中脱落，从而损坏主板。NP架构的安全网关采用专用的设计和网络处理器加速，因此，CPU可以采用嵌入式、低功耗的CPU直接固化在PCB板上，而不用风扇散热，故可减少故障率。 X86架构的设备，除CPU外，其内存也是PC通用的插槽式内存，在运输过程中也易松动和产生虚接，从而造成系统运行的不稳定性。有些X86设备的运行系统厂商甚至直接采用硬盘形式，这当然是很不可靠的，因为硬盘的寿命一般很短，而且不宜长时间运行。同时，硬盘对运输要求很高，而且震动对硬盘损伤很大。一些X86设备尽管采用了DOM盘或者FLASH卡，但仍然是插卡形式，故障率仍然很高。 而NP架构的纯硬件结构采用专用的系统板卡设计，系统完全集成在一块PCB上(一般为10层以上的PCB板)，其使用的网络接口芯片也直接集成在PCB板上，而非PCI插卡形式，存储器也使用Flash直接贴片到PCB上，这样就自然提高了产品的可靠性。其存储器使用的是电子存储，而非机械式磁介质存储，其可靠性的提高显而易见。无论是抗震还是对温度和湿度的适应能力，以及长时期的运行，芯片级和采用贴片焊接都比接插方式要可靠得多。 1.3 NP架构的性能优势 网络的飞速发展，使得大型的ICP网站、电子商务站点、电信骨干交换网络以及校园骨干交换网络，都需要具有高性能和高数据处理能力的系统。X86体系的系统由于采用通用的PC架构，开销比较大，远远不能满足其速率上的要求，因而成为整个网络的瓶颈。在未来的网络环境下，传统的基于X86体系结构的工控机网关已不能满足宽带网络高吞吐量、低时