基于国产龙芯CPU高性能防火墙转发性能探究和实现.docVIP

基于国产龙芯CPU高性能防火墙转发性能探究和实现 　　摘要：防火墙作为网络安全产品中必不可少的设备，广泛应用于网络环境中，但目前国内信息安全厂商普遍采用国外核心芯片，软件OEM国外产品并不鲜见，大量充斥的“伪安全”产品无法达到真正的安全，核心技术和关键装备主要依赖进口，信息安全问题严重威胁我国政治、经济和国防安全。该文设计基于龙芯CPU的防火墙系统，采用国产CPU为核心，即满足网络安全需求也符合国家自主创新政策。该文首先对龙芯CPU和防火墙的基本概念与原理进行介绍，通过对龙芯防火墙报文转发引擎核心Netfilter框架的详细分析与研究之后，提出了基于软件预取和减少TLB失效技术提高转发性能，同时提出基于龙芯多核与硬件加速的高性能防火墙解决方案。 关键词： 龙芯；防火墙；转发性能；Netfilter；硬件加速 中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2013）20-4588-04 1 龙芯防火墙转发性能研究与实现 1.1龙芯防火墙平台简介 1.1.1系统整体架构 基于龙芯CPU的防火墙是一款具有百/千兆流量处理的系统，具有4个100/1000M自适应端口、一个串行管理接口、两个USB接口，支持一个Honeypot分析联动口，可供蜜罐或入侵检测系统在线分析网络信息，与防火墙联动实现入侵收敛。同时，提供完善的路由协议（支持IPv4协议栈、L2/L3层交换及路由协议）、VLAN控制、流量控制、QoS（服务质量）保证等机制，提供完备的业务控制和用户管理能力，基于硬件实现深度包检测（DPI）和状态流检测（DFI）等技术感知应用层协议。为校园网、企业网、政府网、行业网、金融网、中小企业等提供边界安全服务。 产品符合IEEE 802.3（u、ab） Ethernet、以太网标准，符合国家《信息安全技术防火墙技术要求和测试评价方法》GB/T 20281-2006质量指标依据标准。 系统采用标准的19英寸长、高1U的机械结构，外观如图1所示。 1.1.2系统软件架构 软件平台基于Linux[4]操作系统，全面支持包过滤和状态过滤机制、IPv4协议栈，同时支持IPv4静态路由，支持RIP、OSPF等动态路由协议。系统软件架构如图2所示。 如图2所示，操作系统提供硬件抽象层和网络协议处理，上层应用包括传统防火墙功能，例如：状态包过滤、地址转换等，VPN功能，路由转发功能，应用识别功能以及网络基本功能。在管理方面提供CLI和WebUI方式。 为了保持IP核心软件的简单明了性，采用如下的队列管理机制：为IP协议栈维护一个接收队列，为每个网络接口维护一个发送队列。IP协议栈的处理过程如图3所示。 2 龙芯高性能防火墙研究与实现 2.1龙芯防火墙带来的问题 2.1.1核心模块处理效率低下 通过Oprofile测试发现，网卡驱动和netfilter核心组件占用大量的系统资源。如图4所示，为测试结果。 主要分析原因是：因为测试的报文长度64Byte，同时e1000e驱动的copybreak特性，会将小于特定大小的报文复制到新的skb中，便于CPU的cache命中。而这个默认的大小设定为256Byte。将copybreak修改为32，主要是为了避免在e1000_clean_rx_irq中的内存拷贝。由此可见，Netfilter框架核心部件（IPtables和连接跟踪）和网卡驱动是防火墙转发性能的主要瓶颈。 2.1.2龙芯CPU主频过低 龙芯2F最高工作主频为1GHz，网卡中断使用大量的硬件中断资源，即使采用轮询（NAPI）方式，在64bytes字节下也无法满足要求，并且出来硬件中断，操作系统软中断也是消耗大量CPU资源。因此，防火墙新建连接率性能无法提供。如图5所示，龙芯2F防火墙与性价比接近的产品比较结果。 根据测试数据表明，龙芯2F防火墙新建连接率为6000cps。一般Intel Atom D525处理器新建连接率在15000cps。由此可见，防火墙的主频直接影响新建连接率，同时主频也是防火墙转发性能的主要瓶颈之一。 2.2解决方案 2.2.1总体设计方案 新防火墙硬件平台主要由两部分组成，由采用龙芯多核处理器的高性能计算平台和采用FPGA的硬件加速处理模块组成，完全满足应对千兆线速下的的性能需求。 龙芯多核多CPU运算平台和硬件处理模块间采用PCI-E总线连接，单向具备20Gbps以上的带宽，硬件处理模块采用了基于主机控制的ACL转发模块，能大大降低网络数据传输延迟，通过采用负载均衡技术，使得防火墙应用软件能充分实现并行性，相关的报文预处理模块匹配加速模块，有效提升了系统性能。系统可以提