网络处理器及在网络安全中的应用.pptVIP

网络处理器及在网络安全中的应用 中科网威信息技术有限公司 叶小列 2003-07-28 网络处理器特性 可编程性-programable ； 简单的编程模式 –simple programming mode; 最大化系统灵活性 –maximizing the system’s flexibilities; 高处理能力 –high performance; 高度功能集成 –highly functionally integration; 开放的编程接口 –open programming interface; 第三方支持能力 –third supporting; David Husak 认为----- 网络处理器的分类 全编程型 代表厂家为Intel、Cognigine ； 优点是灵活性强 ； 缺点是比较复杂，熟练掌握有难度 ； 流水并行处理型 代表厂家Agere和Ezchip 优点是实现数据层面功能比较简单 ； 网络处理器的分类 固定功能型 代表厂家AMCC ； 缺少灵活性，但效率高、易于实现 ； 多核通用处理SOC型 代表厂家是Broadcom 公司 ； 优点是灵活性强 ，便于掌握； 需要结合硬件进行系统优化； IBM NP4GS3 遵循PowerNP体系 ； EPC(Embedded Processor complex ) 指令存储器 ； MAC ； Fabric接口 ； 固定功能逻辑 ； 16个picoprocessor； 多个加速器件 ； PowerPC 405处理器 ； 线程切换和包处理模式具有创造性 ； 2001年度“Microprocessor Report Analysts’ Choice Award ” IBM NP4GS3 基于P4GS3的清晰的产品开发流程； 各种加速逻辑可以通过编写代码来整合 ； 提供了丰富的API和工具 ； 编制了详实的技术指导文档 ； IXP2400/2800 内部包含一个通用600Mhz xscale ?RISC核; 初始化和管理层面的工作由xscale负责 ; 内部集成了8个微引擎（Microengine）; 照四个一组分为两组 ; 每个微引擎可以启动多个线程 ; 微引擎可容纳4096条指令 ,每条指令40比特宽，并通过校验防止错误 ； 硬件实现CRC校验、随机数发生器、乘法器和计时器功能 ； IXP2400/2800 提供大量专用和通用寄存器、Hash逻辑 ； 拥有两个QDR SRAM接口 ； 通用内存控制器支持DDR DRAM，最大容量达1Gb ； 内嵌MSF(Media and Switch Fabric)接口 ； IXP2800微引擎增加到16个 ，并增加了加解密硬件 ； BCM1250/1255/1280 集成三个10/100/1000兆以太MAC ； 双内存访问通道，带宽最高可达50Gbps ； HyperTransport高速端口能提供19.2Gbps的通讯能力 ； 1GHz条件下，两个MIPS核具有4000MIPS或10Mpps的处理能力 ； 双核支持非对称配置； 面向网络分组处理优化的内部ZBus总线； 当前网络面临的挑战 带宽需求迅猛增长； 网络服务从简单的浏览到多媒体等高层次、交互式服务； 通用处理器的处理能力的增长远远不能满足数据层面的要求； 异构网络、多种接口形式； 性能、灵活性、兼容性； 快速开发和生存期延长的要求； 网络安全面临的挑战 个人的私密信息由于网络问题被泄漏； 各种关键数据的完整性受到来自网络内部、外部的威胁，如金融、证券等行业的交易数据； 网络中用户的身份鉴别问题； 网络服务和应用的授权问题； 网络活动的不合否认问题； 特定服务的有效性； 网络安全产品 百兆、千兆防火墙设备 IDS系统； VPN软件、芯片和设备； 加解密软件、芯片和设备； 路由器、交换机和多服务接入设备等； 认证设备或系统； 网络处理的层次 数据层面 控制层面 管理层面 防火墙发展阶段 访问控制列表（Access control lists） 应用代理软件（Application proxies） 状态检测（Stateful inspection） 深度包检测 深度包检测 面向应用 面向数据流 需要进行特征匹配 甚至一个字节一个字节的匹配； 防火墙需要在特征匹配方面具有高性能！ IDS产品的发展方向 降低漏报率和误报率； 协议分析 异常分析 安全功能和通用网络设备的融合 VPN 加解密卡和认证系统 防火墙和IDS结合 面向路由器端口的防火墙应用； 防病毒墙 带有路由或交换功能的防火墙； 包处理流程 包分类的基本算法 Recursive Flow Classification Hierarchical tries Set-pru