网络处理器上的动态防火墙.pdfVIP

信息安全 ·175· 网络处理器上的动态防火墙 杜敏1文成玉2刘乃琦1 1 电子科技大学计算机学院610054 2成都信息工程学院610041 一、网络处理器及其技术特点 网络处理器(NP)是一种可编程器件，它特定地应用于通信领域的各种任务j比如包处理、 协议分析、路由查找、声音／数据的汇聚、防火墙、QoS等。网络处理器器件内部通常由若干 个微码处理器和若干硬件协处理器组成，多个微码处理器在网络处理器内部并行处理，通过 预先编制的微码来控制处理流程。而对于一些复杂的标准的操作，如内存操作、路由表查找 算法、QoS的拥塞控制算法、流量调度算法等，则采用硬件协处理器来进一步提高处理l生能， 从而实现了业务灵活性和高性能的有机结合。 形成网络处理器竞争优势的技术特点主要有如下几点。 (1)可编程性。网络处理器的本质在于其可编程性，从而改变ASIC灵活性差的缺点。 这是通过提供界面友好而功能强大的编程、调试和性能评价等软件环境对片内各处理器编程 来实现。 (2)并行处理。网络处理器可实现不同级别的并行处理：通过流水线实现指令级的并行， 通过硬件线程实现线程级的并行，通过片内多处理器结构实现处理器级的并行。 (3)高速数据处理。网络处理器硬件结构特点保证了它的线速处理的能力，避免了节点 设备成为瓶颈。 (4)深层数据处理。也叫智能处理(Intelligent 同协议层上可对分组(帧)进行不同深度的处理。 (5)模块化设计。网络处理器体系结构的模块化也包含不同的层次：硬件层面和软件层 面的模块化。通过模块化设计，力图在保持高性能的基础上获得很好的可扩展性和灵活性， 并能使设备厂商容易研发不同性能和不同特性的设备。 (6)可扩展性。网络处理器的可扩展性同样包含硬件可扩展性和服务可扩展性。前者指 网络处理器除了可以用来研制小型设备，还可以通过交换机构的连接研制大型设备。后者是 指可以在对原有软件结构做很小改动的基础上加入新的服务和功能。 二、INTEL IXA可编程网络处理器 INTEL IXA即INTEL互联网交换架构，它是为了快速实现网络通信服务的开发而产生 的。它的核心是INTELIXA网络处理器，它是一种基于微引擎技术、INTELXscale微结构和 INTEL Abstraction IXA硬件抽象层(Hardware 性能是通过一系列的可编程的，多线程微引擎来获得。Xscale运行嵌人式操作系统，比如嵌 ·176‘ 网络新技术与应用研讨会论文集(2003年) 为人侵检测，防火墙等网络安全提供了完全可编程，可升级，全线速处理能力。 DRAM和 2块QDR 块QDR SRAM，支持标准的线卡佼换接口标准SPI-4．2或CSIX—L1。 三、采用网络处理器开发防火墙的优势 千兆防火墙的硬件实现技术主要有三种：INTEL X86架构工控机、ASIC硬件加速技术和 阿络处理器加速技术。由于采用PCI总线接口，Intel X86架构的硬件虽然理论上能达到接近 2Gbps的吞吐量，但实际应用中，尤其是在小包情况下，远远达不到标称性能，通用CPU的 处理能力也很有限。而且，由于X86 CPU的广泛应用，很多网络攻击，尤其是溢出攻击很容 易实现，设备自身的安全I生较低。而网络处理器不但处理性能高，由于采用了Xscale、ARM、 PowerPC或MIPS CPU，能防范大多数的溢出攻击，提高了自身的安全陡。 采用了ASIC专用硬件加速的防火墙可以明显提升防火墙的吞吐性能，但对于升级维护 的灵活性和扩展性不够，而且开发费用高，开发周期长，