基于NP的千兆電子商務應用系統安全防火墻設計

1 引言
隨著骨干網絡帶寬的不斷加大，分布式千兆網絡已成為電子商務系統的主流方案，而由此帶來的電子商務系統安全問題也日益突出，研究和設計千兆電子商務系統防火墻，可有效保證電子商務系統的正常運行。

2 千兆防火墻硬件實現方案選擇
防火墻分為軟件防火墻和硬件防火墻。軟件防火墻通過直接在專用或通用操作系統上運行防火墻軟件來實現安全控制存取訪問，成本低、靈活性好，但其性能卻依賴于運行平臺的特性，造成網絡速度的嚴重下降，不能滿足千兆防火墻的高性能要求，因此，千兆防火墻都是硬件防火墻。千兆防火墻的硬件實現一般有基于Intel X86架構、基于ASIC和基于網絡處理器NP 3種。其中，基于Intel X86架構的實現方案以其高靈活性和擴展性在百兆防火墻上獲得巨大成功，然而對于千兆網，X86架構的CPU由于考慮各種應用需要，具有一般化的通用體系結構和指令集，其處理速度相對較慢，難以滿足千兆網絡對于高線速的需求；基于ASIC的實現方案將指令或計算邏輯固化到硬件處理性能極高，但缺乏靈活性，不便于修改和升級；而基于NP的實現方案則采用微碼編程，專為網絡分組處理而開發，具有優化的體系結構和指令集，比X86 CPU具備更高的處理性能。而且NP有專門的指令集和配套的軟件開發系統，編程能力強，能夠方便開發各種應用，因而比ASIC更靈活。圖1為這3種硬件防火墻設計在性能與功能和靈活性方面的綜合特性比較。由圖1看出，基于NP的實現方案是千兆防火墻最佳的硬件實現方案。

3 網絡處理器NP簡介
網絡處理器NP(Network Processor)是專為處理數據包而設計的可編程處理器，其內含多個數據處理引擎，在處理2～4層的分組數據上比通用處理器具有明顯優勢。網絡處理器的體系結構一般由網絡處理器單元、硬件協處理器單元和網絡接口單元3部分組成，如圖2所示。網絡處理器單元是由若干個微碼處理器組成，這些微碼處理器并行處理數據，極大提高網絡處理器的處理速度。如果需要增加新的功能或標準，只需通過配套的軟件開發系統給微碼處理器增加新的微碼。對于那些要求高速處理的復雜的通用功能模塊(如內存操作、路由表查找算法、Qos的擁塞控制算法、流量調度算法等)，則采用硬件協處理器實現，提高系統性能，從而實現業務的靈活性和高性能。

總之，網絡處理器不但具有高性能和高可靠性的優點，還具有極大的靈活性和可擴展性。而且，網絡處理器提供的編程能力還縮短開發周期，延長使用壽命。

4 千兆電子商務系統防火墻設計方案
基于NP的千兆電子商務系統防火墻由主控單元、網絡處理單元和電源3部分組成，如圖3所示。其中，主控單元采用通用處理器設計的管理與協處理板，網絡處理單元通過PCI總線與主控單元通信；網絡處理單元采用基于NP的專用網絡處理板；電源則專為主控單元和網絡處理單元提供電源支持。

4．1 主控單元
主控單元采用通用CPU設計的主控板，用于配置管理網絡處理板和運行其他非實時性的安全模塊，包括CPU、存儲器、Flash、串行接口、網絡接口和PCI總線，如圖4所示。通過串行接口或網絡接口配置管理防火墻。Flash中存儲防火墻操作系統，主控單元上電后將防火墻操作系統裝載到存儲器中執行，并通過PCI總線與網絡處理單元通信。