基于NP的千兆電子商務應用系統安全防火墻設計

4．2 網絡處理單元
網絡處理單元采用NP設計專用網絡處理板，內嵌微碼運行實時性高的防火墻功能模塊。圖6為其硬件結構框圖，圖7為網絡處理流程。
4．3 千兆電子商務系統防火墻的特點
由于防火墻的安全過濾與操作系統無關，并與防火墻配置管理、控制分離，所以網絡處理器的安全功能可隨時升級。該系統在提供高安全性和高性能的同時，符合電信級網絡設備高可靠、高穩定的要求，且相對成本較低。由于具有自主知識產權，因此該系統具有極強的功能和可擴展性。

5 千兆電子商務系統安全防火墻關鍵技術
為了確保電子商務系統高安全、高性能、高可靠、高可控和高可擴等性能，需突破許多完全超越Intel X86架構防火墻的關鍵技術，包括線速安全過濾、可靠性設計、可擴展設計、精確流控等技術。
5．1 線速安全過濾技術
為使安全防火墻在千兆環境下達到線速性能，需采用技術有：
(1)三級并行處理機制 包括處理器級并行、線程級并行和指令級并行。從硬件到軟件均采用并行處理機制，最大限度提高數據幀的處理速度。
(2)快速查表技術 防火墻最主要功能是狀態檢測和安全規則檢查。為節約處理器資源和內存資源，硬件采用專用硬件查表協處理器提高查找速度；軟件根據其特點采用不同的分類優化算法，來提高查表速度。
(3)全規則動態平衡存儲技術傳統防火墻的處理性能受限于設置的安全規則數目，隨著安全規則數的增加，其搜索增長速率呈線性遞增。設計全規則動態平衡存儲技術，實現專用處理器的非線性快速規則匹配算法，保證在極短時間內完成防火墻每一次發起規則查找。
5．2 可靠性設計技術
在千兆環境下對防火墻的高可靠性提出更高要求，可在硬件和軟件兩個方面取得突破。
(1)硬件方面網絡處理器單元采用14層高速PCB設計和板級仿真，解決因高頻串擾帶來的千兆線速丟包問題，和獨立硬件控制下災難自恢復機制，保證系統可靠性。
(2)軟件方面 可將網絡安全處理功能運行在網絡處理器中，避免操作系統帶來的不穩定性和安全隱患問題。
5．3 可擴展設計技術
作為網絡安全設備的防火墻，在系統的結構設計中，除突出高性能和高穩定性外，需特別注重系統的可擴展性。擴展設計包括硬件采用模塊化設計和軟件采用模塊分層，并逐層封裝，配置與控制層提供功能的擴展接口。
5．4 精確流控技術
基于網絡處理器提供的能力，實現高效的數據流分類算法；在隊列調度方面，支持先進先出隊列、定制隊列、加權公平隊列和基于類的加權公平隊列調度算法；在擁塞控制方面，實現業界流行的WRED算法，準確的丟包算法保證當網絡發生擁塞時，避免由于誤丟包而帶來流量震蕩。

6 結束語
基于NP的安全防火墻設計已成為分布式電子商務系統中最成熟的技術，是電子商務安全管理人員有效的防御工具。但任何一個安全產品或技術都不能提供永遠安全，因為網絡在變化，應用在變化，入侵手段也在變化。對于電子商務應用系統安全防火墻來說，技術的不斷進步才是真正的保障。研制新的網絡安全設計方案，將成為今后互聯網絡發展應用的一個重要課題。