1 引言
    隨著骨干網(wǎng)絡(luò)帶寬的不斷加大，分布式千兆網(wǎng)絡(luò)已成為電子商務(wù)系統(tǒng)的主流方案，而由此帶來(lái)的電子商務(wù)系統(tǒng)安全問(wèn)題也日益突出，研究和設(shè)計(jì)千兆電子商務(wù)系統(tǒng)防火墻，可有效保證電子商務(wù)系統(tǒng)的正常運(yùn)行。

2 千兆防火墻硬件實(shí)現(xiàn)方案選擇
    防火墻分為軟件防火墻和硬件防火墻。軟件防火墻通過(guò)直接在專用或通用操作系統(tǒng)上運(yùn)行防火墻軟件來(lái)實(shí)現(xiàn)安全控制存取訪問(wèn)，成本低、靈活性好，但其性能卻依賴于運(yùn)行平臺(tái)的特性，造成網(wǎng)絡(luò)速度的嚴(yán)重下降，不能滿足千兆防火墻的高性能要求，因此，千兆防火墻都是硬件防火墻。千兆防火墻的硬件實(shí)現(xiàn)一般有基于Intel X86架構(gòu)、基于ASIC和基于網(wǎng)絡(luò)處理器NP 3種。其中，基于Intel X86架構(gòu)的實(shí)現(xiàn)方案以其高靈活性和擴(kuò)展性在百兆防火墻上獲得巨大成功，然而對(duì)于千兆網(wǎng)，X86架構(gòu)的CPU由于考慮各種應(yīng)用需要，具有一般化的通用體系結(jié)構(gòu)和指令集，其處理速度相對(duì)較慢，難以滿足千兆網(wǎng)絡(luò)對(duì)于高線速的需求；基于ASIC的實(shí)現(xiàn)方案將指令或計(jì)算邏輯固化到硬件處理性能極高，但缺乏靈活性，不便于修改和升級(jí)；而基于NP的實(shí)現(xiàn)方案則采用微碼編程，專為網(wǎng)絡(luò)分組處理而開(kāi)發(fā)，具有優(yōu)化的體系結(jié)構(gòu)和指令集，比X86 CPU具備更高的處理性能。而且NP有專門(mén)的指令集和配套的軟件開(kāi)發(fā)系統(tǒng)，編程能力強(qiáng)，能夠方便開(kāi)發(fā)各種應(yīng)用，因而比ASIC更靈活。圖1為這3種硬件防火墻設(shè)計(jì)在性能與功能和靈活性方面的綜合特性比較。由圖1看出，基于NP的實(shí)現(xiàn)方案是千兆防火墻最佳的硬件實(shí)現(xiàn)方案。

3 網(wǎng)絡(luò)處理器NP簡(jiǎn)介
    網(wǎng)絡(luò)處理器NP(Network Processor)是專為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器，其內(nèi)含多個(gè)數(shù)據(jù)處理引擎，在處理2～4層的分組數(shù)據(jù)上比通用處理器具有明顯優(yōu)勢(shì)。網(wǎng)絡(luò)處理器的體系結(jié)構(gòu)一般由網(wǎng)絡(luò)處理器單元、硬件協(xié)處理器單元和網(wǎng)絡(luò)接口單元3部分組成，如圖2所示。網(wǎng)絡(luò)處理器單元是由若干個(gè)微碼處理器組成，這些微碼處理器并行處理數(shù)據(jù)，極大提高網(wǎng)絡(luò)處理器的處理速度。如果需要增加新的功能或標(biāo)準(zhǔn)，只需通過(guò)配套的軟件開(kāi)發(fā)系統(tǒng)給微碼處理器增加新的微碼。對(duì)于那些要求高速處理的復(fù)雜的通用功能模塊(如內(nèi)存操作、路由表查找算法、Qos的擁塞控制算法、流量調(diào)度算法等)，則采用硬件協(xié)處理器實(shí)現(xiàn)，提高系統(tǒng)性能，從而實(shí)現(xiàn)業(yè)務(wù)的靈活性和高性能。

    總之，網(wǎng)絡(luò)處理器不但具有高性能和高可靠性的優(yōu)點(diǎn)，還具有極大的靈活性和可擴(kuò)展性。而且，網(wǎng)絡(luò)處理器提供的編程能力還縮短開(kāi)發(fā)周期，延長(zhǎng)使用壽命。

4 千兆電子商務(wù)系統(tǒng)防火墻設(shè)計(jì)方案
    基于NP的千兆電子商務(wù)系統(tǒng)防火墻由主控單元、網(wǎng)絡(luò)處理單元和電源3部分組成，如圖3所示。其中，主控單元采用通用處理器設(shè)計(jì)的管理與協(xié)處理板，網(wǎng)絡(luò)處理單元通過(guò)PCI總線與主控單元通信；網(wǎng)絡(luò)處理單元采用基于NP的專用網(wǎng)絡(luò)處理板；電源則專為主控單元和網(wǎng)絡(luò)處理單元提供電源支持。

4．1 主控單元
    主控單元采用通用CPU設(shè)計(jì)的主控板，用于配置管理網(wǎng)絡(luò)處理板和運(yùn)行其他非實(shí)時(shí)性的安全模塊，包括CPU、存儲(chǔ)器、Flash、串行接口、網(wǎng)絡(luò)接口和PCI總線，如圖4所示。通過(guò)串行接口或網(wǎng)絡(luò)接口配置管理防火墻。Flash中存儲(chǔ)防火墻操作系統(tǒng)，主控單元上電后將防火墻操作系統(tǒng)裝載到存儲(chǔ)器中執(zhí)行，并通過(guò)PCI總線與網(wǎng)絡(luò)處理單元通信。

    主控單元的軟件包括控制管理和高級(jí)安全兩部分?？刂乒芾碥浖邮諒腤eb界面和命令行對(duì)防火墻傳遞的配置信息，并轉(zhuǎn)換為網(wǎng)絡(luò)處理器識(shí)別的信息，發(fā)送到網(wǎng)絡(luò)處理單元的控制管理模塊，同時(shí)接收從網(wǎng)絡(luò)處理單元的控制管理模塊返回的信息。高級(jí)安全軟件主要是那些對(duì)實(shí)時(shí)性要求不高或在NP中實(shí)現(xiàn)極大影響性能功能。圖5為主控電源的軟件邏輯結(jié)構(gòu)框圖。

4．2 網(wǎng)絡(luò)處理單元
    網(wǎng)絡(luò)處理單元采用NP設(shè)計(jì)專用網(wǎng)絡(luò)處理板，內(nèi)嵌微碼運(yùn)行實(shí)時(shí)性高的防火墻功能模塊。圖6為其硬件結(jié)構(gòu)框圖，圖7為網(wǎng)絡(luò)處理流程。
4．3 千兆電子商務(wù)系統(tǒng)防火墻的特點(diǎn)
    由于防火墻的安全過(guò)濾與操作系統(tǒng)無(wú)關(guān)，并與防火墻配置管理、控制分離，所以網(wǎng)絡(luò)處理器的安全功能可隨時(shí)升級(jí)。該系統(tǒng)在提供高安全性和高性能的同時(shí)，符合電信級(jí)網(wǎng)絡(luò)設(shè)備高可靠、高穩(wěn)定的要求，且相對(duì)成本較低。由于具有自主知識(shí)產(chǎn)權(quán)，因此該系統(tǒng)具有極強(qiáng)的功能和可擴(kuò)展性。

5 千兆電子商務(wù)系統(tǒng)安全防火墻關(guān)鍵技術(shù)
    為了確保電子商務(wù)系統(tǒng)高安全、高性能、高可靠、高可控和高可擴(kuò)等性能，需突破許多完全超越Intel X86架構(gòu)防火墻的關(guān)鍵技術(shù)，包括線速安全過(guò)濾、可靠性設(shè)計(jì)、可擴(kuò)展設(shè)計(jì)、精確流控等技術(shù)。
5．1 線速安全過(guò)濾技術(shù)
    為使安全防火墻在千兆環(huán)境下達(dá)到線速性能，需采用技術(shù)有：
    (1)三級(jí)并行處理機(jī)制 包括處理器級(jí)并行、線程級(jí)并行和指令級(jí)并行。從硬件到軟件均采用并行處理機(jī)制，最大限度提高數(shù)據(jù)幀的處理速度。
    (2)快速查表技術(shù) 防火墻最主要功能是狀態(tài)檢測(cè)和安全規(guī)則檢查。為節(jié)約處理器資源和內(nèi)存資源，硬件采用專用硬件查表協(xié)處理器提高查找速度；軟件根據(jù)其特點(diǎn)采用不同的分類優(yōu)化算法，來(lái)提高查表速度。
    (3)全規(guī)則動(dòng)態(tài)平衡存儲(chǔ)技術(shù)傳統(tǒng)防火墻的處理性能受限于設(shè)置的安全規(guī)則數(shù)目，隨著安全規(guī)則數(shù)的增加，其搜索增長(zhǎng)速率呈線性遞增。設(shè)計(jì)全規(guī)則動(dòng)態(tài)平衡存儲(chǔ)技術(shù)，實(shí)現(xiàn)專用處理器的非線性快速規(guī)則匹配算法，保證在極短時(shí)間內(nèi)完成防火墻每一次發(fā)起規(guī)則查找。
5．2 可靠性設(shè)計(jì)技術(shù)
    在千兆環(huán)境下對(duì)防火墻的高可靠性提出更高要求，可在硬件和軟件兩個(gè)方面取得突破。
    (1)硬件方面網(wǎng)絡(luò)處理器單元采用14層高速PCB設(shè)計(jì)和板級(jí)仿真，解決因高頻串?dāng)_帶來(lái)的千兆線速丟包問(wèn)題，和獨(dú)立硬件控制下災(zāi)難自恢復(fù)機(jī)制，保證系統(tǒng)可靠性。
    (2)軟件方面 可將網(wǎng)絡(luò)安全處理功能運(yùn)行在網(wǎng)絡(luò)處理器中，避免操作系統(tǒng)帶來(lái)的不穩(wěn)定性和安全隱患問(wèn)題。
5．3 可擴(kuò)展設(shè)計(jì)技術(shù)
    作為網(wǎng)絡(luò)安全設(shè)備的防火墻，在系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)中，除突出高性能和高穩(wěn)定性外，需特別注重系統(tǒng)的可擴(kuò)展性。擴(kuò)展設(shè)計(jì)包括硬件采用模塊化設(shè)計(jì)和軟件采用模塊分層，并逐層封裝，配置與控制層提供功能的擴(kuò)展接口。
5．4 精確流控技術(shù)
    基于網(wǎng)絡(luò)處理器提供的能力，實(shí)現(xiàn)高效的數(shù)據(jù)流分類算法；在隊(duì)列調(diào)度方面，支持先進(jìn)先出隊(duì)列、定制隊(duì)列、加權(quán)公平隊(duì)列和基于類的加權(quán)公平隊(duì)列調(diào)度算法；在擁塞控制方面，實(shí)現(xiàn)業(yè)界流行的WRED算法，準(zhǔn)確的丟包算法保證當(dāng)網(wǎng)絡(luò)發(fā)生擁塞時(shí)，避免由于誤丟包而帶來(lái)流量震蕩。

6 結(jié)束語(yǔ)
    基于NP的安全防火墻設(shè)計(jì)已成為分布式電子商務(wù)系統(tǒng)中最成熟的技術(shù)，是電子商務(wù)安全管理人員有效的防御工具。但任何一個(gè)安全產(chǎn)品或技術(shù)都不能提供永遠(yuǎn)安全，因?yàn)榫W(wǎng)絡(luò)在變化，應(yīng)用在變化，入侵手段也在變化。對(duì)于電子商務(wù)應(yīng)用系統(tǒng)安全防火墻來(lái)說(shuō)，技術(shù)的不斷進(jìn)步才是真正的保障。研制新的網(wǎng)絡(luò)安全設(shè)計(jì)方案，將成為今后互聯(lián)網(wǎng)絡(luò)發(fā)展應(yīng)用的一個(gè)重要課題。