新聞中心

EEPW首頁(yè) > 測(cè)試測(cè)量 > 設(shè)計(jì)應(yīng)用 > 基于NP的千兆電子商務(wù)應(yīng)用系統(tǒng)安全防火墻設(shè)計(jì)

基于NP的千兆電子商務(wù)應(yīng)用系統(tǒng)安全防火墻設(shè)計(jì)

作者: 時(shí)間:2009-12-11 來源:網(wǎng)絡(luò) 收藏

1 引言
隨著骨干網(wǎng)絡(luò)帶寬的不斷加大,分布式千兆網(wǎng)絡(luò)已成為電子商務(wù)系統(tǒng)的主流方案,而由此帶來的電子商務(wù)系統(tǒng)安全問題也日益突出,研究和設(shè)計(jì)系統(tǒng),可有效保證電子商務(wù)系統(tǒng)的正常運(yùn)行。

本文引用地址:http://2s4d.com/article/195602.htm


2 千兆硬件實(shí)現(xiàn)方案選擇
分為軟件防火墻和硬件防火墻。軟件防火墻通過直接在專用或通用操作系統(tǒng)上運(yùn)行防火墻軟件來實(shí)現(xiàn)安全控制存取訪問,成本低、靈活性好,但其性能卻依賴于運(yùn)行平臺(tái)的特性,造成網(wǎng)絡(luò)速度的嚴(yán)重下降,不能滿足千兆防火墻的高性能要求,因此,千兆防火墻都是硬件防火墻。千兆防火墻的硬件實(shí)現(xiàn)一般有基于Intel X86架構(gòu)、基于ASIC和基于網(wǎng)絡(luò)處理器NP 3種。其中,基于Intel X86架構(gòu)的實(shí)現(xiàn)方案以其高靈活性和擴(kuò)展性在百兆防火墻上獲得巨大成功,然而對(duì)于千兆網(wǎng),X86架構(gòu)的CPU由于考慮各種應(yīng)用需要,具有一般化的通用體系結(jié)構(gòu)和指令集,其處理速度相對(duì)較慢,難以滿足千兆網(wǎng)絡(luò)對(duì)于高線速的需求;基于ASIC的實(shí)現(xiàn)方案將指令或計(jì)算邏輯固化到硬件處理性能極高,但缺乏靈活性,不便于修改和升級(jí);而基于NP的實(shí)現(xiàn)方案則采用微碼編程,專為網(wǎng)絡(luò)分組處理而開發(fā),具有優(yōu)化的體系結(jié)構(gòu)和指令集,比X86 CPU具備更高的處理性能。而且NP有專門的指令集和配套的軟件開發(fā)系統(tǒng),編程能力強(qiáng),能夠方便開發(fā)各種應(yīng)用,因而比ASIC更靈活。圖1為這3種硬件防火墻設(shè)計(jì)在性能與功能和靈活性方面的綜合特性比較。由圖1看出,基于NP的實(shí)現(xiàn)方案是千兆防火墻最佳的硬件實(shí)現(xiàn)方案。

3 網(wǎng)絡(luò)處理器NP簡(jiǎn)介
網(wǎng)絡(luò)處理器NP(Network Processor)是專為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器,其內(nèi)含多個(gè)數(shù)據(jù)處理引擎,在處理2~4層的分組數(shù)據(jù)上比通用處理器具有明顯優(yōu)勢(shì)。網(wǎng)絡(luò)處理器的體系結(jié)構(gòu)一般由網(wǎng)絡(luò)處理器單元、硬件協(xié)處理器單元和網(wǎng)絡(luò)接口單元3部分組成,如圖2所示。網(wǎng)絡(luò)處理器單元是由若干個(gè)微碼處理器組成,這些微碼處理器并行處理數(shù)據(jù),極大提高網(wǎng)絡(luò)處理器的處理速度。如果需要增加新的功能或標(biāo)準(zhǔn),只需通過配套的軟件開發(fā)系統(tǒng)給微碼處理器增加新的微碼。對(duì)于那些要求高速處理的復(fù)雜的通用功能模塊(如內(nèi)存操作、路由表查找算法、Qos的擁塞控制算法、流量調(diào)度算法等),則采用硬件協(xié)處理器實(shí)現(xiàn),提高系統(tǒng)性能,從而實(shí)現(xiàn)業(yè)務(wù)的靈活性和高性能。

總之,網(wǎng)絡(luò)處理器不但具有高性能和高可靠性的優(yōu)點(diǎn),還具有極大的靈活性和可擴(kuò)展性。而且,網(wǎng)絡(luò)處理器提供的編程能力還縮短開發(fā)周期,延長(zhǎng)使用壽命。


4 系統(tǒng)防火墻設(shè)計(jì)方案
基于NP的系統(tǒng)防火墻由主控單元、網(wǎng)絡(luò)處理單元和電源3部分組成,如圖3所示。其中,主控單元采用通用處理器設(shè)計(jì)的管理與協(xié)處理板,網(wǎng)絡(luò)處理單元通過PCI總線與主控單元通信;網(wǎng)絡(luò)處理單元采用基于NP的專用網(wǎng)絡(luò)處理板;電源則專為主控單元和網(wǎng)絡(luò)處理單元提供電源支持。

4.1 主控單元
主控單元采用通用CPU設(shè)計(jì)的主控板,用于配置管理網(wǎng)絡(luò)處理板和運(yùn)行其他非實(shí)時(shí)性的安全模塊,包括CPU、存儲(chǔ)器、Flash、串行接口、網(wǎng)絡(luò)接口和PCI總線,如圖4所示。通過串行接口或網(wǎng)絡(luò)接口配置管理防火墻。Flash中存儲(chǔ)防火墻操作系統(tǒng),主控單元上電后將防火墻操作系統(tǒng)裝載到存儲(chǔ)器中執(zhí)行,并通過PCI總線與網(wǎng)絡(luò)處理單元通信。


上一頁(yè) 1 2 下一頁(yè)

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉