基于NP的千兆電子商務應用系統(tǒng)安全防火墻設計

1 引言
隨著骨干網(wǎng)絡帶寬的不斷加大，分布式千兆網(wǎng)絡已成為電子商務系統(tǒng)的主流方案，而由此帶來的電子商務系統(tǒng)安全問題也日益突出，研究和設計千兆電子商務系統(tǒng)防火墻，可有效保證電子商務系統(tǒng)的正常運行。

2 千兆防火墻硬件實現(xiàn)方案選擇
防火墻分為軟件防火墻和硬件防火墻。軟件防火墻通過直接在專用或通用操作系統(tǒng)上運行防火墻軟件來實現(xiàn)安全控制存取訪問，成本低、靈活性好，但其性能卻依賴于運行平臺的特性，造成網(wǎng)絡速度的嚴重下降，不能滿足千兆防火墻的高性能要求，因此，千兆防火墻都是硬件防火墻。千兆防火墻的硬件實現(xiàn)一般有基于Intel X86架構、基于ASIC和基于網(wǎng)絡處理器NP 3種。其中，基于Intel X86架構的實現(xiàn)方案以其高靈活性和擴展性在百兆防火墻上獲得巨大成功，然而對于千兆網(wǎng)，X86架構的CPU由于考慮各種應用需要，具有一般化的通用體系結構和指令集，其處理速度相對較慢，難以滿足千兆網(wǎng)絡對于高線速的需求；基于ASIC的實現(xiàn)方案將指令或計算邏輯固化到硬件處理性能極高，但缺乏靈活性，不便于修改和升級；而基于NP的實現(xiàn)方案則采用微碼編程，專為網(wǎng)絡分組處理而開發(fā)，具有優(yōu)化的體系結構和指令集，比X86 CPU具備更高的處理性能。而且NP有專門的指令集和配套的軟件開發(fā)系統(tǒng)，編程能力強，能夠方便開發(fā)各種應用，因而比ASIC更靈活。圖1為這3種硬件防火墻設計在性能與功能和靈活性方面的綜合特性比較。由圖1看出，基于NP的實現(xiàn)方案是千兆防火墻最佳的硬件實現(xiàn)方案。

3 網(wǎng)絡處理器NP簡介
網(wǎng)絡處理器NP(Network Processor)是專為處理數(shù)據(jù)包而設計的可編程處理器，其內(nèi)含多個數(shù)據(jù)處理引擎，在處理2～4層的分組數(shù)據(jù)上比通用處理器具有明顯優(yōu)勢。網(wǎng)絡處理器的體系結構一般由網(wǎng)絡處理器單元、硬件協(xié)處理器單元和網(wǎng)絡接口單元3部分組成，如圖2所示。網(wǎng)絡處理器單元是由若干個微碼處理器組成，這些微碼處理器并行處理數(shù)據(jù)，極大提高網(wǎng)絡處理器的處理速度。如果需要增加新的功能或標準，只需通過配套的軟件開發(fā)系統(tǒng)給微碼處理器增加新的微碼。對于那些要求高速處理的復雜的通用功能模塊(如內(nèi)存操作、路由表查找算法、Qos的擁塞控制算法、流量調度算法等)，則采用硬件協(xié)處理器實現(xiàn)，提高系統(tǒng)性能，從而實現(xiàn)業(yè)務的靈活性和高性能。

總之，網(wǎng)絡處理器不但具有高性能和高可靠性的優(yōu)點，還具有極大的靈活性和可擴展性。而且，網(wǎng)絡處理器提供的編程能力還縮短開發(fā)周期，延長使用壽命。

4 千兆電子商務系統(tǒng)防火墻設計方案
基于NP的千兆電子商務系統(tǒng)防火墻由主控單元、網(wǎng)絡處理單元和電源3部分組成，如圖3所示。其中，主控單元采用通用處理器設計的管理與協(xié)處理板，網(wǎng)絡處理單元通過PCI總線與主控單元通信；網(wǎng)絡處理單元采用基于NP的專用網(wǎng)絡處理板；電源則專為主控單元和網(wǎng)絡處理單元提供電源支持。

4．1 主控單元
主控單元采用通用CPU設計的主控板，用于配置管理網(wǎng)絡處理板和運行其他非實時性的安全模塊，包括CPU、存儲器、Flash、串行接口、網(wǎng)絡接口和PCI總線，如圖4所示。通過串行接口或網(wǎng)絡接口配置管理防火墻。Flash中存儲防火墻操作系統(tǒng)，主控單元上電后將防火墻操作系統(tǒng)裝載到存儲器中執(zhí)行，并通過PCI總線與網(wǎng)絡處理單元通信。