LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 3911|回复: 8

防火墙设计中的一些重点问题(转贴)

[复制链接]
发表于 2004-12-8 17:04:03 | 显示全部楼层 |阅读模式
防火墙设计中的一些重点问题

   1.方案:硬件?还是软件?


   从上面讨论可以看出,现在防火墙的功能越来越多越花哨,如此多的功能必然要求系统有一个高效的处理能力。

  防火墙从实现上可以分为软件防火墙和硬件防火墙。软件防火墙以checkpoint公司的Firewall-I为代表,其实现是通过 dev_add_pack的办法加载过滤函数(Linux,其他操作系统没有作分析,估计类似),通过在操作系统底层做工作来实现防火墙的各种功能和优化。国内也有一些所谓的软件防火墙,但据了解大多是所谓“个人”防火墙,而且功能及其有限,故不在此讨论范围。


   在国内目前已通过公安部检验的防火墙中,硬件防火墙占绝大多数。硬件防火墙一种是从硬件到软件都单独设计,典型如Netscreen防火墙不但软件部分单独设计,硬件部分也采用专门的ASIC集成电路。

   另外一种就是基于PC架构的使用经过定制的通用操作系统的所谓硬件防火墙。目前国内绝大
多数防火墙都属于这种类型。

  虽然都号称硬件防火墙,国内厂家和国外厂家还是存在着巨大区别。硬件防火墙需要在硬件和软件两方面同时下功夫,国外厂家的通常做法是软件运算硬件化,其所设计或选用的运行平台本身的性能可能并不高,但它将主要的运算程序(查表运算是防火墙的主要工作)做成芯片,以减少主机CPU的运算压力。国内厂家的防火墙硬件平台基本上采用通用PC系统或工业PC架构(直接原因是可以节省硬件开发成本),在提高硬件性能方面所能做的工作仅仅是提升系统CPU的处理能力,增大内存容量而已。现在国内防火墙的一个典型结构就是:工业主板+x86+128(256)M内存+DOC/DOM+硬盘(或不要硬盘而另增加一个日志服务器)+百兆网卡 这
样一个工业PC结构。

  在软件性能方面,国内外厂家的差别就更大了,国外(一些著名)厂家均是采用专用的操作系统,自行设计防火墙。而国内所有厂家操作系统系统都是基于通用的 Linux,无一例外。各厂家的区别仅仅在于对Linux系统本身和防火墙部分(2.2内核为ipchains,2.4以后内核为netfilter)所作的改动量有多大。

  事实上,Linux只是一个通用操作系统,它并没有针对防火墙功能做什么优化,而且其处理大数据量通信方面的能力一直并不突出,甚至比较低下(这也是 Linux一直只是低端服务器的宠儿的重要原因,我自己认为,在这一点上它还不如BSD系列,据说国外有用BSD做防火墙的,国内尚未见到)。现在绝大部分厂家,甚至包括号称国内最大的天融信,在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动(绝大部分还是没有什么改动)和少量的系统补丁。而且我们在分析各厂家产品时可以注意这一点,如果哪个厂家对系统本身做了什么大的改动,它肯定会把这个视为一个重要的卖点,大吹特吹,遗憾的是似乎还没有什么厂家有能力去做宣传(天融信似乎有一个类似于checkpoint的功能:开放式的安全应用接口 TOPSEC,但它究竟做了多少工作,还需要去仔细了解)。

   目前国内厂家也已经认识到这个问题,有些在做一些底层的工作,但有明显成效的,似乎还没有。

   在此我们仅针对以Linux(或其他通用操作系统)为基础的、以PC架构为硬件载体的防火墙做讨论,以下如不特别提出,均同。

   2.内核和防火墙设计

  现在有一种商业卖点,即所谓“建立在安全操作系统之上的第四代防火墙”(关于防火墙分代的问题,目前有很多讨论,比较一致的是把包过滤防火墙称为第一代防火墙,把应用型防火墙(一般结合了包过滤功能,因此也成为混合型防火墙)称为第二代防火墙,有些厂家把增加了检测通信信息、状态检测和应用监测的防火墙称为第三代防火墙,更有甚者在此基础上提出了采用安全操作系统的防火墙,并把这个称为第四代防火墙)。所谓安全操作系统,其实大多用的还是Linux,所不同的是需要做一些内核加固和简单改造的工作,主要有以下: 取消危险的系统调用,或者截获系统调用,稍加改动(如加载一些llkm);


   限制命令执行权限;
   取消IP转发功能;
   检查每个分组的接口;
   采用随机连接序号;
   驻留分组过滤模块;
   取消动态路由功能;
   采用多个安全内核(这个只见有人提出,但未见到实例,对此不是很清楚)。

   以上诸多工作,其实基本上都没有对内核源码做太大改动,因此从个人角度来看算不上可以太夸大的地方。

  对于防火墙部分,国内大部分已经升级到2.4内核所支持的netfilter。netfilter已经是一个功能比较完善的防火墙框架,它已经支持基于状态的监测(通过connection track模块实现)。而且netfilter是一个设计很合理的框架,可以在适当的位置上登记一些需要的处理函数,正式代码中已经登记了许多处理函数,如在NF_IP_FORWARD点上登记了装发的包过滤功能(包过滤等功能便是由这些正式登记的函数实现的)。我们也可以登记自己的处理函数,在功能上作扩展(如加入简单的IDS功能等等)。这一点是国内厂家可以做文章的地方,至于netfilter源码的修改,对国内厂家来说似乎不太现实。

   至于采用其它防火墙模型的,目前还没有看到(可能是netfilter已经设计的很成功,不需要我们再去做太多工作)。

   3.自我保护能力(安全性)
   由于防火墙的特殊功能和特殊位置,它自然是众多攻击者的目标,因此它的自我包括能力在设计过程中应该放在首要的位置。

   A.管理上的安全性
   防火墙需要一个管理界面,而管理过程如何设计的更安全,是一个很重要的问题。目前有两种方案。

   a.设置专门的服务端口


  为了减少管理上的风险和降低设计上的难度,有一些防火墙(如东方龙马)在防火墙上专门添加了一个服务端口,这个端口只是用来和管理主机连接。除了专用的服务口外,防火墙不接受来自任何其它端口的直接访问。这样做的显著特点就是降低了设计上的难度,由于管理通信是单独的通道,无论是内网主机、外网主机还是DMZ内主机都无法窃听到该通信,安全性显然很高,而且设计时也无需考虑通信过程加密的问题。

   然而这样做,我们需要单独设置一台管理主机,显然太过浪费,而且这样管理起来的灵活性也不好。

   b.通信过程加密


   这样无需一个专门的端口,内网任意一台主机都可以在适当的情况下成为管理主机,管理主
机和防火墙之间采用加密的方式通信。



   目前国内有采用的是使用自定义协议、一次性口令认证。对加密这个领域了解不多,不做详
细讨论。



   B.对来自外部(和内部)攻击的反应能力

   目前常见的来自外部的攻击方式主要有:

   a.DOS(DDOS)攻击


  (分布式)拒绝服务攻击是目前一种很普遍的攻击方式,在预防上也是非常困难的。目前防火墙对于这种攻击似乎没有太多的解决办法,主要是提高防火墙本身的健壮性(如增加缓冲区大小)。在Linux内核中有一个防止Syn flooding攻击的选项:CONFIG_SYN_COOKIES,它是通过为每一个Syn建立一个缓冲(cookie)来分辨可信请求和不可信请求。另外对于ICMP攻击,可以通过关闭ICMP 回应来实现。

   b.IP假冒(IP spoofing)


   IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。

   第一,防火墙设计上应该知道网络内外的IP地址分配,从而丢弃所有来自网络外部但却有内部地址的数据包。实际实现起来非常简单,只要在内核中打开rp_filter功能即可。

   第二,防火墙将内网的实际地址隐蔽起来,外网很难知道内部的IP地址,攻击难度加大。IP假冒主要来自外部,对内网无需考虑此问题(其实同时内网的IP假冒情况也可以得到遏制)。

   c.特洛伊木马
   防火墙本身预防木马比较简单,只要不让系统不能执行下载的程序即可。

  一个需要说明的地方是必须指出的是,防火墙能抗特洛伊木马的攻击并不意味着内网主机也能防止木马攻击。事实上,内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决(防火墙只能在内网主机感染木马以后起一定的防范作用)。

   d.口令字攻击


   口令字攻击既可能来自外部,也可能来自内部,主要是来自内部。(在管理主机与防火墙通过单独接口通信的情况下,口令字攻击是不存在的)

   来自外部的攻击即用穷举的办法猜测防火墙管理的口令字,这个很容易解决,只要不把管理部分提供给外部接口即可。

   内部的口令字攻击主要是穷举和嗅探,其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字,如果口令字已加密,则解密得到口令字。目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。

   e.邮件诈骗


   邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单,不接收任何邮件就可以了。然而象木马攻击一样,内网主机仍可收发邮件,邮件诈骗的危险仍然存在,其解决办法一个是内网主机本身采取措施防止邮件诈骗,另一个是在防火墙上做过滤。

   f.对抗防火墙(anti-firewall)


  目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。一种是分析防火墙功能和探测防火墙内部网络结构,典型的如Firewalk。另外有一些其他的网络安全性分析工具本身具有双刃性,这类工具用于攻击网络,也可能会很有效的探测到防火墙和内部网络的安全缺陷,典型的如SATAN和ISS公司的 Internet Security Scanner。目前对于这种探测(攻击)手段,尚无有效的预防措施,因为防火墙本身是一个被动的东西,它只能靠隐藏内部网络结构和提高自身的安全性来对抗这些攻击。

   C.透明代理的采用


  应用代理防火墙一般是通过设置不同用户的访问权限来实现,这样就需要有用户认证体系。以前的防火墙在访问方式上主要是要求用户登录进系统(如果采用 sock代理的方式则需要修改客户应用)。透明代理的采用,可以降低系统登录固有的安全风险和出错概率,从而提高了防火墙的安全性。

   4.透明性


   防火墙的透明性指防火墙对于用户是透明的,在防火墙接入网络时,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。

  防火墙作为一个实际存在的物理设备,要想放入已存在地网络中又不对网络有任何影响,就必须以网桥的方式置入网络。传统方式下,防火墙安装时,更象是一台路由器或者网关,原有网络拓扑结构往往需要改变,网络设备(包括主机和路由器)的设置(IP和网关、DNS、路由表等等)也需要改变。但如果防火墙采用了透明模式,即采用类似网桥的方式运行,用户将不必重新设定和修改路由,也不需要知道防火墙的位置,防火墙就可以直接安装和放置到网络中使用。

  透明模式最大的好处在于现有网络无需做任何改动,这就方便了很多客户,再者,从透明模式转换到非透明模式又很容易,适用性显然较广。当然,此时的防火墙仅仅起到一个防火墙的作用,其他网关位置的功能如NAT、VPN功能不再适用,当然,其他功能如透明代理还可以 继续使用。


   目前透明模式的实现上可采用ARP代理和路由技术实现。此时防火墙相当于一个ARP代理的功能。内网(可以仍含有路由器或子网,依次类推)、防火墙、路由器的位置大致如下:

   内网―――――防火墙―――――路由器
   (需要说明的是,这种方式是绝大多数校园网级网络的实现方式)

  内网主机要想实现透明访问,必须能够透明的传送内网和路由器之间的ARP包,而此时由于事实上内网和路由器之间无法连通,防火墙就必须配置成一个ARP代理(ARP Proxy)在内网主机和路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时,防火墙用和路由器相连接口的MAC地址回送ARP包;内网内某一主机发送ARP广播包询问路由器的硬件地址时,防火墙用和内网相连接口的MAC地址回送ARP包,因此路由器和内网主机都认为将数据包发给了对方,而实际上是发给了防火墙转发。

  显然,此时防火墙还必须实现路由转发,使内外网之间的数据包能够透明的转发。另外,防火墙要起到防火墙的作用,显然还需要把数据包上传给本身应用层处理(此时实现应用层代理、过滤等功能),此时需要端口转发来实现(?这个地方不是十分清楚,也没找到相关资料)。透明模式和非透明模式在网络拓扑结构上的最大区别就是:透明模式的两块网卡(与路由器相连的和与内网相连的)在一个网段(也和子网在同一个网段);而非透明模式的两块网卡分别属于两个网段(内网可能是内部不可路由地址,外网则是合法地址)。

   这个过程如下:


   1. 用ARP代理实现路由器和子网的透明连接(网络层)
   2. 用路由转发在IP层实现数据包传递(IP层)
   3. 用端口重定向实现IP包上传到应用层(IP层)

  前边我们讨论过透明代理,和这里所说的防火墙的透明模式是两个概念。透明代理主要是为实现内网主机可以透明的访问外网,而无需考虑自己是不可路由地址还是可路由地址。内网主机在使用内部网络地址的情况下仍然可以使用透明代理,此时防火墙既起到网关的作用又起到代理服务器的作用(显然此时不是透明模式)。

  需要澄清的一点是,内外网地址的转换(即NAT,透明代理也是一种特殊的地址转换)和透明模式之间并没有必然的联系。透明模式下的防火墙能实现透明代理,非透明模式下的防火墙(此时它必然又是一个网关)也能实现透明代理。它们的共同点在于可以简化内网客户的设置而已。

   目前国内大多防火墙都实现了透明代理,但实现了透明模式的并不多。这些防火墙可以很明显的从其广告中看出来:如果哪个防火墙实现了透明模式,它的广告中肯定会和透明代理区分开而大书特书的。

   5.可靠性


  防火墙系统处于网络的关键部位,其可靠性显然非常重要。一个故障频频、可靠性很差的产品显然不可能让人放心,而且防火墙居于内外网交界的关键位置,一旦防火墙出现问题,整个内网的主机都将根本无法访问外网,这甚至比路由器故障(路由器的拓扑结构一般都是冗余设计)更让人无法承受。

   防火墙的可靠性也表现在两个方面:硬件和软件。

   国外成熟厂商的防火墙产品硬件方面的可靠性一般较高,采用专门硬件架构且不必多说,采用PC架构的其硬件也多是专门设计,系统各个部分从网络接口到存储设备(一般为电子硬盘)集成在一起(一块板子),这样自然提高了产品的可靠性。

   国内则明显参差不齐,大相径庭,大多直接使用PC架构,且多为工业PC,采用现成的网卡,DOC/DOM作为存储设备。工业PC虽然可靠性比普通PC要高不少,但是毕竟其仍然是拼凑式的,设备各部分分立,从可靠性的角度看显然不如集成的(著名的水桶原理)。

   国内已经有部分厂家意识到了这个问题,开始自行设计硬件。但大多数厂家还是从成本的角度考虑使用通用PC架构。

  另外一方面,软件可靠性的提高也是防火墙优劣的主要差别所在。而国内整个软件行业的可靠性体系还没有成熟,软件可靠性测试大多处于极其初级的水平(可靠性测试和bug测试完全是两个概念)。一方面是可靠性体系建立不起来,一方面是为了迎合用户的需求和跟随网络应用的不断发展,多数防火墙厂商一直处于不断的扩充和修改中,其可靠性更不能让人恭维。

   总的来说,如同国内大多数行业(除了少数如航天、航空)一样,网络安全产品特别是防火墙的可靠性似乎还没有引起人们的重视。

   6.市场定位


   市场上防火墙的售价极为悬殊,从数万元到数十万元,甚至到百万元不等。由于用户数量不同,用户安全要求不同,功能要求不同,因此防火墙的价格也不尽相同。厂商因而也有所区分,多数厂家还推出模块化产品,以符合各种不同用户的要求。

   总的说来,防火墙是以用户数量作为大的分界线。如checkpoint的一个报价:


CheckPoint Firewall-1 4.1 25user 19000.00
CheckPoint Firewall-1 4.1 50user 31000.00
CheckPoint Firewall-1 4.1 100user 51000.00
CheckPoint Firewall-1 4.1 250user 64000.00
CheckPoint Firewall-1 4.1 无限用户 131000.00

   从用户量上防火墙可以分为:

   a. 10-25用户:
 

  这个区间主要用户为单一用户、家庭、小型办公室等小型网络环境。防火墙一般为10M(针对
硬件防火墙而言),两网络接口,涵盖防火墙基本功能:包过滤、透明模式、网络地址转换
、状态检测、管理、实时报警、日志。一般另有可选功能:VPN、带宽管理等等。
这个区间的防火墙报价一般在万元以上2万元以下(没有VPN和带宽管理的价格更低)。
据调查,这个区间的防火墙反而种类不多,也许是国内厂商不屑于这个市场的缘故?

   b. 25-100用户
   这个区间用户主要为小型企业网。防火墙开始升级到100M,三或更多网络接口。VPN、带宽管
理往往成为标准模块。
这个区间的防火墙报价从3万到15万不等,根据功能价格有较大区别。相对来说,这个区间上
硬件防火墙价格明显高于软件防火墙。
目前国内防火墙绝大部分集中在这个区间中。

   c. 100-数百用户
  这个区间主要为中型企业网,重要网站、ISP、ASP、数据中心等使用。这个区间的防火墙较多考虑高容量、高速度、低延迟、高可靠性以及防火墙本身的健壮性。并且开始支持双机热备份。这个区间的防火墙报价一般在20万以上。这样的中高端防火墙国内较少,有也是25-100用户的升级版,其可用性令人怀疑。

   d. 数百用户以上
这个区间是高端防火墙,主要用于校园网、大型IDC等等。我们接触较少,不多做讨论。当然其价格也很高端,从数十万到数百万不等。

  总的来说,防火墙的价格和用户数量、功能模块密切相关,在用户数量相同的情况下,功能越多,价格就越贵。如Netscreen的百兆防火墙: NetScreen-100f(AC Power) -带防火墙+流量控制等功能,交流电源,没有VPN功能报价在¥260,000而在此基础上增加了128位VPN功能的报价则高出5万元:¥317,500

   7. 研发费用
  如同其他网络安全产品一样,防火墙的研发费用也是很高的。防火墙由于技术含量较高,人员技术储备要求较高,防火墙核心部分的研发必须要对操作系统有相当的熟悉,所需为UNIX系统下开发人员,而目前国内真正能拿的出手的UNIX程序员数量还是太少(远远少于Windows平台下开发人员),人员成本很高。

   总的来说,防火墙的研发是一个大项目,而且其前期定位一定要准确,该做什么、不该做什么,哪些功能得实现,哪些功能不必实现、哪些功能可以在后期实现,一定要清楚,否则费用会远远超出预计。

   下边对一个中小型企业级防火墙的研发费用作个简单的估计。


   研发时,防火墙可以细分为(当然在具体操作时往往需要再具体划分):

   内核模块
   防火墙模块(含状态检测模块)
   NAT模块
   带宽管理模块
   通信协议模块
   管理模块
   图形用户界面模块(或者Web界面模块)
   透明代理模块(实质属于NAT模块)
   透明模式模块(包括ARP代理子模块、路由转发子模块等)
   各应用代理模块(包括URL过滤模块)
   VPN模块
   流量统计与计费模块
   审计模块
   其他模块(如MAC、IP地址绑定模块、简单的IDS、自我保护等等)

  上边把防火墙划分为12个模块,其中每一个模块都有相当的工作量要做,除了弹性较大的内核模块和防火墙模块(它们的工作量可能异常的大,视设计目标不同),其他模块暂定10人周的话就需要120周(VPN的工作量也相当大),两个主模块各按20人周计算,防火墙实现总共需要150人周。加上前期10- 15人周论证、定方案,后期20人周(保守数字)集成、测试,前后总共需要约210人周。按每人周1200元开发费用(折合工资5000月,但由于有运行费用、保险等费用摊分,个人工资应远低于这个数字),开发费用约需25万。

   显然,这个数字只是一个局外人估计的下限,实际的研发应该超出这个数字很多。

   8. 可升级能力(适用性)和灵活性
  对用户来说,防火墙作为大成本投入的商品,势必要考虑到可升级性的问题,如果防火墙不能升级,那它的可用性和可选择余地势必要大打折扣。目前国内防火墙一般都是软件可升级的,这是因为大多数防火墙采用电子硬盘(少数采用磁盘),实现升级功能只要很小的工作量要做。但究竟升级些什么内容?升级周期多长一次?这就涉及到一个灵活性的问题。

   防火墙的灵活性主要体现在以下几点:

   a. 易于升级
   b. 支持大量协议
   c. 易于管理(如纳入通用设备管理体系(支持SNMP)而不是单列出来)
   d. 功能可扩展

  这里对功能可扩展做一简单讨论。一般情况下,防火墙在设计完成以后,其过滤规则都是定死的,用户可定制的余地很小。特别如URL过滤规则(对支持URL过滤的防火墙而言),当前网络中的漏洞是不断发现的,如最近很猖獗的codered攻击的就是Windows机器IIS服务器的ida漏洞,而我们如果能够及时定义过滤规则,对于“GET /default.ida”的请求及时过滤,那么内网主机(此时一般为DMZ内主机)的安全性就会高很多,内网管理人员也不必时时密切关注网络漏洞(这是个工作量很大,既耗费体力又容易出现遗漏的工作)。这样大部分工作留给防火墙厂家来做(相应需要有一个漏洞监测体系),用户肯定会满意很多。另外,灵活性一开始也往往不是前期设计所能设计的很完美的,它需要和用户具体实践相配合。另外灵活性也是和具体环境密切结合的,往往需要在不同的用户环境里考虑。

原文:http://gtogo.myetang.com/po/firewall/8.htm
发表于 2004-12-8 22:26:08 | 显示全部楼层
谢谢,收益匪浅
发表于 2006-8-8 20:59:53 | 显示全部楼层
这更像是篇写给主管们的文章

不过还是通过它了解了不少东西,就是怕过两天又忘了

毕竟没法自己实践一番的东西都记得不大牢靠
回复 支持 反对

使用道具 举报

发表于 2006-8-9 09:02:57 | 显示全部楼层
防火墙面临结构升级
http://www.hacker.com.cn/ 黑客防线


作者:刘兵、毕学尧、张海涛 文章来源:中国计算机报 网络与通信

经过若干年的讨论后,对于防火墙的存在形式,人们已经有了统一认识——还是硬件防火墙性价比高。

基于ASIC的防火墙依靠其优异性能成为目前公认的最好的防火墙。

但是,由于种种原因,这种技术并不适合于国内厂商发展。

那么,国产的防火墙该靠什么来崛起呢?有人提出,要靠最新的网络处理器(NP)技术。

目前,国内外各种品牌的防火墙在功能上大同小异,而且随着Intel X86CPU性能的快速提高,基于Intel X86架构的防火墙在100Mbps带宽下的性能也可以满足用户的需求。但是,随着千兆网络的建设或升级,新的问题又摆在防火墙厂商和用户的面前,带宽提高了9倍,可是系统总线、接口没变,CPU的处理能力却不可能提高9倍,对于要完成包括包过滤、代理、NAT、防攻击等多项任务的防火墙来说,原有的硬件和结构不可能满足千兆环境的性能要求。这就决定了在下一阶段,性能将成为防火墙产品的竞争焦点,也是国内外厂商、用户关注的热点。

软硬结合一直是防火墙设计和实现的主要方法,对于提高性能来说,硬件技术是关键。高速网络环境下千兆防火墙产品的数据处理包括过滤、内容检查、高速交换、加解密等诸多方面,没有高性能的硬件就不能保证千兆以上的线速处理,而缺乏灵活性就不能满足千兆防火墙产品对网络协议进行二到七层处理的需求。这就需要使用具有高性能、高灵活性以及高可靠性的专用网络设备。网络处理器以其杰出的包处理性能及可编程性成为构筑网络转发引擎不可替代的核心,它已经成为新一代网络设备的核心处理器,是未来网络设备的发展趋势。

网络处理器比工控机、ASIC更适于千兆

网络处理器顾名思义即专为网络数据处理而设计的芯片或芯片组,能够直接完成网络数据处理的一般性任务,如TCP/IP数据的校验和计算、包分类、路由查找等,同时,硬件体系结构的设计也弥补了传统IA体系的不足,它们大多采用高速的接口技术和总线规范,具有较高的I/O能力,这样,基于网络处理器的网络设备的包处理能力得到了很大提升,很多需要高性能的领域,如千兆交换机、防火墙、路由器的设计都可以采用网络处理器来实现。

千兆防火墙的硬件实现技术主要有三种:Intel X86架构工控机、ASIC硬件加速技术和网络处理器加速技术。Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐。在百兆防火墙比较容易地获得成功后,很多开发商对千兆防火墙产品的开发也很乐观,认为通过提高CPU主频,扩大内存、用最好的千兆服务器网卡等手段就能直接满足千兆环境的需求,但实际情况却并非如此,其中最主要的问题就表现在性能上。

由于采用PCI总线接口,Intel X86架构的硬件虽然理论上能达到接近2Gbps的吞吐量,但实际应用中,尤其是在小包情况下,远远达不到标称性能,通用CPU的处理能力也很有限。而且,由于X86 CPU的广泛应用,很多网络攻击,尤其是溢出攻击很容易实现,设备自身的安全性较低。而网络处理器不但处理性能高,由于采用了ARM、PowerPC或 MIPS CPU,能防范大多数的溢出攻击,提高了自身的安全性。不过,对于性能和安全要求不太高的用户来说,基于Intel X86架构的防火墙基本可以满足需求。

国外有部分厂商的防火墙产品采用了ASIC专用硬件加速,如NetScreen的高端防火墙。这样做可以明显提升防火墙的吞吐性能,但对于升级维护的灵活性和扩展性不够,而且开发费用高,开发周期长,一般需要两年以上的时间,不利于公司快速推出满足用户不断变化需求的防火墙产品。网络处理器是一种非基于ASIC的IC或IC芯片组,利用软件编程,网络处理器可以像ASIC那样快速地处理数据包。同时可以通过升级芯片上的固件增加新的功能。其固件既可以由网络设备厂商编写,也可由第三方加载到处理器中。一般而言,网络处理器比基于ASIC的设计解决方案能缩短上市时间,并能节约几百万美元的资金。同时,由于知识产权包含在软件而不是硬件中,因此,网络设备制造商可以很方便地重复应用他们的秘密,从而使下一代产品的设计成本进一步减少,使上市时间更短。

两种可用的网络处理器结构

在开发基于网络处理器的防火墙之前,最重要的工作莫过于选择何种网络处理器,因为这在功能、性能以及软件支持方面具有较大的差异,不但会影响防火墙的功能和性能,对上市时间也有很大影响,用户在选择千兆防火墙之前也应该考虑这一点。目前,网络处理器都是由国外厂商设计制造的,从体系结构上主要分为两大类:一类是以Intel 的IXP系列产品为代表,分为控制和处理(或称数据)两个平面,如Intel公司的IXP1200,控制平面是一个ARM CORE,负责维护系统信息和协调处理部分工作,处理平面由多个微引擎(Micro Engine)和其他专用硬件组成,负责利用控制平面下发的微代码和命令,直接处理网络数据。这类产品在对数据包进行简单过滤时性能较好,但是由于体系结构限制,尤其是微代码的开发相对复杂,导致灵活性较差,难以满足复杂多变的市场需求,一般适合3层(IP层)及以下网络数据的处理。另一类产品以SiByte 的Mercurian系列产品为代表,它基于MIPS CPU设计,如SB1250。它一方面保持了基于通用CPU设计的灵活性,另一方面通过SOC(System On Chip)的方式消除了传统CPU、总线、设备之间带宽的瓶颈问题。这类产品灵活性较强,易于开发、升级和维护,适于构建速度可与专用ASIC相媲美的、完全可编程的网络处理平台。一般来说,单用吞吐量来评价防火墙性能是很不够的,更应考虑到它能够支持哪些应用以及支持新应用的可扩展性,有人曾说过:“网络处理器应用于实际的商用产品开发的一个必要条件是,网络处理器需要有完美的可塑性。”从这个角度来看,后一类网络处理器产品是值得考虑的。

目前,网络处理器的发展速度非常快,Intel公司的IXP系列最新型号的产品IXP2800,已经能够处理10Gbps的网络数据,IBM公司的NP4GS3能够处理2.5Gbps的网络数据,这两款产品可以用于开发QoS服务器、高端交换机、骨干路由器等产品。不过由于供货时间的关系,目前大规模应用的Intel网络处理器还是以IXP1200为主,高端产品可能要今年晚些时候才能供货。采用IXP网络处理器的开发费用不是很高,但是由于IXP1200单片的处理性能较低,一般需要多片并行工作才能满足千兆需求,还需要其他协处理芯片配合,对硬件设计能力要求较高,也导致其最终产品价格不可能太低。SiByte公司的SB1250作为宽带网络处理器现在已经非常成熟,它内部集成了多个MAC控制器,能直接计算TCP/IP数据包的校验和,可处理2.5Gbps全双工的网络数据,而且开发费用相对小得多,是开发高端千兆防火墙的较好选择。

国内厂商寄厚望于网络处理器

现在国内外有很多防火墙厂商已经意识到了,利用网络处理器作为下一代千兆防火墙是大势所趋,部分厂商也已经开始了这方面的探索和努力,如美国的ServerGate防火墙,它采用多片IXP1200结合高速包分类芯片设计,在进行多路测试情况下,其吞吐量可达到800Mbps左右(64bytes包)。另外,据“赛迪网”报道(http://www.ccidnet.com/news/ente ... 防火墙产品。

我们认为,在传统Intel X86架构上开发高端网络安全产品灵活性强,可扩充能力好,但性能无法满足千兆需求。同时,开发专用于网络处理的ASIC芯片费用高、时间长而且灵活性较差。在这种情况下,利用网络处理器开发下一代高速网络安全产品是一个必然趋势,特别是对国内防火墙厂商而言,采用网络处理器可以快速缩短和国外厂商的差距,填补国内产品在高端市场上的空白,提高我国网络安全防护的整体水平。不过我们需要注意的是,在千兆防火墙的设计中,只有根据用户需求选择合适的网络处理器,才可能在下阶段竞争中取得主动。
回复 支持 反对

使用道具 举报

发表于 2006-9-19 21:38:15 | 显示全部楼层
谢谢楼上几位的文章。受益非浅!

个人正在试着研究IPV6的防火墙软件。不知楼上高手可否给以建议?

在板子选择上,一直在x86 和 Xscale 之间犹豫。对于x86和ARM是担心其设备能力,Xscale是因为设备价格。现在看来似乎ARM也还可以考虑。可否给些建议?谢谢!
回复 支持 反对

使用道具 举报

发表于 2006-9-20 20:54:58 | 显示全部楼层
偶也考虑是不是毕业设计研究一下防火墙
回复 支持 反对

使用道具 举报

发表于 2006-9-20 20:55:06 | 显示全部楼层
偶也考虑是不是毕业设计研究一下防火墙
回复 支持 反对

使用道具 举报

发表于 2006-9-26 13:33:08 | 显示全部楼层
很不错,先顶了!!
回复 支持 反对

使用道具 举报

发表于 2006-11-11 20:19:36 | 显示全部楼层
谢谢楼上几位的文章。受益非浅!
以后要多看看防火墙反面的东西
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表