基于NP的千兆電子商務(wù)應(yīng)用系統(tǒng)安全防火墻設(shè)計(jì)

4．2 網(wǎng)絡(luò)處理單元
網(wǎng)絡(luò)處理單元采用NP設(shè)計(jì)專用網(wǎng)絡(luò)處理板，內(nèi)嵌微碼運(yùn)行實(shí)時(shí)性高的防火墻功能模塊。圖6為其硬件結(jié)構(gòu)框圖，圖7為網(wǎng)絡(luò)處理流程。
4．3 千兆電子商務(wù)系統(tǒng)防火墻的特點(diǎn)
由于防火墻的安全過濾與操作系統(tǒng)無關(guān)，并與防火墻配置管理、控制分離，所以網(wǎng)絡(luò)處理器的安全功能可隨時(shí)升級。該系統(tǒng)在提供高安全性和高性能的同時(shí)，符合電信級網(wǎng)絡(luò)設(shè)備高可靠、高穩(wěn)定的要求，且相對成本較低。由于具有自主知識(shí)產(chǎn)權(quán)，因此該系統(tǒng)具有極強(qiáng)的功能和可擴(kuò)展性。

5 千兆電子商務(wù)系統(tǒng)安全防火墻關(guān)鍵技術(shù)
為了確保電子商務(wù)系統(tǒng)高安全、高性能、高可靠、高可控和高可擴(kuò)等性能，需突破許多完全超越Intel X86架構(gòu)防火墻的關(guān)鍵技術(shù)，包括線速安全過濾、可靠性設(shè)計(jì)、可擴(kuò)展設(shè)計(jì)、精確流控等技術(shù)。
5．1 線速安全過濾技術(shù)
為使安全防火墻在千兆環(huán)境下達(dá)到線速性能，需采用技術(shù)有：
(1)三級并行處理機(jī)制 包括處理器級并行、線程級并行和指令級并行。從硬件到軟件均采用并行處理機(jī)制，最大限度提高數(shù)據(jù)幀的處理速度。
(2)快速查表技術(shù) 防火墻最主要功能是狀態(tài)檢測和安全規(guī)則檢查。為節(jié)約處理器資源和內(nèi)存資源，硬件采用專用硬件查表協(xié)處理器提高查找速度；軟件根據(jù)其特點(diǎn)采用不同的分類優(yōu)化算法，來提高查表速度。
(3)全規(guī)則動(dòng)態(tài)平衡存儲(chǔ)技術(shù)傳統(tǒng)防火墻的處理性能受限于設(shè)置的安全規(guī)則數(shù)目，隨著安全規(guī)則數(shù)的增加，其搜索增長速率呈線性遞增。設(shè)計(jì)全規(guī)則動(dòng)態(tài)平衡存儲(chǔ)技術(shù)，實(shí)現(xiàn)專用處理器的非線性快速規(guī)則匹配算法，保證在極短時(shí)間內(nèi)完成防火墻每一次發(fā)起規(guī)則查找。
5．2 可靠性設(shè)計(jì)技術(shù)
在千兆環(huán)境下對防火墻的高可靠性提出更高要求，可在硬件和軟件兩個(gè)方面取得突破。
(1)硬件方面網(wǎng)絡(luò)處理器單元采用14層高速PCB設(shè)計(jì)和板級仿真，解決因高頻串?dāng)_帶來的千兆線速丟包問題，和獨(dú)立硬件控制下災(zāi)難自恢復(fù)機(jī)制，保證系統(tǒng)可靠性。
(2)軟件方面 可將網(wǎng)絡(luò)安全處理功能運(yùn)行在網(wǎng)絡(luò)處理器中，避免操作系統(tǒng)帶來的不穩(wěn)定性和安全隱患問題。
5．3 可擴(kuò)展設(shè)計(jì)技術(shù)
作為網(wǎng)絡(luò)安全設(shè)備的防火墻，在系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)中，除突出高性能和高穩(wěn)定性外，需特別注重系統(tǒng)的可擴(kuò)展性。擴(kuò)展設(shè)計(jì)包括硬件采用模塊化設(shè)計(jì)和軟件采用模塊分層，并逐層封裝，配置與控制層提供功能的擴(kuò)展接口。
5．4 精確流控技術(shù)
基于網(wǎng)絡(luò)處理器提供的能力，實(shí)現(xiàn)高效的數(shù)據(jù)流分類算法；在隊(duì)列調(diào)度方面，支持先進(jìn)先出隊(duì)列、定制隊(duì)列、加權(quán)公平隊(duì)列和基于類的加權(quán)公平隊(duì)列調(diào)度算法；在擁塞控制方面，實(shí)現(xiàn)業(yè)界流行的WRED算法，準(zhǔn)確的丟包算法保證當(dāng)網(wǎng)絡(luò)發(fā)生擁塞時(shí)，避免由于誤丟包而帶來流量震蕩。

6 結(jié)束語
基于NP的安全防火墻設(shè)計(jì)已成為分布式電子商務(wù)系統(tǒng)中最成熟的技術(shù)，是電子商務(wù)安全管理人員有效的防御工具。但任何一個(gè)安全產(chǎn)品或技術(shù)都不能提供永遠(yuǎn)安全，因?yàn)榫W(wǎng)絡(luò)在變化，應(yīng)用在變化，入侵手段也在變化。對于電子商務(wù)應(yīng)用系統(tǒng)安全防火墻來說，技術(shù)的不斷進(jìn)步才是真正的保障。研制新的網(wǎng)絡(luò)安全設(shè)計(jì)方案，將成為今后互聯(lián)網(wǎng)絡(luò)發(fā)展應(yīng)用的一個(gè)重要課題。