随着网络升级和扩容,传统千兆级别的传输与交换盒式防火墙,已经很难满足大容量、高性能、可扩展的需求和挑战。如今,在网络、安全等诸多技术领域全面走向万兆的同时,超百G需求也已呼之欲出。
这就引入了机架式防火墙产品的设计与研发。分布式的Crossbar架构能够很好的满足高性能和灵活扩展性的挑战。
一、迈向超百G的现实障碍
所有人都理解防火墙在IT基础架构中的重要位置,然而要实现真正超百G的速度,目前还存在着许多亟待跨越的问题,这也成为用户迈向全万兆IT时代的现实障碍。
一方面,由于网络安全标准制定的滞后、前期行业门槛较高,加之很多数据中心设备都与业务应用绑定,使得原本简单的安防防护应用变得复杂化。
另一方面,目前市场上的万兆产品,绝大多数都并非真正的实现了端到端的万兆性能,要么只拥有万兆前端接口,要么只是后端接口是万兆。这些似是而非的“万兆网络产品”,无疑影响到了系统的整体工作效率。造成许多用户心目中认为,以高性能、高稳定性、高可靠性著称的万兆,盛名之下其实难副。
正因为这些障碍的存在,使得在超百G网络得到大规模应用的当下,成为万兆IT架构中,最后、也是最难普及超百G技术和标准的领域。
二、技术挑战与应用策略
机架式防火墙技术需要面对很多挑战,其中主要有三点:一是高性能,二是高可靠性,三是高扩展性。设计要求能够满足电信级的高性能和高可靠性需求。既要能够处理万兆级数据吞吐,还要有冗余备份功能,满足网络的不间断连通性。
而实现电信级防火墙的技术方向,主要有几下几种方式。
一、采用ASIC芯片,多家安全厂商提出了采用硬件ASIC实现数据包的快速转发。但是由于ASIC本身可编程能力弱,开发周期长等特点。因此技术还需不断地改进。
二、采用多核处理器。目前处理器的多核化技术已经很成熟了,各个通信专用处理器厂商也早就推出了自己的多核产品,而且性能也越来越高,核的数量也越来越多。
三、ATCA标准。它脱胎于在电信、航天、工业控制、医疗器械、智能交通、军事装备等领域应用广泛的新一代主流工业计算技术——CompactPCI标准。是为下一代融合通信及数据网络应用提供的一个高性价比的,基于模块化结构的、兼容的、并可扩展的硬件构架。
作为国内网络安全的专家,天融信公司是如何应对挑战和选择策略的呢?
三、天融信 分布式Crossbar架构
在需求和技术的双向推动下,超百G防火墙“擎天”系列开始进入实际应用阶段,相应的产品与方案也开始出现。然而,作为网络安全解决方案专家的天融信强调,如何保证端到端的万兆性能,使其内部传输是无阻的,是实现超百G的关键难点。
TMC架构是具备无阻塞的超百G传输能力和更强扩展能力。针对这一问题,在内部架构设计上,天融信十分明确:安全基础平台TOS内部架构核心,是目前唯一可行的超百G安全传输技术,它解决侵防御系统、VPN、NIDS等安全服务引擎提供一个良好的体系框架,并支持多种高性价比的硬件平台,使得上述安全功能能够在TOS下高效、灵活的协同工作。因此,天融信率先将分布式Crossbar技术引入防火墙,形成了超百G网络安全架构,并在以擎天 TG9500系列为代表的超百G存储网络安全产品中得到充分体现。
CrossBar(即CrossPoint)被称为交叉开关矩阵或纵横式交换矩阵。首先,CrossBar实现相对简单。共享交换架构中的线路卡到交换结构的物理连接简化为点到点连接,实现起来更加方便,从而更加容易保证大容量交换机的稳定性;
“擎天”采用业界领先的TMC架构,采用真正模块化设计思路,可以轻松实现性能上的多级扩展
其次,CrossBar内部无阻塞。一个CrossBar只要同时闭合多个交叉节点(crosspoint),多个不同的端口就可以同时传输数据。
从这个意义上,天融信认为所有的CrossBar在内部是无阻塞的,因为它可以支持所有端口同时线速交换数据。另外,由于其简单的实现原理和无阻塞的交换结构使其可以运行在非常高的速率上。
相关阅读