基于NP的千兆电子商务应用系统安全防火墙设计

4．2 网络处理单元
网络处理单元采用NP设计专用网络处理板，内嵌微码运行实时性高的防火墙功能模块。图6为其硬件结构框图，图7为网络处理流程。
4．3 千兆电子商务系统防火墙的特点
由于防火墙的安全过滤与操作系统无关，并与防火墙配置管理、控制分离，所以网络处理器的安全功能可随时升级。该系统在提供高安全性和高性能的同时，符合电信级网络设备高可靠、高稳定的要求，且相对成本较低。由于具有自主知识产权，因此该系统具有极强的功能和可扩展性。

5 千兆电子商务系统安全防火墙关键技术
为了确保电子商务系统高安全、高性能、高可靠、高可控和高可扩等性能，需突破许多完全超越Intel X86架构防火墙的关键技术，包括线速安全过滤、可靠性设计、可扩展设计、精确流控等技术。
5．1 线速安全过滤技术
为使安全防火墙在千兆环境下达到线速性能，需采用技术有：
(1)三级并行处理机制 包括处理器级并行、线程级并行和指令级并行。从硬件到软件均采用并行处理机制，最大限度提高数据帧的处理速度。
(2)快速查表技术 防火墙最主要功能是状态检测和安全规则检查。为节约处理器资源和内存资源，硬件采用专用硬件查表协处理器提高查找速度；软件根据其特点采用不同的分类优化算法，来提高查表速度。
(3)全规则动态平衡存储技术传统防火墙的处理性能受限于设置的安全规则数目，随着安全规则数的增加，其搜索增长速率呈线性递增。设计全规则动态平衡存储技术，实现专用处理器的非线性快速规则匹配算法，保证在极短时间内完成防火墙每一次发起规则查找。
5．2 可靠性设计技术
在千兆环境下对防火墙的高可靠性提出更高要求，可在硬件和软件两个方面取得突破。
(1)硬件方面网络处理器单元采用14层高速PCB设计和板级仿真，解决因高频串扰带来的千兆线速丢包问题，和独立硬件控制下灾难自恢复机制，保证系统可靠性。
(2)软件方面 可将网络安全处理功能运行在网络处理器中，避免操作系统带来的不稳定性和安全隐患问题。
5．3 可扩展设计技术
作为网络安全设备的防火墙，在系统的结构设计中，除突出高性能和高稳定性外，需特别注重系统的可扩展性。扩展设计包括硬件采用模块化设计和软件采用模块分层，并逐层封装，配置与控制层提供功能的扩展接口。
5．4 精确流控技术
基于网络处理器提供的能力，实现高效的数据流分类算法；在队列调度方面，支持先进先出队列、定制队列、加权公平队列和基于类的加权公平队列调度算法；在拥塞控制方面，实现业界流行的WRED算法，准确的丢包算法保证当网络发生拥塞时，避免由于误丢包而带来流量震荡。

6 结束语
基于NP的安全防火墙设计已成为分布式电子商务系统中最成熟的技术，是电子商务安全管理人员有效的防御工具。但任何一个安全产品或技术都不能提供永远安全，因为网络在变化，应用在变化，入侵手段也在变化。对于电子商务应用系统安全防火墙来说，技术的不断进步才是真正的保障。研制新的网络安全设计方案，将成为今后互联网络发展应用的一个重要课题。