分布式防火墙的分布式体系结构
随着网络的升级和扩展,传统的箱式防火墙已经难以满足大容量、高性能和可扩展性的需求和挑战。本文介绍了机架式防火墙产品的设计和开发。分布式交叉开关体系结构可以满足高性能和灵活的可扩展性的挑战。分布式Crossbar架构除了交换网板采用Crossbar架构,各业务板也采用Crossbar+交换芯片架构。在业务板上增加交换芯片可以解决本地交换的问题,而交换芯片和交换网板之间的Crossbar芯片解决了将业务板的业务数据做成信元的问题,提高了交换效率,将业务板和交换网板的信元的数据类型做成两个平面,也就是说可以有非常丰富的业务板,比如将防火墙、IPS系统、路由器、内容交换、IPv6等业务集成到核心交换平台。同时,这种交叉开关有相应的高速接口分别连接到两个主控板或交换网板,从而大大提高了双主控主备的切换速度。
在分布式交叉开关的设计中,CPU也采用了分布式设计。设备主控板上的主CPU负责整机控制调度、路由表学习和分配;业务板主要负责本地表查找、业务板状态维护和来自CPU的安全业务功能处理。这实现了分布式路由计算和分布式路由表查询,大大缓解了主控板的压力,提高了设备的整体性能,这也是业务板本地转发能够提高效率的重要原因。这种分布式交叉杆和分布式业务处理的设计理念是核心网设备设计的发展方向,保证了防火墙等安全设备可以部署到网络的核心位置,不会成为网络的瓶颈。
上面的分布式Crossbar技术解决了高性能和可扩展性的要求,下面的主要组件的备份冗余设计解决了高可靠性的要求。如图1所示,不仅交换网板和控制模块采用双冗余设计,防火墙板、电源和接口板也采用双冗余设计。
为了配合分布式硬件架构,软件也采用了分布式设计。主操作系统运行在主控板上,负责整个设备的管理配置、路由学习和配置分发。业务板操作系统负责接收和分发配置、业务处理等功能。由于分布式架构设计,防火墙系统不仅在硬件上实现了控制平面和转发平面的分离,而且在软件上也实现了控制平面和转发平面的分离。这可以有效地提高系统的高性能和可靠性。
为了利用分布式处理技术提高网络安全产品的性能,必须首先解决内部网络之间的数据流转发问题。在机架架构中,主控板一般用来操作整个设备,管理和配置设备,然后将配置分发到各个子系统,使它们协同工作。接口板用于为用户提供设备接入网络的接口,并将数据流提交给安全服务板。安全服务板完成访问策略控制、NAT地址转换、IPS防御、防病毒、IPSEC VPN等功能。