[发明专利]千兆位防火墙设备

说明书

技术领域

千兆位防火墙设备属于防火墙设备技术领域。

背景技术

现在几乎所有的防火墙系统都采用微机主板加上双网卡组成基于IA32(32bit IntelArchitecture，32位Intel体系结构)结构的微机过滤系统。在该系统里，从一个网卡上接收的报文经过PCI(Peripheral Component Interfaces，外部设备总线)总线投递到系统内存，经由CPU(Central Processing Unit，中央处理单元)处理以后再通过PCI总线传送到另一个网卡，然后发送出去。这类系统通过安装在微机中的网卡透明地进行报文的接收和转发，而对网络数据的处理全部由后台软件承担。其结构如图1所示。其中，NIC(NetworkInterface Card)是网络接口卡，Bridge是桥设备，PCI Local Bus是外部设备总线，A表示NIC1接收数据帧，B表示NIC1把数据帧通过外部设备总线和桥设备传输到内存(Memory)中，C表示把数据帧读取到CPU，D表示CPU分析该数据帧是否转发，E表示当需要转发时，CPU进行适当处理将数据传输到NIC2内存缓冲区，F表示把数据帧通过外部设备总线传输到NIC2，G表示NIC2发送该数据帧。这类系统在低端应用中能够很好地工作，但是在高带宽环境下就成为制约网络效率的瓶颈。这主要表现在如下几个方面：

1)在百兆防火墙系统中，由于网卡等设备需要进行报文的缓冲，并等待CPU的处理，这将消耗较多时间，会导致TCP(Transfer Control Protocol，传输控制协议)连接速度下降，根据具体实现，对连接速度的影响可能高达30％。在千兆防火墙系统中这种影响更加显著。

2)当网络带宽增加到1Gbps时，为了进行双向流量控制，要求总线能够接收和发送双向数据，也就是达到4Gbps。普通的32位PCI总线仅仅能够提供1Gbps的带宽，根本不可能满足这种要求；而66MHz-64位的PCI总线也仅仅能够进行数据的传输，没有剩余时间给CPU进行报文的处理。解决的办法是采用半双工操作，也就是仅仅利用50％的网络带宽；或者是采用两个监控系统分别进行内、外网的过滤，但是这将带来成本增倍、系统复杂度增加、可靠性降低等不利因素；而且，即使如此，系统也需要空耗50％的时间进行报文在网卡和内存之间的传输。

3)普通百兆、千兆网卡并不是一个针对防火墙系统而定制的设备，在大量接收和发送报文的时候会频繁产生中断，系统在进行进程切换的时候将会消耗很多时间。如果中断没有及时响应，将直接导致报文的丢失，网络性能急剧恶化。

4)由于CPU需要进行报文分析，分析所消耗的时间并不是一个固定值，而是依赖于特定的规则。为了满足应用的要求，一个实用的防火墙系统需要对同一个报文进行几十甚至上百个不同的分析、判断，极可能消耗较多时间，也可能因为不能及时处理导致后继报文的成片丢失。

由于前述原因，在网络高带宽环境下，传统防火墙系统已经远远不能满足要求了。图2是一组实测的数据。为了测试传统防火墙方案的最佳效率，通过一台运行于Linux上的微机服务器配备双千兆网卡(66MHz-64位PCI卡)在内核级完成报文的转发，其间没有任何规则处理。即使如此，其结果也不能满足商业应用的要求。可以看出，对于一般网络报文的平均长度(200~300字节)，传统防火墙系统对网络带宽的影响达到60％以上。

发明内容

本发明的目的是提供一种全硬件式的千兆位防火墙，它可以高效地进行报文的规则匹配，克服软件处理的瓶颈，以实现千兆位以太网的安全控制。