【基于多核MIPS64芯片的综合安全网关设计与实现】连载二:

4 基于M IPS64 安全处理器的高速安全网关软件架构原理

面向下一代网络的高速安全网关基本软件架构如图3 所示。

( 1) 高效资源调度管理系统
高效资源调度管理系统这是整个系统的软件核心, 采用多级并行处理机制, 如图4 所示。这种处理机制保障了网关对网络流量进行L 7 处理的时候, 对网络吞吐量的影响最小。多级并行处理机制帮助网关在L2 ~ L 7 的网络流量处理上从网络数据接入、网络数据包内容检测、应用层数据集成、应用层数据过滤等几个方面采用并行处理的机制。

图3 基于MIPS64 安全处理器的高速安全网关软件架构原理

图3 基于MIPS64 安全处理器的高速安全网关软件架构原理

这种并行处理机制将充分利用MIPS64 多核安全处理芯片的多个内核的特点, 其内置的每一个内核( core) 上都具有针对包处理( Packet Processing) 、T CP 检查、队列/调度( Queuing/ Scheduing ) 、服务质量( QoS) 、加解密( IPSec/ SSL) 、深度包检测( Deep Inspection) 、压缩/解压缩、模式匹配等硬件加速的功能。由于MIPS64 系列能够支持最多16 个内核, 高效资源调度管理系统能够动态地对这些内核进行分配, 根据网络数据流量的情况, 安排一定数量的内核进行底层包处理、TCP 检查, 以及QoS 功能, 从而满足基本的网络数据处理/ 防火墙的要求。系统也会安排一定数量的内核完成网络数据的加解密功能, 满足VPN 功能的需求。同时, 还要安排一定数量的内核进行数据包深度检测, 满足入侵防范和入侵管理功能( IMS/ IPS) 的要求。对于应用层的安全功能, 资源调度管理系统会安排MIPS64 芯片的内核提供硬件级的模式匹能, 从而满足病毒防范、垃圾邮件过滤以及Web 过滤等应用层过滤的需求。

图4 高效资源调度管理结构框图

图4 高效资源调度管理结构框图

高效资源调度管理系统采用动态调整管理的模式来动态安排MIPS64 的内核来实现网络层以及应用层的网络以及安全功能。高效资源调度管理系统将通过对网络数据的分析, 包括网络数据的组成、网络数据的吞吐量、对网络数据的预测, 以及网络和安全功能的性能消耗等。通过这些分析, 高效资源调度管理系统会动态地安排MIPS64 处理器种不同的内核来完成不同的任务, 从而达到最优的整体系统处理性能。

( 2) 智能知识库
智能知识库是多功能网关中共享的数据资源, 用于各功能模块的工作依据和相互之间的功能协调。

智能知识库的主体由有机组织起来的大量的具体应用场合的规则数据库形成。智能知识库与软件既有相通之处但又不能等同, 它是相对动态的, 其本身并不实现某项具体功能, 但软件系统又能在它的辅助下大幅度提高逻辑分析的效率、准确率和覆盖率。

智能知识库的/ 智能0体现在其动态库和静态库相结合的数据库结构。通用静态库即一些已知的、成熟的、相对稳定的安全和逻辑规则, 而动态更新库则是在实际运行过程中, 对具体网络环境根据一定的算法进行统计、归纳和分析后得出的经验规则数据。

如图5 所示, 资源调度系统既读取通用的静态库和动态更新库, 又能够根据具体的网络环境进行统计分析, 将适合具体网络环境的逻辑规则添加到动态更新库中。这可以避免完全依赖系统算法而产生的片面性, 有效提高处理性能, 使得基于MIPS64安全处理硬件架构的系统不会将大量硬件资源消耗单纯的算法上, 同时也大幅度降低了算法的复杂和设计难度。

图5 智能知识库的联动调度

图5 智能知识库的联动调度

( 3) 开放式、可扩展接口支持
开放式、可扩展接口支持是面向下一代网络的高速安全网关的重要组成部分。它主要包括硬件接口和软件接口两种类型, 如图6 所示。既可在设计的基础上形成统一描述语言和结构标准, 同时也可公用部分支持公开的典型接口。

--电子创新网--
粤ICP备12070055号