分布架構
隨著網路的升級和擴容,傳統的盒式防火牆已經很難滿足大容量、高性能、可擴展的需求和挑戰。這就引入了機架式防火牆產品的設計與研發。分散式的Crossbar架構能夠很好的滿足高性能和靈活擴展性的挑戰。 分散式Crossbar架構除了交換網板採用了Crossbar架構之外,在每個業務板上也採用了Crossbar+交換晶片的架構。在業務板上加交換晶片可以很好地解決了本地交換的問題,而在業務板交換晶片和交換網板之間的Crossbar晶片解決了把業務板的業務數據信元化從而提高了交換效率,並且使得業務板的數據類型和交換網板的信元成為兩個平面,也就是說可以有非常豐富的業務板,比如可以把防火牆、IPS系統、
路由器、
內容交換、IPv6等等類型的業務整合到核心交換平台上。同時這個Crossbar有相應的高速接口分別連線到兩個主控板或者交換網板,從而大大提高了雙主控主備切換的速度。
分散式Crossbar設計中,CPU也採用了分散式設計。設備主控板上的主CPU負責整機控制調度、路由表學習和下發;業務板從CPU主要負責本地查表、業務板狀態維護、安全業務功能處理等工作。這就實現了分散式路由計算和分散式路由表查詢,大大緩解主控板的壓力,提高了設備的整體性能,這也是業務板本地轉發能夠提高效率的重要原因。這種分散式Crossbar、分散式業務處理的設計理念是核心網路設備設計的發展方向,保證了防火牆等安全設備能夠部署到網路核心位置,不會成為網路的瓶頸。
上面的分散式Crossbar技術解決了高性能、可擴展的需求,下面的主要部件備份
冗餘設計解決了高可靠性的需求。如圖1所示:不僅交換網板和控制模組採用雙冗餘設計,防火牆板、電源和接口板也採用雙冗餘設計。
為了配合分散式硬體架構,軟體也採用分散式設計。主控板上運行主作業系統,負責整台設備的管理配置、路由學習、配置下發等。業務板作業系統負責接收下發的配置,和業務處理等功能。 由於採用了分散式
架構設計,
防火牆系統不僅在硬體上實現了控制平面和轉發平面的分離,而且在軟體上也實現了控制平面和轉發平面的分離。這樣能有效的提高系統的高性能和高可靠性。
要想利用
分散式處理技術來提高
網路安全產品的性能,我們首先要解決
數據流在內部網路間轉發的問題。在機架式體系架構上,一般用主控板來操作整台設備,對設備進行管理、配置,然後把配置下發到各個子系統上使他們協同工作。接口板用來提供設備的接口供用戶接入網路,並把數據流提交到安全業務板上。由安全業務板完成訪問策略控制、NAT地址轉換、IPS防禦、防病毒、IPSEC VPN等功能。
存在問題
(1)在安全性方面,如何能夠確保策略管理和任務管理在分發的過程中安全。
(2)在今後的發展方面,如何進行功能擴展,如何讓主機防火牆實現機制。
在這兩方面中,主機防火牆對於分散式防火牆來講是一個必要的組成部分,因為在區域網路中的每一台主機上我們都會安裝一個主機防火牆,它要負責執行安全策略,這個安全策略就是由管理中心進行制定和分發的,這時主機防火牆就成為了分散式防火牆的一個策略執行節點。