隨著網(wǎng)絡(luò)升級(jí)和擴(kuò)容，傳統(tǒng)千兆級(jí)別的傳輸與交換盒式防火墻，已經(jīng)很難滿足大容量、高性能、可擴(kuò)展的需求和挑戰(zhàn)。如今，在網(wǎng)絡(luò)、安全等諸多技術(shù)領(lǐng)域全面走向萬(wàn)兆的同時(shí)，超百G需求也已呼之欲出。

這就引入了機(jī)架式防火墻產(chǎn)品的設(shè)計(jì)與研發(fā)。分布式的Crossbar架構(gòu)能夠很好的滿足高性能和靈活擴(kuò)展性的挑戰(zhàn)。

一、邁向超百G的現(xiàn)實(shí)障礙

所有人都理解防火墻在IT基礎(chǔ)架構(gòu)中的重要位置，然而要實(shí)現(xiàn)真正超百G的速度，目前還存在著許多亟待跨越的問(wèn)題，這也成為用戶邁向全萬(wàn)兆IT時(shí)代的現(xiàn)實(shí)障礙。

一方面，由于網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定的滯后、前期行業(yè)門(mén)檻較高，加之很多數(shù)據(jù)中心設(shè)備都與業(yè)務(wù)應(yīng)用綁定，使得原本簡(jiǎn)單的安防防護(hù)應(yīng)用變得復(fù)雜化。

另一方面，目前市場(chǎng)上的萬(wàn)兆產(chǎn)品，絕大多數(shù)都并非真正的實(shí)現(xiàn)了端到端的萬(wàn)兆性能，要么只擁有萬(wàn)兆前端接口，要么只是后端接口是萬(wàn)兆。這些似是而非的“萬(wàn)兆網(wǎng)絡(luò)產(chǎn)品”，無(wú)疑影響到了系統(tǒng)的整體工作效率。造成許多用戶心目中認(rèn)為，以高性能、高穩(wěn)定性、高可靠性著稱的萬(wàn)兆，盛名之下其實(shí)難副。

正因?yàn)檫@些障礙的存在，使得在超百G網(wǎng)絡(luò)得到大規(guī)模應(yīng)用的當(dāng)下，成為萬(wàn)兆IT架構(gòu)中，最后、也是最難普及超百G技術(shù)和標(biāo)準(zhǔn)的領(lǐng)域。

二、技術(shù)挑戰(zhàn)與應(yīng)用策略

機(jī)架式防火墻技術(shù)需要面對(duì)很多挑戰(zhàn)，其中主要有三點(diǎn)：一是高性能，二是高可靠性，三是高擴(kuò)展性。設(shè)計(jì)要求能夠滿足電信級(jí)的高性能和高可靠性需求。既要能夠處理萬(wàn)兆級(jí)數(shù)據(jù)吞吐，還要有冗余備份功能，滿足網(wǎng)絡(luò)的不間斷連通性。

而實(shí)現(xiàn)電信級(jí)防火墻的技術(shù)方向，主要有幾下幾種方式。

一、采用ASIC芯片，多家安全廠商提出了采用硬件ASIC實(shí)現(xiàn)數(shù)據(jù)包的快速轉(zhuǎn)發(fā)。但是由于ASIC本身可編程能力弱，開(kāi)發(fā)周期長(zhǎng)等特點(diǎn)。因此技術(shù)還需不斷地改進(jìn)。

二、采用多核處理器。目前處理器的多核化技術(shù)已經(jīng)很成熟了，各個(gè)通信專用處理器廠商也早就推出了自己的多核產(chǎn)品，而且性能也越來(lái)越高，核的數(shù)量也越來(lái)越多。

三、ATCA標(biāo)準(zhǔn)。它脫胎于在電信、航天、工業(yè)控制、醫(yī)療器械、智能交通、軍事裝備等領(lǐng)域應(yīng)用廣泛的新一代主流工業(yè)計(jì)算技術(shù)——CompactPCI標(biāo)準(zhǔn)。是為下一代融合通信及數(shù)據(jù)網(wǎng)絡(luò)應(yīng)用提供的一個(gè)高性價(jià)比的，基于模塊化結(jié)構(gòu)的、兼容的、并可擴(kuò)展的硬件構(gòu)架。

作為國(guó)內(nèi)網(wǎng)絡(luò)安全的專家，天融信公司是如何應(yīng)對(duì)挑戰(zhàn)和選擇策略的呢？

三、天融信 分布式Crossbar架構(gòu)

在需求和技術(shù)的雙向推動(dòng)下，超百G防火墻“擎天”系列開(kāi)始進(jìn)入實(shí)際應(yīng)用階段，相應(yīng)的產(chǎn)品與方案也開(kāi)始出現(xiàn)。然而，作為網(wǎng)絡(luò)安全解決方案專家的天融信強(qiáng)調(diào)，如何保證端到端的萬(wàn)兆性能，使其內(nèi)部傳輸是無(wú)阻的，是實(shí)現(xiàn)超百G的關(guān)鍵難點(diǎn)。

TMC架構(gòu)是具備無(wú)阻塞的超百G傳輸能力和更強(qiáng)擴(kuò)展能力。針對(duì)這一問(wèn)題，在內(nèi)部架構(gòu)設(shè)計(jì)上，天融信十分明確：安全基礎(chǔ)平臺(tái)TOS內(nèi)部架構(gòu)核心，是目前唯一可行的超百G安全傳輸技術(shù)，它解決侵防御系統(tǒng)、VPN、NIDS等安全服務(wù)引擎提供一個(gè)良好的體系框架，并支持多種高性價(jià)比的硬件平臺(tái)，使得上述安全功能能夠在TOS下高效、靈活的協(xié)同工作。因此，天融信率先將分布式Crossbar技術(shù)引入防火墻，形成了超百G網(wǎng)絡(luò)安全架構(gòu)，并在以擎天 TG9500系列為代表的超百G存儲(chǔ)網(wǎng)絡(luò)安全產(chǎn)品中得到充分體現(xiàn)。

CrossBar(即CrossPoint)被稱為交叉開(kāi)關(guān)矩陣或縱橫式交換矩陣。首先，CrossBar實(shí)現(xiàn)相對(duì)簡(jiǎn)單。共享交換架構(gòu)中的線路卡到交換結(jié)構(gòu)的物理連接簡(jiǎn)化為點(diǎn)到點(diǎn)連接，實(shí)現(xiàn)起來(lái)更加方便，從而更加容易保證大容量交換機(jī)的穩(wěn)定性；

“擎天”采用業(yè)界領(lǐng)先的TMC架構(gòu)，采用真正模塊化設(shè)計(jì)思路，可以輕松實(shí)現(xiàn)性能上的多級(jí)擴(kuò)展

其次，CrossBar內(nèi)部無(wú)阻塞。一個(gè)CrossBar只要同時(shí)閉合多個(gè)交叉節(jié)點(diǎn)(crosspoint)，多個(gè)不同的端口就可以同時(shí)傳輸數(shù)據(jù)。

從這個(gè)意義上，天融信認(rèn)為所有的CrossBar在內(nèi)部是無(wú)阻塞的，因?yàn)樗�可以支持所有端口同時(shí)線速交換數(shù)據(jù)。另外，由于其簡(jiǎn)單的實(shí)現(xiàn)原理和無(wú)阻塞的交換結(jié)構(gòu)使其可以運(yùn)行在非常高的速率上。