|
微核结构:现代防火墙的结构一体化趋势
|
随着网络安全技术的高速发展,安全产品也日渐成熟,安全产品的功能日趋完善的同时,安全产品在自身高可靠性和高处理性能方面展开了激烈的竞争,用户在选择安全产品的时候对这两方面也越来越关注。如何增加安全产品的可靠性和性能成为业界研究的课题,目前看来安全产品的软硬件一体化的设计,符合这一发展趋势。
安全理论认为:安全隐患往往来自于网络中最薄弱的环节。一件可靠的网络安全产品设计和一串珍珠项链非常相似:项链的任何一个环节出问题,整串项链都会散落,不再是一串完整的项链;网络安全产品系统的任何一个组成部分不安全、不稳定,则整件系统的安全性就无从谈起。对于项链来说,完整性取决于两点:每个环节的强度和组成环节的数目,最薄弱的环节决定了整串项链的完整性,而组成的环节越少,项链保持完整的可能性就越高。网络安全产品系统体系架构也是一样:薄弱的组成部分越少,整体组成的部件越少,网络安全产品的可靠性就越高。
防火墙在网络安全体系中位于最前列,作为访问控制网关,它会承担对网络访问控制的大部分工作,它的应用特点是长时间在高负载的情况下运行。所以防火墙的自身可靠性与高效就对整个网络的可靠与高效产生很大的影响。
软硬件一体化的设计能够大幅提高防火墙的可靠性和性能。
从电气产品设计角度来说,多接插件导致整个系统有多个故障点,任何一个故障点出问题都会导致整个系统崩溃,而一体化的设计将故障点减到最少,基于硬件一体化设计的系统的故障率是传统的多接插件设计系统的五分之一,甚至是十分之一。传统的防火墙硬件设计中使用了大量的接插件(如CPU、内存、硬盘、网卡等设备),产品制成后,在长途运输过程中极易因为颠簸、摔打等因素导致零部件松动和接触不良;使用环境中的灰尘、潮湿也易导致接插件接触部分锈蚀,出现接触不良;主板上的插槽因为部件经常插拔也容易导致金属导电层(金手指)磨损,致使接触不良。这些,对于保障用户的网络安全都会造成不良影响。硬件一体化的设计方式可以从原理上有效杜绝此类问题的发生。
硬件一体化的设计将以太网控制器、内存控制器以及策略控制器有机地集成在一块芯片中。相较于基于x86体系的工控机,消除了总线瓶颈,可以有效地提高运行效率,并大大降低能耗,使得采用这类芯片的专用安全设备无需像传统防火墙一样过多考虑散热问题,这也可以大大提高产品的无故障运行时间。
传统的防火墙大多采用Linux或BSD通用操作系统控制硬件、基本输入输出和运算,然后再加上ipchains,
iptables或pf等包过滤软件来实现包过滤功能,并在上层建立应用代理等功能。这样,防火墙的安全性和性能很大程度上要取决于Linux/BSD系统的安全性和性能。众所周知,Linux/BSD系统的源代码都是公开的,即使防火墙厂商对其进行了精简和修改,也不能排除仍然有漏洞的可能性,这样就会对防火墙构成极大的自身安全威胁。同时,目前很多嵌入式系统都已经对Linux/BSD系统的内核进行了大幅修改,但是还没有哪个公开发布的内核对防火墙应用进行了特别优化的,而优化不是随便改一改Linux的模块配置和编译核心的时候选项就可以解决的,一定需要修改Linux内核的数据的定义、系统调用的方式、缓存的使用等等,这些改动是要通过修改Linux的源代码,然后重新编译才可以实现的。
这样对防火墙的软件进行优化就成了当务之急。一体化设计的软件内核(下面我们称为微核)删除了通用操作系统的进程调用、内存动态分配以及其他基于通用软硬件的实现方法,避免了通用操作系统支持通用硬软件调用和驱动带来的重大的安全隐患,使得依赖于Linux/BSD公开源代码的黑客无机可乘。采用微核结构的防火墙,在网络数据通过微核结构的防火墙专用硬件后,就直接到达了包过滤的核心。不用像传统的防火墙那样多流经一个通用Linux/BSD系统,再由操作系统把数据转发给防火墙软件,处理后的结果也要再次经过Linux/BSD系统返回。转发和调用环节的减少使防火墙的稳定性和安全性得到了极大的提高。同时,也大大缩短了防火墙的启动时间并极大地提高了防火墙的运行效率。
这样的软硬件一体化设计的防火墙能够保证防火墙本身的高稳定性、高安全性和高性能,是目前防火墙产品发展的趋势。
|
|
|
|
|
