为了让区域内网络维持安全运作,建立一套安全防护网才是根本解决之道,较完整的防卫机制大概有三层:
(一)虚拟私有网络(VPN)
(二)防火墙(Firewall)
(三)入侵检测系统(Intrusion Detection System; IDS)。
三种应用各有不同的系统规格需求,VPN 的系统需将信息全数打乱再丢到网络上,透过加密机制在公开的网络里建立起加密通道(Encrypted Tunnel),接收端再解密取得真实信息,在浩瀚的因特网内建立起安全私密的虚拟局域网络;Firewall则像大楼管理员,检查来访封包的通行许可证,包含检查封包的来源、目的地、连接块等字段,但是防火墙并没有办法挡掉所有的入侵者,此时就须要另一道防线IDS;IDS 就像网络上的监控摄影机,可以分析流经的封包数据,侦测未经授权的行为,IDS大致区分为「网络系统」跟「主机系统」两类。基本上IDS需求的系统处理能力可以涵盖VPN及Firewall的需求,因此接下来我们就以较复杂的IDS为例做IXP-2400的应用说明。
入侵检测系统的应用
图四是采用IXP-2400为核心建立的IDS系统结构图,凌华采用IXP-2400内建的XScale去控制管理Control Plane的组件,内建的八颗MicroEngine去收送处理封包的分类及内容比对,处理Data Plane的运算。IXP-2400的QDR SRAM通道0也叫做LA-1(Look Aside Interface)接口,可以选择接市面上现有的TCAM(Ternary Content Addressable Memory) 辅助处理器,帮忙做第三层以下封包数据搜寻比对的工作,帮IXP-2400处理器卸载(offload)一些运算负担。
网络安全系统内最关键性的功能可以说是封包表头辨识(Classification)及内容检查(Content Inspection),表头辨识是针对其流向、连结、输入端口及目的地址等做比对;内容检查则有复杂的算法,处理带宽及内存容量需求极高,很显然内容检查即将是此系统非常严重的交通瓶颈所在,这个运算将耗用大量IXP-2400网络处理器的运算资源。因此必须采用另一颗处理器卸载此运算,有两种方法可行,其一是如图四:加入一颗可编程内容检查引擎(Programmable CIE, Content Inspection Engine),比如IDT PAX.port 2500 CIE;或是在封包经网络处理器集结成较大封包后,进入一张专属内容检查的高速运算服务器,比如ADLINK cPCI-6860 Dual-Xeon Server Blade。加CIE的做法可以卸载95% 的MicroEngine资源使用量,删除掉85%的MicroCode,同时削减75%内存带宽使用量,成本可大大节省,TTM(Time to Market)时间可以显著缩减。加一张专属服务器则维持旧有软件延续使用,节省软件开发的时间及人力成本,两者各有优点,但是CIE是纯硬件运算所以效率较好,从长远角度看应会成为较受欢迎的选择。
结论
网络处理器的时代已经来临,它可以有效解决网络交通拥塞的问题,也可以处理复杂的封包运算。无论如何,Inetel IXA架构已经正确的跨出第一步,接下来就须要更多的平台设计者投入开发工作,以及更多的应用开发者投入资源,发展软件程序,逐步建立完整的可携式Microblocks。网络兴起、带宽加速拓展,使整个网络通讯的市场板块不断的在调整、挪动,凌华科技与Intel合作,共同推广IXP-2XXX网络处理器的应用,希望能有抛砖引玉之效。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
