>
● 三级并行处理技术:包括处理器级并行、线程级并行和指令级并行。从硬件到软件均采用并行处理机制,最大限度地提高数据帧的处理速度。
快速查表技术:防火墙最主要的功能是状态检测和安全规则检查。为节约处理器资源和内存资源,在硬件上采用专用硬件查表协处理器提高查找速度;在软件上根据各自特点采用不同的分类算法优化,树形结构存储等技术来提高查表速度。并采用状态表倍速检测技术,针对已建立连接,对数据包(请求和回应的数据包)的状态检查一次完成。
● 全规则动态平衡存储技术:传统防火墙的处理性能受限于设置的安全规则数目,随着安全规则数的增加,其搜索增长速率呈线性递增。我们实现了基于专用处理器的非线性快速规则匹配算法,保证防火墙每一次发起的规则查找在极短的时间内完成。与快速状态表配合保证了防火墙线速处理的最小延时。
2. 可靠性设计技术
在千兆环境下对防火墙的高可靠性提出了更高的要求,我们通过以下技术在高可靠性方面取得突破;
● 硬件方面:网络处理器单元采用14层高速PCB设计和板级仿真,解决由于高频串扰带来的千兆线速丢包问题;电源、风扇冗余设计;独立硬件控制下的灾难自恢复机制,保证整机的可靠性。
● 软件方面:将网络安全处理功能运行在网络处理器中,避免操作系统带来的稳定性和安页码:[1] [2] [3] [4] [5] [6] [7] 第5页、共7页 |
