FPGA在千兆高端防火墙中的应用

　　防火墙（firewall）是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组的。

　　防火墙始终向着高性能，强大的QoS保证能力和深度防御三个方向发展。政府，金融电力等关键行业的数据中心、大型电信运营商的网络流量巨大，业务复杂。多业务下的流量剧增不仅对带宽提出了很高的要求，而且对防火墙多业务支持的功能和性能方面也提出了更高的要求。高端用户常常采用高性能服务器对外提供特定的网络服务。由于访问者、时间、地点复杂，并且一些网站需要提供商业用途，所以对安全性的要求也很高，这就需要防火墙对数据包进行深层次的检查，进行恶意代码、SQL注入等多种攻击行为的检测，同时能够有效防范DDOS攻击，保障例如网上银行等关键性应用稳定运行，防范各种形式的攻击和入侵。

　　FPGA（Field-Programmable Gate Array）在现代数字电路设计中发挥着十分重要的作用。FPGA的身影出现在从设计简单的接口电路到设计复杂的状态机，甚至设计"System On Chip"。FPGA的体系结构能够保证4-10G路由和安全访问控制的线速处理能力，包括各类多媒体业务、实时或非实时业务、连接或非连接业务等。同时，以FPGA作为处理和交换架构的基础，还可以通过FPGA良好的可编程性对数据包和协议进行深层次的检查和过滤，而且投资规模小，开发周期短，是一种非常理想的高性能防火墙硬件平台架构。

　　FPGA有下面几个方面的技术优势：

　　1. 缩短产品开发周期。产品上市时间是推动网络处理可编程解决方案发展的主要动力之一，FPGA不仅可以通过缩短开发周期，还能通过缩短调试周期以加快产品上市时间。

　　2. 提供良好升级性能。FPGA具有较强的软件升级功能，利用业界标准的HDL和C代码，以及FPGA制造商提供的基于平台和工具集方法的工具，可以很方便地实现软件在各代FPGA中的无缝移植。FPGA往往有一定的预留性，比如一个常见的800万门的FPGA芯片在实际使用约为200万门左右，预留的部分就是为了安全设备日后升级所用。在硬件升级方面，FPGA可以实现现场可编程，因而能轻松升级，很好地满足需求变化，延长了产品寿命，有助于网络安全设备跟踪标准和协议的持续变化。

　　3. 实现复杂分类查询。例如VPN（虚拟专用网）和IPSec这样的业务需要复杂查询功能。查询和分类可通过复杂的迭代算法实现，FPGA能在逻辑电路的状态机内实现查询。从而缩短了查询的周期，提升了系统整体的性能。

　　4. 提供高抗扰能力。FPGA的串行连接技术可以减少引脚数量、减小接头尺寸、降低电磁干扰辐射（EMI）、提高信号完整性和更好地抵抗噪声，从而大大提高升了系统的抗干扰能力，非常适用于对电磁辐射安全有特殊要求的应用环境。

　　5. 优化系统整体性能。安全设备的器件数目和期望性能之间存在一个平衡点，而将所有器件堆积在一个设备中将破坏整体性能。例如，如果能在主分组处理器件上实现安全处理功能，不仅能减少器件数目，还可从增加的性能中受益。FPGA的性能可以随着规格效率方便的扩展，某些需要查询和密集控制的应用可通过采用协处理器/嵌入式处理器来更好地实现。

　　6. 与FPGA技术相比，ASIC技术将指令或计算逻辑固化到了硬件中，缺乏灵活性，不便于修改和升级；深层次包分析（L4+）增加ASIC的复杂度，不能满足防火墙产品对网络协议进行二到七层处理的需求；ASIC的开发周期长，设计费用昂贵且风险较大。，采用ASIC技术的防火墙的问题在于缺乏可编程性，对新功能的实施周期长，很不灵活，使得它难以跟上当今防火墙功能的快速发展。在日益猖獗的黑客攻击面前，特别是针对在应用层攻击（如Slammer、冲击波病毒）等面前显得无能为力。对于单台防火墙设备，FPGA芯片的成本占总成本的比重很低，而且采用FPGA架构可以通过配置和添加基本软件来实现定制，从而不断提升产品的性价比。

　　交换结构是基于FPGA防火墙产品的关键部分，是解决高速报文转发及处理的主要方式，它的性能直接决定了防火墙性能。交换架构采用共享内存机制，具有很高的吞吐率，而且实现简单，架构可扩展性强，可以很容易地进行视频处理、VPN等功能扩展。

　　我们都知道，防火墙与交换路由在性能上始终存在差距，未来网络性能技术会随着用户需求、芯片技术的发展呈几何级发展，防火墙技术需要快速发展才能真正网络发展的脚步。在选择高端防火墙来对业务系统进行防护时，高性能、高稳定性、丰富的网络特性都是用户需要考虑的因素。我们欣喜的看到不少厂商，已经依据积累的各行业网络应用经验，针对用户网络的脆弱之处，不断的将高端交换路由技术移植到防火墙上，使得防火墙技术不断推陈出新，防火墙性能上会不断缩短与高端交换路由的差距，使得网络安全均衡发展，为用户构建真正的安全网络。