首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >网络设备硬核技术内幕 防火墙与安全网关篇 (四) 安全双修大法 上

网络设备硬核技术内幕 防火墙与安全网关篇 (四) 安全双修大法 上

作者头像
用户8289326
发布2022-07-27 21:27:33
发布2022-07-27 21:27:33
7110
举报

上回我们说到,令狐冲发现,NP处理器维护表项的能力不足以支撑防火墙需要的海量表项查找,而DRAM有低廉的成本,容纳大表项不成问题。

但是,怎么样能把表项放进内存条呢?

令狐冲面临两个选择:

  1. 使用x86多核处理器。这又绕回了过去——虽然使用DPDK可以克服Linux的局限性,大大提升吞吐量,但由于x86的网络IO都是通过PCIE总线扩展,带来的时延等问题难以克服。更严重的问题是,由于x86已经被剖析得非常透彻了,各种x86平台的安全漏洞会使得防火墙对信息安全的保护形同虚设……
  2. 在MIPS或ARM体系架构的多核处理器上实现防火墙。一方面,这些处理器属于半专用处理器,内置了网络硬件加速单元、IPSec硬件加密单元、SSL VPN硬件加密单元甚至正则表达式匹配单元,另一方面,它们还具备多达64个以上的硬件内核,比起x86最多28个处理器内核来,多出一倍以上,对于同时处理海量网络连接有着无可比拟的优势。

令狐冲果断选择了2。

当然,由于令狐冲有个消息灵通的女朋友,他很快得知了,江湖上已经有多核处理器实现的路由器——

令狐冲拿到路由器,进行程序的修改。一番修改以后,基于MIPS多核处理器的防火墙成功诞生了。这款在48个核MIPS处理器上运行的防火墙由于内置了32GB的RAM,可以支持几千万会话,带机量可以达到几十万台。

但是,令狐冲拿着设备,去与师傅师娘汇报的时候,却被浇了一盆冷水——

岳不群问:

徒弟,你说,如果在华山派网络核心的位置上部署了这台防火墙,一旦防火墙故障,引起业务中断,该如何处理?

令狐冲脱口而出:

像交换机一样,双机部署即可!

旁边的劳德诺冷笑一声:

令狐大侠,交换机双机做堆叠的时候,MAC,ARP和FIB表项是不是会同步?

令狐冲答道:

用VRRP方式,做冗余网关如何?

劳德诺白眼看天:

你去测试一下就知道了。

令狐冲一拍脑袋,明白了。

我们看下图:

如图,主机100.1.1.100和200.1.1.100之间部署了防火墙A和防火墙B。

主机100.1.1.100通过端口41316向200.1.1.100的443端口,发起HTTPS访问,中间经过防火墙 FW A,在FW A上也建立了会话:

100.1.1.100:41316 -> 200.1.1.100:443 @TCP

此时,防火墙FW A由于某些原因停止工作,由于防火墙工作在VRRP方式,主机100.1.1.100和200.1.1.100之间的流量会经过防火墙B:

问题来了,由于100.1.1.100:41316和200.1.1.100:443之间的连接已经建立,因此,这两个端口之间后续交互包是不带TCP三次握手标记的。

FW B无法找到这两个端口之间交互的会话

100.1.1.100:41316 -> 200.1.1.100:443 @TCP

而由于这两个端口之间后续交互包没有TCP三次握手标记,FW B也无法重建这一会话,后果是导致二者之间连接中断。

如果,这是网上银行的交易业务,后果不堪设想……

令狐冲回到实验室,开始对防火墙做下一步的改进——

安全双修大法!

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-02-09,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 帅云霓的技术小屋 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档