分享

文章来源声明：此文来自于网上找来的华赛的《USG9300架构白皮书》

1 概述

自从1986 年美国Digital 公司在Internet 上安装了全球第一个商用防火墙系统后，提出了防火墙
的概念，防火墙技术目前已经成为信息安全领域最成熟的产品之一，已经大量部署在各种网络的核
心位置。但是成熟并不意味着发展的停滞，恰恰相反，日益提高的安全需求以及不断提升的网络带
宽对各种信息安全产品，尤其是防火墙提出了越来越高的要求。
对安全产品的新需求大致来自如下两个方面：

1.1 功能扩展

现在的防火墙产品已经呈现出一种集成多种功能的设计趋势，包括VPN、AAA、PKI 等附加
功能，甚至防病毒、入侵检测这样的主流功能，都被集成到防火墙产品中了，很多时候我们已经无
法分辨这样的产品到底是以防火墙为主，还是以某个功能为主了，即其已经逐渐向我们普遍称之为
IPS（入侵防御系统）的产品转化了。有些防火墙集成了防病毒功能，这样的设计会对安全功能带来
不少提升，但同时也对防火墙产品的另外两个重要因素产生了影响，即性能和自身的安全问题，所
以我们的意见是应该根据具体的应用环境来做综合的权衡，毕竟这个世界暂时还不存在什么完美的
解决方案。

1.2 性能提高

未来的防火墙产品由于在功能性上的扩展，以及应用日益丰富、流量日益复杂所提出的更多性
能要求，会呈现出更强的处理性能要求，而寄希望于硬件性能的水涨船高肯定会出现瓶颈，所以诸
如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多地应用在防火墙产品平台
上；相对来说，单纯的流量过滤性能是比较容易处理的问题，而与应用层涉及越密，性能提高所需
要面对的情况就会越复杂；在大型应用环境中，防火墙的规则库至少有上万条记录，而随着过滤的
应用种类的提高，规则数往往会以趋近几何级数的程度上升，这对防火墙的负荷是很大的考验，使
用不同的处理器完成不同的功能可能是解决办法之一，例如利用集成专有算法的协处理器来专门处
理规则判断，在防火墙的某方面性能出现较大瓶颈时，我们可以单纯地升级某个部分的硬件来解决，
这种设计有些已经应用到现有的产品中了，也许未来的防火墙产品会呈现出非常复杂的结构。

另外根据经验，除了硬件因素之外，规则处理的方式及算法也会对防火墙性能造成很明显的影
响，所以在防火墙的软件部分也应该会融入更多先进的设计技术，并衍生出更多的专用平台技术，
以期缓解防火墙的性能要求。
综上所述，不论从功能还是从性能来讲，防火墙产品的演进并不会放慢速度，反而产品的丰富
程度和推出速度会不断的加快，这也反映了安全需求不断上升的一种趋势。而相对于产品本身某个
方面的演进，更值得我们关注的还是平台体系结构的发展。毕竟良好的平台体系结构可以为最终用
户节省大量的投资，也可以极大地加快新产品，新功能的问世，以应对层出不穷的安全威胁和问题。

2 USG9300 防火墙的架构

USG9300 是公司推出的新一代高性能防火墙，主要定位于运营商的骨干网络，大型IDC 中心，
高端行业用户。其使用全分布的多核处理器与网络处理器架构，配合以专有的组件化安全软件平台，
真正实现了系统的可裁减性，高性能以及业务灵活性，满足了未来高端网络安全设备的发展需要。

2.1 硬件架构

USG9300 采用高度可靠的电信级设计：包括1+1 双主控板，3+1 方式冗余备份的交换网板，无源
背板，冗余的业务管理模块、冗余电源和风扇等可靠性设计。系统平均无故障时间（MTBF）达到了
50 年。

图1 USG9300 的硬件架构

2.1.1 主控板（MPU）

USG9300 的主控板MPU 又称为路由交换板(SRU)，是整个设备的中央控制单元。它对整个设备进
行管理监控并承担路由信息的学习交换。USG9300 的主控板采用了1+1 备份机制，当前活动的主控
板故障后，备份主控板可以迅速接管当前工作，确保系统不受影响。
MPU 通过独立的管理总线与接口板之间交换控制信息，与转发通道独立可以保证系统在高负载
的时候不会导致控制信息丢失；为了提高可靠性，USG9300 还采用了单独的监控总线收集系统的状
态数据，比如电源的状态、温度，风扇的转速等数据。当系统的状态出现异常时可以迅速作出反应。

2.1.2 接口板（LPU）

USG9300 的LPU 板对外提供各种丰富的接口。逻辑上LPU 可以分为物理层驱动、转发引擎和交
换网接口以及中央处理模块4 个部分。
物理层主要完成各种类型接口的驱动和报文的收发处理。

图2 USG9300 的LPU 板

转发引擎和流量管理模块包括了高性能的网络处理器。通过对网络处理器的编程，可以完成基
本的报文转发，各种常规的防火墙功能处理以及丰富的QoS 功能。在需要业务板进行进一步处理时，
运行于网络处理器的软件还可以基于智能分流算法将报文分发到合适的业务板处理。
LPU 板上的中央处理模块通过两套独立的控制总线与MPU 板连接，完成控制信息的交换以及转
发通道的配置，监控和数据刷新。
LPU 板上集成的高速网络处理器赋予了接口板足够的灵活性。防火墙相关的基本功能大部分可
以在接口板进行预处理，极大地减轻了业务板的压力。由于网络处理器针对各种报文转发进行了特
别设计，比如具有专门的硬件查表协处理器，专门的位操作设计。因此在处理小报文时具有独特的
优势，而根据统计分析的结果发现，需要SPU 处理的报文中大部分都是包含数据负载的较长报文，
所以这种全分布式的处理架构使得USG9300 在处理现网混合流量时性能也没有显著的下降。
接插多块LPU 板不仅仅是接口个数的增加，还相应地提高了系统的处理能力。通过LPU 板和SPU
板的配合，使USG9300 可以高性能地处理复杂安全业务，同时具有了良好的扩展性。
交换网接口模块根据交换网芯片的要求完成内部报文格式的封装/解封装。

2.1.3 业务板（SPU）

USG9300 系列分别有16 个/8 个扩展槽位，可以混插多个SPU 板和LPU 板，具有良好的可扩展性。
USG9300 的每个业务板有10Gbps 的处理能力，插多块业务板后系统处理能力将线性增加。比如系统
的并发会话表数，每秒新建连接数以及吞吐量都将线性增加。
USG9300 的SPU 板与LPU 板之间具有心跳检测机制，SPU 板支持互相备份。当其中的一块业务板
出现故障后，该业务板承担的所有功能将立即重新分发到其他业务板处理，不会导致后续业务中断。
USG9300 的SPU 板集成了高性能的多核处理器，是USG9300 的核心组件。绝大部分的安全业务
都需要SPU 板的参与才能完成。多核CPU 的灵活性也为未来添加其他安全功能预留了足够的空间。

图3 USG9300 SPU 板上的多核处理器

多核处理器是指在一枚处理器中集成两个或多个完整的计算引擎(内核)。目前多核处理器大致
可以分为单核单线程、单核多线程、多核处理器和多核多线程几种。
得益于半导体工艺技术的飞速进步和体系结构的不断发展，嵌入式多核处理器的每个核已可以
具有独立的指令空间，内存空间以及协处理器，同时支持多个硬线程并发执行——即所谓多核多线
程处理器。通过操作系统的配合在多个执行内核之间划分任务，多核处理器可在特定的时钟周期内
执行更多任务。因此多核处理器可以以较低的主频，更低的功耗获得较高的处理性能，十分适合应
用于网络设备。
不同厂家的嵌入式多核处理器往往同时还会集成其他的硬件加速功能。因此多核架构能够使复
杂的安全任务更出色地运行。由于多核处理器的每个内核都相当于一个独立的CPU，可以用C 语言
编程，甚至运行单独的操作系统，因此编程的灵活度很高，因此比网络处理器更易于扩充，更适合
于处理逻辑复杂的操作或任务。
但是要使多核处理器发挥出最大的性能，还需要在应用软件的算法设计上进行专门的研究考虑。
只有经过精心设计优化的算法配合以优秀的操作系统才可能充分利用每个引擎的资源，互相协调减
少内部冲突，将多核处理器的性能发挥到极致。这些都需要大量的人力和物力投入，要同时在相关
的应用领域、计算机操作系统和软件工程等各个方面都有深入研究和积累才有可能。
可以说，会用“多核”容易，用好“多核”难。

2.1.4 交换网板（SFU）

USG9300 的交换网采用无阻塞的CROSSBAR 结构。每个槽位具有20G 的处理能力，USG9320 最多
支持16 个LPU 槽位，交换网至少需要具有320G 的交换能力。
USG9300 最大支持4 块交换能力为160G 的交换网板同时工作。这4 块交换网采用3+1 备份的方
式工作。当4 块交换网同时工作时，USG9300 具有160Gx4=640G 的交换能力，整个系统的加速比1达
到了2：1，当其中一块交换网故障后，系统依然能够提供1.5：1 的加速比。同时，USG9300 的交换
网采用的信元交换(把报文切成一个个小的信元来快速进行交换)，并具有8 千个流队列，时延抖动
很小，是专门为满足高QoS 需要所设计的，满足语音，视频和信令传输的需要，这是核心网络设备
的硬件平台必须具备的。确保USG9300 在任何情况下都可以提供无阻塞的报文交换能力以及极佳的
QoS 能力。

2.2 软件架构

图4 USG9300 的软件架构

USG9300 基于专有的模块化安全软件平台，完全实现了转发与控制的分离。USG9300 的控制功能
分布于MPU 板，转发功能分布于LPU 板和SPU 板。

2.2.1 MPU 板上的软件

USG9300 的MPU 板又成为路由交换板(SRU)，主要负责路由交换，管理控制和状态监控。USG9300
MPU 板上的软件基于公司专有的VRP 软件平台，完全继承了其成熟稳定的路由交换功能，支持多实
例的OSPF，RIPv1/v2，IS-IS，BGP 以及MPLS 协议。同时在此平台上扩展了如下功能：
 安全域管理
 配置管理多实例
 基于HTTPS 的图形化管理界面
VRP 平台具有的热补丁能力可以保证系统在增加小功能或者修复小bug 时不影响正常的业务转
发。
由于MPU 板和接口板(LPU)、业务板(SPU)之间采用了专门的内部数据通道进行通信，所以可以
保证在系统重负荷或者自身遭受攻击的时候不会影响控制平面的稳定性。
USG9300 的MPU 板支持1+1 备份。MPU 板上的各个软件模块的状态互相实时备份，同时处于备份
状态的MPU 板实时监控主MPU 板的心跳。当主MPU 板故障后备板可以迅速转成激活状态，确保系统
的稳定性。

2.2.2 LPU 板上的软件

USG9300 的LPU 板上集成了高性能的网络处理器作为转发引擎，同时还有一个CPU 用于和MPU
通信以及网络处理器的控制。网络处理器内置了大量的硬件协处理器。通过特定的指令序列可以将
这些协处理器充分地调动起来以一定的逻辑顺序对报文进行分析、高速处理和转发。
USG9300 的LPU 主要完成报文的基本转发功能。大部分的安全功能也可以在此处理。比如：
 多实例的FIB 表和报文转发
 报文的地址转换(NAT)
 QoS
 基于安全策略的包过滤
 攻击防范

 智能分流算法
 其他功能
因此USG9300 是基于一种分布式的转发平台。LPU 板和SPU 都可以进行具有相当逻辑复杂度的
处理工作。因此在开启需要大量复杂计算的功能时也可以保持极高的转发性能。同时也为后续增加
高级安全功能——IPS，AV，DPI 等，提供了良好的基础平台。
尤其需要说明的是，USG9300 基于网络处理器灵活的可编程能力实现了高速智能分流算法。在
不影响报文转发性能的情况下，基于SPU 板反馈的一些信息实现了报文的灵活分发。当某个SPU 板
出现故障后，基于此智能算法可以将后续报文及时分流到其他SPU 板处理，大大提高了业务的连续
性。当新增一个SPU 板后，该智能算法也能及时感知并重新进行业务分配，保证所有SPU 板的负载
基本均衡和稳定。

2.2.3 SPU 板上的软件

SPU 板上的软件是USG9300 系列防火墙的核心。几乎所有的安全功能都需要SPU 板参与，SPU 板
上的软件功能如图4 所示。同时SPU 板也是未来USG9300 增加新功能的基础平台。未来的IPS，AV
等功能将以SPU 板为硬件平台开发。
USG9300 的SPU 板采用N+1 备份的方式工作。其中任何一块板子出现问题都能够在LPU 板的协
助下及时将业务分担到其他SPU 板处理，极大地提高了系统可靠性。

3 小结

公司的USG9300 采用网络处理器+多核处理器的全分布式硬件架构，同时结合了经过精心设计的
多核操作系统。USG9300 的网络处理器板和多核处理器板都有业务处理能力。通过灵活分工，使得
USG9300 在具有高性能的同时能够轻松地完成各种复杂的安全功能。
USG9300 的多核操作系统是以公司多年技术积累的VRP 平台为基础的。新的多核操作系统充分
发挥了USG9300 的多核处理器性能，同时大大降低了编程的复杂度，极大地缩短了新功能开发和上
市时间。通过软件升级即可轻松获得新功能，替用户大大地节省了投资。使得USG9300 成为业界领
先的高端安全产品，完全能够满足未来若干年内高端安全产品在性能和功能方面的发展要求。

分享