【安全科普】NUMA防火墙诞生记

一、我为啥姓"NUMA"

随着网络流量和数据包处理需求的指数增长,曾经的我面对"高性能、高吞吐、低延迟"的要求,逐渐变得心有余而力不足。

多CPU技术应运而生,SMP(对称多处理)和NUMA(非一致性内存访问)成为当下最适用的多CPU硬件架构。

SMP的主要特征是"共享",即所有CPU共享使用全部资源,包括内存、总线和I/O;它的缺点是核数增加到一定程度,就会达到内存读取的性能瓶颈。

SMP架构

为了解决这个问题,工程师们设计了NUMA架构:将CPU划分到不同组(Node),每个节点都有自己的内存和计算资源,处理器可以更灵活地分配资源,提升整体性能和效率。

此外,NUMA架构还可以通过增加节点数量,扩展处理器的计算和存储能力,这让它非常适应大规模并行处理场景。

NUMA架构

基于NUMA架构设计成为防火墙"升级"的优选方案,改良处理器与本地内存之间的访问路径,满足高吞吐、低延迟的网络安全应用的需求,现在的我已经成为了百G防火墙队伍中的主力军。

二、升级后的我强在哪

1、高并发处理能力

每个处理器节点都可以独立处理本地的连接请求和数据流量。通过负载均衡技术(如基于哈希的负载均衡),NUMA防火墙能够将流量均匀分布到各个处理器节点,避免单点瓶颈的问题

例如,使用接收端扩展(RSS)技术,可以将入站流量根据哈希值分配到不同的CPU核,提高并发处理能力。

2、数据包处理自动化

NUMA架构支持高效的数据包处理流水线。每个处理器节点可以专注于流水线中的特定阶段,包括:

  • 数据包分类,根据预定义的规则集,分类数据包。
  • 状态跟踪,维护连接状态表,实现状态检测。
  • 策略匹配,根据安全策略进行包过滤和策略应用。
  • 深度包检测(DPI),对数据包内容进行深度检测,以识别应用层攻击。

通过流水线实现流程自动化,各处理器节点并行计算不同的数据包处理阶段,显著提高整体工作效率

3、智能流量调度

智能流量调度算法可以将流量合理分配到各个处理器节点,避免多处理器间的不均衡负载。常用的调度算法包括:

  • 轮询调度(Round-Robin),简单高效,将流量均匀分配到各处理器节点。
  • 最短路径优先(SPF),根据路径长度和处理器负载,动态调整流量分配。
  • 连接哈希调度,根据连接的哈希值,确保同一连接的流量始终由同一处理器节点计算,提高缓存命中率。

结合实际流量特点选用调度算法,可以大幅提升NUMA防火墙的性能与效率。

三、助我升级的关键技术

1、高效数据包过滤

NUMA防火墙通过多核并行处理能力,实现高效的数据包过滤。每个处理器节点都可以独立运行包过滤算法,包括基于规则集的包过滤、状态检测包过滤和应用层包过滤(Snort、Suricata等)。

2、深度包检测(DPI)

DPI是下一代防火墙的重要功能,可以识别并防御应用层攻击。在NUMA架构下,每个处理器节点会进行不同的数据流处理或DPI任务,能够完成大规模数据包流量的处理,实现高性能深度包检测。

3、连接状态维护

NUMA防火墙需要维护大量的连接状态信息,以支持状态检测。可以将连接状态表分布到各处理器节点,减少跨节点访问的延迟;应用哈希分区技术,将连接状态信息按哈希值分配至不同节点,提高访问效率。

4、安全策略执行

NUMA架构中的安全策略执行同样可以分布在多个处理器节点,每个节点根据预定义的策略规则,独立执行安全策略,包括访问控制、流量限制和入侵检测功能。使用高效的规则匹配算法(Aho-Corasick算法等),还能够显著提高策略执行效率。

**NUMA防火墙具备多核并行处理、内存局部优化、智能流量调度、高效的包过滤及DPI等核心能力,为用户提供高性能、低延迟、强扩展性的创新体验。**随着网络安全需求的日新月异,NUMA架构在高性能防火墙设计中的应用也将更加广泛和深入。

相关推荐
亚信安全官方账号3 小时前
亚信安全与方天股份达成战略合作,双向奔赴助力数字化转型
网络安全
Koi慢热7 小时前
黑客术语3
网络·安全·网络安全·智能路由器·空间安全·网络空间测绘安全
CVE-柠檬i7 小时前
渗透测试-前端加密分析之RSA响应加密
网络安全
Liebert778 小时前
CVE-2021-44228 漏洞复现
网络安全
ccc_9wy15 小时前
Apache Solr RCE(CVE-2019-0193)--vulhub
网络安全·apache·solr·lucene·vulhub·cve-2019-0193·远程命令执行漏洞rce
始终奔跑在路上16 小时前
shell8
开发语言·网络安全
儒道易行17 小时前
【bWAPP】XSS跨站脚本攻击实战
前端·web安全·网络安全·xss
Z1eaf_complete18 小时前
Powershell-1
安全·网络安全
Mitch31119 小时前
【漏洞复现】CVE-2022-45206 & CVE-2023-38905 SQL Injection
web安全·网络安全·docker·apache·jeecgboot
亚信安全官方账号19 小时前
亚信安全春节14天双倍假期通告
网络安全