【文章內(nèi)容簡介】 感染病毒的客戶端和服務(wù)器對外擴散病毒。隨著Internet，尤其是Http應(yīng)用的日益普及發(fā)展，使得越來越多的企業(yè)應(yīng)用轉(zhuǎn)為了B/S構(gòu)架，借助HTTP協(xié)議的方便和易用提高企業(yè)效率。同時Internet上無窮無盡的各類資源、虛擬社區(qū)、Web游戲等等使得內(nèi)網(wǎng)用戶訪問Internet的需求在不斷增加，Web應(yīng)用已經(jīng)成為客戶的最主要流量。而安全網(wǎng)關(guān)作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)通道，如果吞吐量太小，就會成為網(wǎng)絡(luò)瓶頸，給整個網(wǎng)絡(luò)的傳輸效率帶來負面影響。因此，考察網(wǎng)關(guān)的HTTP吞吐能力將有助于我們更好的評價其性能，這里需要注意的是網(wǎng)關(guān)防病毒關(guān)鍵性能是HTTP的吞吐量，而不是UDP的吞吐量，企業(yè)在選購產(chǎn)品時一定要搞清楚這兩個吞吐量的差別。UDP吞吐量代表的是整個設(shè)備的包轉(zhuǎn)發(fā)能力，而網(wǎng)關(guān)防病毒針對的是具體應(yīng)用協(xié)議和數(shù)據(jù)內(nèi)容的掃描與檢測性能，因此對于網(wǎng)關(guān)防病毒產(chǎn)品來說UDP的吞吐量參考意義不大，UDP的吞吐量高，并不一定內(nèi)容檢測性能就高。在企業(yè)的 internet應(yīng)用協(xié)議流量中通常流量所占的比重最大，因此HTTP協(xié)議的檢測性能才是網(wǎng)關(guān)防病毒的關(guān)鍵性能指標。為了提升病毒檢測的性能，目前主流解決方案主要有兩種：一種是串流掃描技術(shù)。一種是借助ASIC加速卡將由代理緩存下來的整個文件做深度內(nèi)容掃描檢測與特征匹配?？陀^的講，這兩種掃描技術(shù)各有所長，但是對于企業(yè)而言，找尋性能和檢測率、漏判之間的平衡，將成為企業(yè)防病毒成敗的關(guān)鍵。串流掃描方案由于優(yōu)先考慮用戶的網(wǎng)絡(luò)使用體驗，不得不簡化病毒掃描流程，對一些較復(fù)雜的文件不能進行深入的檢測，會造成病毒的漏判。另外當網(wǎng)絡(luò)流量較大時，很多掃描不能在文件傳輸之前完成，這就造成實際上的病毒掃描功能失效。2005年市面上采用串流病毒掃描技術(shù)的網(wǎng)關(guān)產(chǎn)品較多，但很快發(fā)現(xiàn)漏判漏查的問題無法避免，所以為了解決漏判漏查問題，web安全網(wǎng)關(guān)廠商Anchiva(安啟華)在2006毅然拋開串流掃描的做法，堅持要用深度內(nèi)容檢測的方式提高病毒檢測率，于是Anchiva(安啟華)利用1年多的時間開發(fā)了基于ASIC芯片的深度內(nèi)容檢測與特征匹配引擎，成功的解決了掃描性能問題，并且提高了病毒檢測率。Anchiva(安啟華)通過測試對比發(fā)現(xiàn)，ASIC硬件掃描引擎在相同測試條件下的Http吞吐量是純軟件掃描引擎的45倍。當然，網(wǎng)絡(luò)流量中需要掃描殺毒的文件類型很多，有txt文本文件，有二進制文件，有可執(zhí)行的pe文件等，因此企業(yè)在選購產(chǎn)品時還需要重點考察防病毒網(wǎng)關(guān)產(chǎn)品對這三類主要文件類型進行掃描殺毒的吞吐量?！　〕送掏铝客?，的并發(fā)連接數(shù)也是網(wǎng)關(guān)防病毒的關(guān)鍵性能指標，這里同樣需要注意的是的并發(fā)連接數(shù)，并不是TCP并發(fā)連接數(shù)。TCP并發(fā)連接數(shù)是指設(shè)備能夠同時處理的點對點TCP連接的最大數(shù)目，主要反映的是防火墻、路由器等設(shè)備對多個TCP連接的訪問控制能力和連接狀態(tài)跟蹤能力。對網(wǎng)關(guān)防病毒來說，因為需要針對某個具體的應(yīng)用協(xié)議進行掃描過濾，TCP并發(fā)連接數(shù)并不能完全反映設(shè)備的訪問控制能力和連接狀態(tài)跟蹤能力，并發(fā)連接數(shù)才是真正反映網(wǎng)關(guān)防病毒能支持的最大信息點數(shù)的性能指標。一般廠家會通過增加內(nèi)存的方式來提高并發(fā)連接數(shù)，但是Anchiva(安啟華)公司總架構(gòu)師賀先生說：“并發(fā)連接數(shù)跟內(nèi)存大小有直接的關(guān)系，但是沒有很好的掃描處理算法來降低每一個連接的開銷，即使內(nèi)存大小一樣，并發(fā)連接數(shù)也是有明顯差別的。另外還有關(guān)鍵的一點是傳統(tǒng)的TCP協(xié)議棧在透明代理情況下會受限于端口數(shù)目65535的限制，”。從這一點可以看出如果是傳統(tǒng)的TCP協(xié)議棧，即使內(nèi)存再大，HTTP并發(fā)連接數(shù)也不可能超過65535，否則就是欺騙。除非像 Anchiva(安啟華)公司那樣經(jīng)過優(yōu)化改寫過的TCP協(xié)議棧才有可能并發(fā)連接數(shù)突破65535個?！　《?、Internet應(yīng)用控制和帶寬管理處理能力　　Internet應(yīng)用控制和帶寬管理，通常是通過對應(yīng)用數(shù)據(jù)包進行分析，通過識別匹配協(xié)議或應(yīng)用特征進行的47層的應(yīng)用管控。僅僅靠識別端口是不行的，因為當前網(wǎng)絡(luò)上的大部分應(yīng)用會采用隱藏或假冒端口號的方式躲避檢測和管控，也常常通過動態(tài)協(xié)商端口等方式仿冒合法應(yīng)用的數(shù)據(jù)流來侵蝕著網(wǎng)絡(luò)，因此對于應(yīng)用管控還需要識別出協(xié)議或應(yīng)用中特定的字符串以便更準確地進行應(yīng)用的識別與管控。當然，對于應(yīng)用管控不需要對所有的應(yīng)用數(shù)據(jù)包進行一一的檢測過濾，僅僅需要對應(yīng)用流量中開始的1個或幾個數(shù)據(jù)包進行特征分析與匹配。因此，對于Internet應(yīng)用控管，其性能的關(guān)鍵在于網(wǎng)關(guān)的包轉(zhuǎn)發(fā)能力。用戶在選購產(chǎn)品時，需要考察的是設(shè)備對數(shù)據(jù)包的吞吐量。為了提高吞吐量，市面上有ASIC加速技術(shù)也有多核技術(shù)，二者的目的一致，都是為了提高性能。支持多核并不難，普通的Linux就可以支持，但如果沒有良好的并行多核控制技術(shù)，既使再多的核也不能完全發(fā)揮出多核的硬件優(yōu)勢。因此，這就需要具備并行多核優(yōu)化控制技術(shù)來保證多核CPU快速均衡的響應(yīng)不同的網(wǎng)絡(luò)應(yīng)用。Anchiva(安啟華)并行多核控制技術(shù)采用數(shù)據(jù)包動態(tài)均衡分發(fā)處理機制，實現(xiàn)流量在多核間的負載均衡，極大的提升了系統(tǒng)的運算效率。并且一般的多核控制技術(shù)是通過CPU的其中一個核來完成流量的均衡分發(fā)，而Anchiva(安啟華)為了充分利用硬件資源，使性能達到最優(yōu)，不是占用CPU的一個核來完成流量的均衡分發(fā)，而是通過專門編寫的控制技術(shù)利用網(wǎng)卡中的芯片完成流量在不同CPU間的均衡分發(fā)，這樣使相同的多核CPU的處理能力更進一步發(fā)揮出來。另外在多核上實現(xiàn)的應(yīng)用調(diào)度處理也很重要，應(yīng)用調(diào)度處理一般有并行和串行兩種模式。顯然，為了實現(xiàn)對多核資源的充分挖掘和利用，并行應(yīng)用調(diào)度處理方式也是必須的，為此Anchiva(安啟華)專門編寫了自己的并行應(yīng)用處理引擎，以便充分的利用多核資源。　　三、URL過濾處理能力　　URL過濾的實現(xiàn)機制是將客戶端請求的URL與網(wǎng)關(guān)中的URL過濾策略進行匹配，從而達到過濾控制的目的。對于這部分功能，web安全網(wǎng)關(guān)僅僅需要對 header中的URL進行掃描處理，不需要對請求的內(nèi)容進行掃描，以一個32K的請求為例， 的header部分只有幾百個字節(jié)，不到1K。于是可以看出，對于URL過濾，需要考察的重要性能指標是的并發(fā)連結(jié)數(shù)和每秒新建連接數(shù)，這就需要一個強大的處理引擎。各廠家也都在的處理性能上下功夫，通常使用最多的還是多核技術(shù)， Anchiva(安啟華)認為，良好的HTTP 處理引擎不僅跟CPU是單核還是多核有關(guān)系，即使有多核技術(shù)，如果沒有優(yōu)化基于kernel的TCP協(xié)議棧，對于上層應(yīng)用代理的處理能力也會受限于傳統(tǒng) TCP協(xié)議棧共享鎖的限制。目前很少有廠商愿意花費時間來攻破這一難題。攻破TCP協(xié)議棧的束縛將成就更快的Web安全網(wǎng)關(guān)。Anchiva(安啟華)公司在成立之初就決定優(yōu)化重寫TCP協(xié)議棧，在兼顧安全性的基礎(chǔ)上，開發(fā)了橫跨系統(tǒng)內(nèi)核層和系統(tǒng)應(yīng)用層的TCP協(xié)議棧，同時將TCP協(xié)議棧與應(yīng)用進程并行結(jié)合，打破了通用操作系統(tǒng)基于內(nèi)核的TCP協(xié)議棧共享鎖的限制及系統(tǒng)應(yīng)用層與系統(tǒng)內(nèi)核層分離的制約，實現(xiàn)了轉(zhuǎn)發(fā)層面和應(yīng)用層面的并行處理，也使 Anchiva Web安全網(wǎng)關(guān)的性能隨著硬件配置的提升，能夠做到近似線性增長?！　‘斎唬瑔为毜耐掏铝?、并發(fā)連接數(shù)和每秒新建連接數(shù)的數(shù)據(jù)毫無意義，一定要說明這個數(shù)據(jù)是用什么方法測試出來的才有用，同類產(chǎn)品相互性能的比較一定要在同樣的測試環(huán)境和方法下以及相同的策略條件下進行才公平和有意義。最好的方法是對同類產(chǎn)品用相同的測試儀器通過相同的測試環(huán)境和測試參數(shù)測試出來的性能才具有可比性和參考價值。對于防火墻、路由器等設(shè)備，測試標準通常要遵從RFC 2544/1242。但是對于應(yīng)用網(wǎng)關(guān)，目前沒有成型的測試標準，各家都有各家的方法，這里就需要企業(yè)在選購時一定要清楚各家的性能參數(shù)是如何得到的?！　〕酥?，對于web安全網(wǎng)關(guān)而言應(yīng)用層的處理能力是需要用戶考察的關(guān)鍵點。成就高性能的應(yīng)用層面處理能力，首先需要克服的是轉(zhuǎn)發(fā)層面和協(xié)議層面甚至硬件架構(gòu)等等更底層的處理瓶頸或處理技術(shù)。因此認清其對多核和ASIC的支持能力、TCP協(xié)議棧以及上層應(yīng)用處理引擎的并行處理能力和掃描檢測算法的優(yōu)化能力，這些都是web安全網(wǎng)關(guān)性能能否達到最優(yōu)的核心技術(shù)。攻克這些核心技術(shù)，不僅能成就高性能的網(wǎng)關(guān)殺毒，對于URL過濾和應(yīng)用管控的性能提高僅僅是順帶手就能夠做到的。相信認清市場上種類繁多的web安全網(wǎng)關(guān)的真正優(yōu)勢后，企業(yè)選擇一款真正適合自己的邊界web安全網(wǎng)關(guān)設(shè)備并不難VoIP在基于MPLS集成模型中QoS技術(shù)　　1　引言VoIP（Voice over IP）是指利用IP網(wǎng)絡(luò)進行語音通信的技術(shù)。由于IP技術(shù)是一種面向無連接的技術(shù)，IP網(wǎng)絡(luò)的初衷只是提供一種稱之為“盡力而為”（Best Effort）的服務(wù)，這對于只要求準確率而對時延沒有嚴格要求的數(shù)據(jù)業(yè)務(wù)來說是合適的，而對于話音、視頻等實時通信業(yè)務(wù)，它們的服務(wù)質(zhì)量（Quality of Service, QoS）是難以保障的。VoIP的服務(wù)主要歸結(jié)為承載網(wǎng)絡(luò)問題，而目前的網(wǎng)絡(luò)帶寬限制是造成時延過大、擁塞的主要原因。另外，在一個網(wǎng)絡(luò)中同時提供語音和數(shù)據(jù)應(yīng)用，就必須特別考慮語音應(yīng)用的服務(wù)質(zhì)量。為保證IP網(wǎng)絡(luò)上的QoS，IETF首先提出用RSVP發(fā)送信號協(xié)議的綜合業(yè)務(wù)模型（Intserv）[1]，在發(fā)送數(shù)據(jù)前對接收端建立路徑和預(yù)留資源，通過接納控制、策略控制、分類調(diào)度控制等機制實現(xiàn)端到端的QoS。由于要在每個節(jié)點上為每一個流進行資源預(yù)留，并且要建立和拆除路徑，這就要求每個節(jié)點都要支持RSVP，都要維護路由和資源的“軟狀態(tài)”信息，這樣它的可擴展性及魯棒性差，在現(xiàn)有的網(wǎng)絡(luò)上特別對大型廣域網(wǎng)實現(xiàn)起來比較困難。這就促使LETF去發(fā)展區(qū)分業(yè)務(wù)模型（Diffserv）[2]，它是在網(wǎng)絡(luò)邊緣將業(yè)務(wù)流解成很小數(shù)據(jù)量的聚集流（類），由IP分組頭標的DSCP （Diffserv Code Point，區(qū)分業(yè)務(wù)碼）來標識，在網(wǎng)絡(luò)邊緣結(jié)點實施分類、標記、管理等功能，在網(wǎng)絡(luò)的核心節(jié)點僅僅根據(jù)DSCP相關(guān)的PHB（perhop behavior）轉(zhuǎn)發(fā)分組，這簡化了網(wǎng)絡(luò)內(nèi)部節(jié)點的結(jié)構(gòu)，這比綜合服務(wù)可擴展性要大的多。但Diffserv仍采用了逐跳路由的分組轉(zhuǎn)發(fā)方式，對端到端的QoS支持顯得不足?！　oIP來說，Internet必須具有提供QoS保證以及資源最優(yōu)化使用這兩個最基本的屬性。最優(yōu)化使用資源是避免流量阻塞和服務(wù)退化的必要的一步，這項工作由流量工程來完成。多協(xié)議標簽交換（MultiProtocol Label Switching, MPLS）對IP網(wǎng)絡(luò)來說已經(jīng)被廣泛的認為是一個重要的流量控制工具。這種重要性歸結(jié)為兩個主要的特征：首先，在傳輸數(shù)據(jù)包過程中短小而又固定長度的標簽的使用，使其表述性能得到增強；其次，創(chuàng)建電路的能力（label switch path, LSP）在網(wǎng)絡(luò)中無需連結(jié)[3]。這些MPLS特征無論在Intserv還是在Diffserv中都能夠提供。由此我們可以看出，Intserv/RSVP，Diffserv，以及MPLS在追求端到端的QoS中是互補的技術(shù)。因此，為保證VoIP的 QoS，采用這樣一種集成模型，在邊緣網(wǎng)絡(luò)里采用Intserv，在核心網(wǎng)里采用Diffserv Over MPLS。本文就是討論在這種集成模型上傳輸VoIP業(yè)務(wù)的QoS技術(shù)。　　2　MPLS　　 MPLS簡介　　MPLS是一種多協(xié)議標簽轉(zhuǎn)換技術(shù)，它兼有第二層交換的分組轉(zhuǎn)發(fā)技術(shù)和第三層路由選擇技術(shù)的優(yōu)點，旨在解決當前聯(lián)網(wǎng)環(huán)境中使用的分組轉(zhuǎn)發(fā)技術(shù)所存在的許多問題。MPLS實質(zhì)是當IP包進入MPLS網(wǎng)絡(luò)時被分配一個短小、長度固定、具有本地意義、能區(qū)別于其他信息流的標簽作為MPLS頭來封裝這個IP包，在MPLS網(wǎng)絡(luò)所有轉(zhuǎn)發(fā)機制都是依據(jù)這個標簽，該標簽告訴分組路徑上的交換節(jié)點如何處理和轉(zhuǎn)發(fā)數(shù)據(jù)，在離開MPLS網(wǎng)絡(luò)時解封裝MPLS頭。MPLS頭包括一個二十比特的標簽，一個三比特的擴展域（最初被定義為擴展，現(xiàn)在使用為COS服務(wù)類型域），一個比特的標簽棧指示，還有一個比特的TTL（timetolive）域。MPLS有幾個核心技術(shù)和組件：流量工程、基于約束路由、標簽交換路由器（Label Switch Router, LSR）、標簽、標簽交換和標簽分發(fā)等，其中LSR是指實現(xiàn)標簽分發(fā)并能夠根據(jù)標簽轉(zhuǎn)發(fā)分組的交換機或路由器。在一個MPLS網(wǎng)絡(luò)中，交換路徑可以是點到點、多到一、一到多和多到多等路徑?！　?MPLS上的LSP和流量工程　　所有的分組都是通過入口LSR進入MPLS網(wǎng)絡(luò)，并通過出口LSR離開MPLS網(wǎng)絡(luò)的這種機制創(chuàng)建了LSP，它指的是對于特定的FEC，帶標簽的分組到達出口LSR之前，必須經(jīng)過的一組LSR的標簽序列。這種LSP是單向的，即返回特定FEC中的數(shù)據(jù)流時，將使用不同的LSP?！　SP的建立可以是控制驅(qū)動（也就是由控制流量觸發(fā)），也可以是數(shù)據(jù)驅(qū)動（也就是特殊流的出現(xiàn)而觸發(fā)）。IP包和LSP之間的映射必須在LSR 的入口通過為一個標簽指定一個FEC發(fā)生。LSR的入口使用一個FEC到NHLFE（Next Hop Label Forwarding Entry）的映射，在轉(zhuǎn)發(fā)的數(shù)據(jù)包沒有標簽以及在轉(zhuǎn)發(fā)前將被標記時使用?！　榱私SP，LSR使用信令信息來協(xié)調(diào)和分發(fā)標簽。這些信令信息既可以用一種叫做LDP（Label Distribution Protocol）的新協(xié)議來承載，也可以用擴展的RSVP[4]去承載。在建立LSP以及支持流量工程的約束路由上兩種協(xié)議可以提供相類似的功能。在 MPLS網(wǎng)絡(luò)中傳輸VoIP流時，一般采用擴展的RSVP去分發(fā)標簽綁定信息。流量工程能夠從路由協(xié)議計算出的最短路中移動數(shù)據(jù)流，從而安排數(shù)據(jù)流通過網(wǎng)絡(luò)，避開因不均勻的使用網(wǎng)絡(luò)造成的阻塞。因此，在IP網(wǎng)絡(luò)上能夠執(zhí)行流量工程有著很多的好處，主要體現(xiàn)在兩個方面：基于流量的和基于資源的。前者屬于優(yōu)化關(guān)鍵的流量執(zhí)行特征，如延時，包丟失以及吞吐效率；后者指的是使用最有效的方式使用可用的網(wǎng)絡(luò)資源去避免阻塞和低利用率。使用流量工程技術(shù)的直接好處是在轉(zhuǎn)發(fā)流量時能避開阻塞點，萬一失敗時能快速地重新選擇路由，能有效使用可利用的帶寬以及QoS?！　?　基于MPLS的集成模型整個集成模型結(jié)構(gòu)由邊緣網(wǎng)絡(luò)和核心網(wǎng)絡(luò)構(gòu)成。對MPLS來說，它實際上是一個提供VPN的承載網(wǎng)絡(luò)，實現(xiàn)多節(jié)點QoS需求的無縫連結(jié)。邊緣網(wǎng)絡(luò)是一個Ints