当前位置：首页 > news >正文

【安全科普】NUMA防火墙诞生记

一、我为啥姓“NUMA”

随着网络流量和数据包处理需求的指数增长，曾经的我面对“高性能、高吞吐、低延迟”的要求，逐渐变得心有余而力不足。

多CPU技术应运而生，SMP（对称多处理）和NUMA（非一致性内存访问）成为当下最适用的多CPU硬件架构。

SMP的主要特征是“共享”，即所有CPU共享使用全部资源，包括内存、总线和I/O；它的缺点是核数增加到一定程度，就会达到内存读取的性能瓶颈。

SMP架构

为了解决这个问题，工程师们设计了NUMA架构：将CPU划分到不同组（Node），每个节点都有自己的内存和计算资源，处理器可以更灵活地分配资源，提升整体性能和效率。

此外，NUMA架构还可以通过增加节点数量，扩展处理器的计算和存储能力，这让它非常适应大规模并行处理场景。

NUMA架构

基于NUMA架构设计成为防火墙“升级”的优选方案，改良处理器与本地内存之间的访问路径，满足高吞吐、低延迟的网络安全应用的需求，现在的我已经成为了百G防火墙队伍中的主力军。

每个处理器节点都可以独立处理本地的连接请求和数据流量。通过负载均衡技术（如基于哈希的负载均衡），NUMA防火墙能够将流量均匀分布到各个处理器节点，避免单点瓶颈的问题。

例如，使用接收端扩展（RSS）技术，可以将入站流量根据哈希值分配到不同的CPU核，提高并发处理能力。

NUMA架构支持高效的数据包处理流水线。每个处理器节点可以专注于流水线中的特定阶段，包括：

通过流水线实现流程自动化，各处理器节点并行计算不同的数据包处理阶段，显著提高整体工作效率。

3、智能流量调度

智能流量调度算法可以将流量合理分配到各个处理器节点，避免多处理器间的不均衡负载。常用的调度算法包括：

结合实际流量特点选用调度算法，可以大幅提升NUMA防火墙的性能与效率。

NUMA防火墙通过多核并行处理能力，实现高效的数据包过滤。每个处理器节点都可以独立运行包过滤算法，包括基于规则集的包过滤、状态检测包过滤和应用层包过滤（Snort、Suricata等）。

DPI是下一代防火墙的重要功能，可以识别并防御应用层攻击。在NUMA架构下，每个处理器节点会进行不同的数据流处理或DPI任务，能够完成大规模数据包流量的处理，实现高性能深度包检测。

NUMA防火墙需要维护大量的连接状态信息，以支持状态检测。可以将连接状态表分布到各处理器节点，减少跨节点访问的延迟；应用哈希分区技术，将连接状态信息按哈希值分配至不同节点，提高访问效率。

NUMA架构中的安全策略执行同样可以分布在多个处理器节点，每个节点根据预定义的策略规则，独立执行安全策略，包括访问控制、流量限制和入侵检测功能。使用高效的规则匹配算法（Aho-Corasick算法等），还能够显著提高策略执行效率。

NUMA防火墙具备多核并行处理、内存局部优化、智能流量调度、高效的包过滤及DPI等核心能力，为用户提供高性能、低延迟、强扩展性的创新体验。随着网络安全需求的日新月异，NUMA架构在高性能防火墙设计中的应用也将更加广泛和深入。