用PowerQUICCTM III MPC8572E设计防火墙/ VPN

为了了解防火墙操作，我们先分析一下两种非常常见的业务交易信息流：

·World Wide Web(万维网，HTTP)

·文件传输 (FTP)

使用HTTP协议，World Wide Web 业务中从客户端到服务器的数据包流按照下列5字节组中的选择器值进行划分：

<协议、 SA、 DA、 SP、 DP>，其中

·协议 = TCP

·SA = 客户端地址

·DA =(通常是已公布的)服务器地址

·SP = 客户端端口编号

·DP = 80，IANA为HTTP协议分配的端口编号。

在信息流的另一个方向，源和目的地地址间的选择器值进行交换。　

<协议、SA 、DA、 SP、 DP>，其中?协议 = TCP

·SA = 客户端地址

·DA =(通常是已公布)服务器地址

·SP = 客户端地址

·DP = 21，IANA为FTP控制分配的端口编号。

数据连接是控制连接(母数据流)的子数据流。客户端使用PORT或PASV命令来指定用来传输所请求数据的地址和端口编号。FTP服务器到客户端的数据流按照下列5字节组中的选择器值进行划分：

<协议、 SA、 DA、 SP、 DP>，其中

·协议 = TCP

·SA = (通常已公布)服务器地址

·DA = PORT或PASV命令中指定的动态地址

·SP = 通常是服务器分配的动态端口(或者默认值为20，IANA为FTP数据分配的端口数量)

·DP =  PORT或PASV命令中指定的动态端口编号。

前面的例子表明，信息业务是基于流量的。流量按照下列5字节组中的选择器值进行划分： <协议、 SA、 DA、 SP、 DP>。选择器值在流量的有效期间不会更改。

服务器地址通常都是公开的。表明业务的端口编号由IANA定义。由已知服务器地址和端口编号划分的单个流量适用于很多业务(但不是所有业务)。

有些多媒体业务使用一个以上的子流量。母流量(通常是控制流量)会协商子流量(通常是数据或多媒体流量)里的选择器值。
　　
　　基于流量的防火墙操作

已知端口编号基于访问控制列表(ACL)支持相对简单的策略执行操作。

例如，对于Web流量，适用的ACL可以定义为：

“如果协议是TCP协议且目的端口编号为80，允许流量从外部网络进入DMZ1。”

策略执行阶段需要对已收到数据包的选择器值与配置的ACL进行匹配。一旦匹配，属于该流量的所有后续数据包都能允许通过，或者简单地进行转发。

　
　　在FTP情况中，策略执行要复杂一些。除了匹配可适用ACL外，它看起来类似于：

“如果协议是TCP且端口编号为20，更多处理流量从外部网络进入DMZ1。”

控制流量数据包被“进一步处理”，其中FTP协议交换决定子数据流量选择器值。与子流量协商的选择器值对应的小孔打开，与小孔选择器值匹配的后续数据包被允许通过。

控制路径决定着第一个或前面几个数据包的性能，而数据路径决定着流量中剩余数据包的性能。由于大部分信息流量都包含大量数据包，数据路径在很大程度上决定了防火墙的吞吐量。因此，防火墙设计人员对数据路径进行高度优化，以实现出色的系统性能。
　　
　　结语

MPC8572E是一款以Gbps速度优化网络安全处理的PowerQUICC III处理器。它的e500双核提供了执行各种安全操作所需的CPU周期和灵活性。MPC8572E的集成硬件模块(Pattern Matcher、Deflate、表格查找单元和安全引擎)以更低的功耗，进一步加快了数据包报头和应用内容处理。同时，其高度优化的内部互连结构也确保了高带宽、低延迟和有效的管道操作。

MPC8572E处理器(包含所有主要的处理和I/O元件)以较低的系统成本和较短的设计周期支持非常简单、优雅的平台设计。由于它是从经过验证的PowerQUICC III SoC演进而来，都用相同的e500内核、eTSEC 和 SEC模块进行实施，所以实现了现有防火墙/VPN的大量再利用。

尽管本文重点介绍如何将MPC8572E用于防火墙/VPN设计，但SoC也可以用于包括IDS/IPS、防病毒/防垃圾邮件和ISR/UTM在内的其他安全设备，它们都有一致的结构。换句话说，厂商可以用MPC8572E设计出一个硬件平台，然后在适当时间将它转换成具有适当软件载荷的特定网络安全设备。