技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)通信領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)安全業(yè)務(wù)擴展系統(tǒng)。

背景技術(shù)

隨著計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展和廣泛應(yīng)用，網(wǎng)絡(luò)安全成為影響計算機網(wǎng)絡(luò)技術(shù)發(fā)展和應(yīng)用的至關(guān)重要的問題。因此，出現(xiàn)了各種網(wǎng)絡(luò)安全設(shè)備，并得到了廣泛的應(yīng)用。簡單的安全設(shè)備僅可以實現(xiàn)基本的報文過濾、狀態(tài)過濾等功能，復(fù)雜的安全設(shè)備融合了虛擬私有網(wǎng)(Virtual?Private?Network，VPN)、網(wǎng)絡(luò)地址轉(zhuǎn)換(Network?Address?Translation)等功能，通常根據(jù)網(wǎng)絡(luò)組網(wǎng)的需求，在設(shè)備內(nèi)部還可內(nèi)嵌內(nèi)容過濾、防病毒、入侵檢測系統(tǒng)(Invasion?DetectionSystem，IDS)等單元。

如圖1所示，在網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域，現(xiàn)有的業(yè)務(wù)擴展方案基于工控機平臺上的PCI總線，其中中央處理器(Central?Process?Unit，CPU)單元是核心處理單元，由CPU芯片、內(nèi)存、硬盤等組件構(gòu)成，運行有各種軟件。物理接口單元、VPN單元、防病毒單元、入侵檢測單元等為可擴展的業(yè)務(wù)單元。物理接口單元是設(shè)備完成數(shù)據(jù)報文收發(fā)功能的接口，可以根據(jù)實際需求擴展物理接口的數(shù)量。VPN單元完成設(shè)備VPN功能的擴展。防病毒單元完成設(shè)備防病毒功能的擴展。入侵檢測單元完成設(shè)備入侵檢測功能的擴展。所有的業(yè)務(wù)單元和CPU單元之間的通信都共享一套PCI總線，在某一時刻，總線只能被某一業(yè)務(wù)單元占用。

物理接口單元從外部接收數(shù)據(jù)報文，通過PCI總線上交到CPU單元。如果設(shè)備僅僅被設(shè)置了VPN功能，則CPU通過PCI總線把數(shù)據(jù)報文遞交給VPN單元，VPN單元對數(shù)據(jù)包進行處理，處理結(jié)束后，再通過PCI總線把數(shù)據(jù)報文遞交給CPU單元。在上述過程中，至少占用了三次PCI總線。如果設(shè)備還被設(shè)置有防病毒單元、入侵檢測單元等，則占用PCI總線的次數(shù)將更多。

在上述方案中，由于所有單元共享一套PCI總線，即使PCI總線工作于最高速的PCI?64bit@66MHz，也由于PCI總線本身的效率(約20％)以及共享總線的時分共享方式而導(dǎo)致性能的低下，按照理論計算，每塊板卡所能享有的PCI帶寬將不超過100Mbps。

在IDC、大型城域網(wǎng)、大型企業(yè)網(wǎng)等領(lǐng)域?qū)Ψ阑饓Φ囊蠛芨撸纫笾С侄鄻I(yè)務(wù)的擴展，同時又必須具有很高的性能(要求達到線速)，否則將因為嚴重的性能瓶頸而導(dǎo)致業(yè)務(wù)目標(biāo)的無法達成，而使用現(xiàn)有的工控機平臺業(yè)務(wù)擴展技術(shù)，這個性能瓶頸將難以解決。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種網(wǎng)絡(luò)安全業(yè)務(wù)擴展系統(tǒng)，旨在解決現(xiàn)有技術(shù)中存在的基于工控機平臺上的PCI總線實現(xiàn)網(wǎng)絡(luò)安全業(yè)務(wù)擴展，多業(yè)務(wù)擴展能力差，業(yè)務(wù)性能較低的問題。

本發(fā)明是這樣實現(xiàn)的，一種網(wǎng)絡(luò)安全業(yè)務(wù)擴展系統(tǒng)，包括CPU單元，以及業(yè)務(wù)擴展單元，所述系統(tǒng)進一步包括安全處理單元，所述安全處理單元通過高速通信通道與所述CPU單元以及業(yè)務(wù)擴展單元連接通信。

所述高速通信通道為PCI-E、1.25Gbps串行總線、3.125Gbps串行總線或者10Gbps總線。

所述業(yè)務(wù)擴展單元為物理接口單元、VPN單元、防病毒單元或者入侵檢測系統(tǒng)。

本發(fā)明克服了PCI總線對安全處理單元管理總線帶寬的瓶頸，同時采用安全處理單元為設(shè)備新的安全處理核心，外接各類處理單元，避免了共享總線帶來的擴展性能瓶頸問題，既實現(xiàn)了多業(yè)務(wù)的靈活擴展，同時又具有很高的業(yè)務(wù)性能。

附圖說明

圖1是現(xiàn)有技術(shù)中基于工控機平臺上的PCI總線實現(xiàn)的網(wǎng)絡(luò)安全業(yè)務(wù)擴展系統(tǒng)的結(jié)構(gòu)圖；

圖2是本發(fā)明提供的網(wǎng)絡(luò)安全業(yè)務(wù)擴展系統(tǒng)的結(jié)構(gòu)圖。

具體實施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下結(jié)合附圖及實施例，對本發(fā)明進行進一步詳細說明。應(yīng)當(dāng)理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。