文/张志群

    Comware作为H3C网络操作系统平台以其丰富的功能和特性支撑着H3C众多网络产品的发展；而i-Ware专注于4～7层安全业务的提供，并对新业务进行探索和分析。两大软件平台相互促进、相互融合，为H3C完善的网络安全解决方案提供了基础。

    i-Ware平台是H3C为了解决越来越多的网络安全问题而自主研发、具有创新性的专用安全软件平台，支撑着H3C所有安全产品的发展。i-Ware从诞生之日起，就以解决网络安全为使命，以支撑4～7层业务发展为其核心竞争力，通过平台化方式，支撑H3C安全产品从低端盒式设备到高端框式设备以及插卡形态全系列化的产品开发。

    i-Ware采用单一软件系统的策略，具有良好的可裁减性和可伸缩性，以支持不同的硬件平台和体系结构，如X86、多核系统等等。

i-Ware平台架构

    我们知道，随着Internet应用普及，基于OSI七层应用的威胁越来越多，如HTTP隧道应用、在QQ协议基础上的威胁、基于P2P协议的攻击和威胁等，如果不理解协议，就无法完整的针对载荷部分进行分析和检测，i-Ware平台应运而生。

    i-Ware采用Linux作为内核，但仅保留其基本的任务调度功能，如命令行、Web GUI等，而在进行业务处理时，有专有的CPU、内存、内存管理系统等，完全独立于Linux，这样更好地满足与支撑应用业务的发展。

http://www.h3c.com.cn/res/200904/15/20090415_748705_image001_631257_30008_0.png

图1 i-Ware平台架构

    i-Ware平台从整体上分成4大平面：管理平面、控制平面、数据平面和支撑平面。其中数据平面主要负责业务处理和转发功能，控制平面配合数据平面完成各种业务的配置保存和下发，如IPS、防病毒等业务的配置；支撑平面是指在操作系统的基础上提供业务运行的软件基础；管理平面则提供对外的设备管理接口，包括CLI、SNMP、Web、日志等。同时，运行i-Ware的产品还有自己独立的驱动和硬件系统，硬件驱动独立抽象为硬件适配层，对上层软件提供统一调用接口，对下层硬件统一定义驱动接口，适应不同规格的硬件架构，从而实现与多种专用芯片的无缝融合，这部分随着产品的不同而变化，不属于i-Ware平台的构件。

FIRST引擎

    FIRST引擎（Full Inspection with Rigorous State Test，基于精确状态的全面检测），是H3C在对4～7层业务深度分析和理解的基础上，融合了模式匹配、统计分析、异常检测分析等技术，以及H3C应用识别、基于流的内容搜索等专利技术，从而针对不同业务抽象、构造的统一架构。它可以很好的融合状态过滤、IPS、AV、Anti-Spam、内容过滤等安全业务，解决传统的不同业务需要多次处理的方式，而在数据包处理时，在一次拆包过程中完成协议识别、IPS、AV和内容检测等功能。同时各个业务部件可以根据需要，采用不同的硬件进行加速，如对于模式匹配，既可以采用H3C专利的内容搜索算法，也可以采用业界成熟的内容搜索芯片、FPGA等进行加速，这样极大提高了系统处理效率，从而满足企业对网络带宽不断增长的要求。

图2显示了FIRST引擎的架构。其中，特征库语言解释器对外提供通用的特征库语言描述，采用该语言可以融合模式、统计分析、异常检测等不同的规则集，有效描述各种恶意的攻击行为。威胁特征库，根据不同的业务需要，可以展现为IPS攻击特征库、AV特征库、协议特征库等。

http://www.h3c.com.cn/res/200904/15/20090415_748706_image002_631257_30008_0.png

图2 FIRST引擎架构

可裁减

    可裁减性是i-Ware平台能够根据不同产品系列、产品形态快速推出产品的基础。产品可以结合市场的需要，针对不同的特性、规格进行灵活的裁减和定制，这种定制有的是在编译链接时确定的，有的是在系统运行期间根据需要进行的动态调整和卸载。平台无需针对不同的产品提供不同的代码版本，而是提供一个支持所有特性的超集代码，形成LIB库，在产品初始化时分别选择和定制并链接不同的LIB，从而得到所需的特性和规格，并最终形成个性化的产品目标文件。

    采用一套代码进行开发和维护能够给产品开发带来极大价值，它既可以适应低端产品苛刻的内存需求，也能够适应高端产品性能要求，不仅加快了特性的开发周期，同时使得维护也极为高效，从而极大提升了H3C产品的品质。

开放性

    i-Ware支持H3C OAA开放接口，利用OAA开放接口的优势，基于i-Ware的所有产品都可以很好的与H3C其他产品无缝融合，为客户提供良好的安全网络解决方案。同样，通过OAA接口，任何其他厂商或机构需要借助于H3C提供完整的安全解决方案也成为可能。

    i-Ware和Comware的融合就是其典型的例子。作为H3C两大软件平台，除了通过OAA方式进行开放融合外，还可以通过H3C独有的融合技术，使两大平台共存于一个设备中，相互弥补对方的不足，又避免了重复的报文处理流程，从而提供高效、安全的网络解决方案。

    i-Ware平台根据客户的需要开放了业务Web service编程接口，这样对于客户或者第三方开发者来说，可以根据i-Ware提供的Web service编程接口，做深度的二次开发，从而更为精细和灵活的控制i-Ware系统，满足不同客户的不同需求。