防火墻:多核,指引安全未來
更高的要求,更大的挑戰
隨著Web2.0、移動互聯網等IT新技術的飛速發展,網絡正在改變著人們的生活。同時,對網絡安全產品提出了更高的要求和更大的挑戰,其中最突出的有兩點:
1. 更高的IO吞吐性能。性能是個永恒的話題,隨著越來越多的視頻、語音等多媒體數據在網絡上傳輸,越來越多的P2P、IM應用的廣泛開展,如今的信息量和傳統的文本形式相比呈現指數級增長,網絡帶寬一擴再擴。新的形勢,要求安全設備具備更高的IO吞吐性能。
2. 更強的應用層數據處理能力。隨著網絡應用的日益復雜化和多樣化,層出不窮的網絡攻擊逐步由網絡層和傳輸層向應用層轉變,由固定端口協議向非固定端口協議轉變,由協議固定報頭向深度協議報文轉變。新的形勢,要求安全產品具備更強的應用層數據處理能力。
2004年,告別Pentium時代,Intel推出Core 2雙核處理器
2005年,Cavium、RMI相繼推出商用的MIPS多核處理器
2007年,Checkpoint率先發布基于x86多核的Power系列產品
2008年,Cisco、Juniper相繼發布多核系列安全產品
應對這些要求和挑戰,傳統架構的安全產品準備好了嗎?
架構之爭,多核指引未來
從本質上來說,網絡設備主要解決兩個問題:IO能力和數據包處理能力。傳統架構在這兩個方面面臨著不可調和的矛盾:
1. 大部分安全產品是采用單核x86 CPU來構建的,高度穩定、靈活的x86盡管很好的解決了數據包處理的問題。但是受限于南北橋結構和PCI總線能力,在IO能力上表現不盡如人意。同時,基于摩爾定律快速發展的傳統CPU技術面臨著以平方關系急劇增長的能耗問題,以及由此衍生的散熱問題的巨大挑戰和困擾。
2. NP和ASIC技術廣泛應用于交換機和路由器產品,通過對數據包的快速轉發而解決了網絡設備的IO問題。但是NP和ASIC架構面對應用層的數據包處理時,不夠靈活的弱點暴露無疑,完全無法適用應用趨勢的發展,因此,純粹的NP和ASIC架構的安全產品勢必會被淘汰。
面對困境,多核技術應運而生,目前的多核技術主要包含x86多核和MIPS多核兩種。
x86多核產品一出來即引起廣泛關注,也被業界一致看好,主要原因如下:
1. 最新的PCI-E總線是直接從北橋接出來的獨占式總線,相比以前通過南橋—>北橋—>FSB—>CPU的共享式PCI總線,IO效率大大提高
2. PCI-E總線單條通道的單向帶寬達到2Gbps,現在做得多的可達16通道,雙向可達到64Gbps的吞吐量,從根本上解決了IO性能問題
3. 具備30多年PC經驗的x86架構,具備高度的功能靈活性,在復雜數據處理方面具備獨天厚地的優勢,在強調應用層數據處理能力的今天尤為合適
4. x86多核通過分布式方式,有效解決了單核CPU面臨的能耗問題和散熱問題
5. 2007年,Intel發布Tolapai低功耗處理器,全面進軍嵌入式和網絡通信市場,網絡安全作為網絡通信的主要市場,受到Intel的高度關注
6. Intel技術實力強大,產品商用化程度極高,成熟可靠
7. 網絡安全的關鍵在于軟件,眾多軟件廠商已經在x86多核的開發上具備強大的實力和豐富的經驗
MIPS多核自2005年以來獲得了快速發展,代表的公司有Cavium和RMI兩家,主要特點有
1. MIPS多核基于精簡指令集,IO效率高,功耗低
2. MIPS多核也可以采用PCI-E總線,不存在南北橋結構,吞吐能力強
3. MIPS多核擴展能力強,Cavium公司已經推出16核CPU,每個核600Mhz,總的處理能力可達9.6Ghz;而RMI公司也推出了8核CPU,每個核1.2Ghz,總的處理能力也達到了9.6Ghz
4. MIPS多核在交換機、路由器上有廣泛應用,但是網絡安全產品方面缺乏足夠的經驗,產品的成熟度還有待市場的考驗。
5. MIPS多核在固定數據處理方面效率很高,面對7層復雜數據的查找和處理效率大大降低。
6. 無論是Cavium公司,還是RMI公司,整體技術實力和Intel還有相當的差距。
全新平臺,應用安全
在技術發展最前沿,把握客戶應用趨勢,率先推出了融合高性能、深度安全檢測、易擴展升級的下一代多核防火墻RG-WALL1600系列。通過實現CPU核任務調度的動態分配技術、并行設計算法、核間系統開銷最小等關鍵技術,合理地劃分了任務,大大減少了核間通信,有效地降低串行執行比例和降低交互開銷,實現了多核的有效調度,雙核的處理性能即可較單核提升40%-60%,八核架構則達到萬兆線速。
同時,多核架構還為每一個核提供了額外的協處理器,使每個單獨的核在芯片上具有額外的安全性硬件加速能力。多核平臺的集成可以明顯提高分析處理性能,使得防火墻的性能得到了極大的提升。
不僅突破性能瓶頸,銳捷網絡新一代防火墻還在功能上取得了巨大的突破,全面詮釋應用安全:
1. 通過萬兆光模塊,配合萬兆交換機和路由器等基礎網絡平臺,幫助客戶構建真正的無瓶頸全萬兆安全網絡。
2. 支持高可用的SSL VPN解決方案,繼PPTP、L2TP、IPSec VPN之外,為用戶提供的全面的VPN解決方案。
3. 全面支持硬件模塊化和軟件模塊化,不僅穩定可靠,而且靈活易擴展,很好地保護用戶投資。
4. 內置安全助手,可以主動掃描網絡活動主機,開放端口,操作系統版本和服務器版本,并添加到安全策略中去,為網絡安全管理提供關鍵信息。
5. 高可靠性的業務監控,不僅可以提供CPU、內存、用戶連接數等信息監控,而且可提供鏈路級、VPN隧道和應用業務(如HTTP等)層面的狀態檢測,能實現自動負載均衡和故障切換。
6. 可選支持Bypass,保證網絡始終可用,徹底解決用戶關心的單點故障問題。
