论文部分内容阅读
在网络安全产品的硬件平台发展过程中,我们经历了x86、ASIC、NP等多个阶段,但是,这些平台应对多层的网络安全威胁时,都或多或少存在一些问题。此时,“多核”这一具有跨时代意义的硬件平台的诞生,进一步实现了多种优势的集合,为用户有效应对多层威胁提供了更好的硬件平台的解决方案。
防火墙硬件基础架构发展至今,大致可以分为通用CPU(x86)架构、FPGA/ASIC架构、NP架构、多核处理器架构等几种架构。通过以上架构的组合,还可以形成更高性能的架构。采用分布式处理的架构还可以利用以上架构的灵活组合,发挥各种架构的优越性,增强防火墙的性能,扩展新功能。但是,无论是多种架构的组合,还是由集中式向分布式发展,都是由“单”向“多”的方向进化,而嵌入式多核也正是这一发展趋势的体现。
防火墙的平台演进
第一代防火墙的硬件平台采用的是通用CPU,通过通用CPU加上网络接口来实现,所有的业务和管理处理都在CPU上完成,灵活性强但网络转发性能不高。
第二代防火墙的硬件平台通用ASIC/FPGA来实现。将大量例行的转发等业务丢给ASIC来处理,这样简单转发的性能很强,但是灵活扩展性不够,在此基础上新增防火墙、UTM业务需要定制开发,开发的周期很长,且无法满足快速变化的应用层安全需求,产品的灵活性受到了极大的限制。
第三代防火墙的硬件平台是采用NP来实现,即例行的业务处理通过NP 的编程来实现。借助于NP的快速的首包处理能力,为设备提供强大的网络处理性能,但芯片资源有限,导致功能扩展受限。
第四代防火墙的硬件平台采用CPU加NP来实现。业务流量处理通过NP 芯片来实现;管理和对灵活性要求较高的复杂业务放在CPU上实现,两者优势充分结合,来应对日益增长的网络安全威胁。但这种结构毕竟是一种折衷的解决方案,在应对越来越多的复杂应用层业务处理时,NP无法处理应用层业务,必须完全依赖CPU,其硬件架构的性能不足还是暴露出来。
第五代防火墙的硬件平台采用嵌入式多核CPU来实现,每一个核都是一个通用CPU,相对于多CPU方案提供了更高的集成度、更高效的核间通信和管理机制。少量的核完成管理功能,大多数核完成例行的业务处理功能。有些CPU通过协处理器来实现加解密,而且由于可以采用C编程,功能扩展不受控制,平台可以实现VPN加解密、防火墙、UTM等业务而不影响相应性能。
多核优势明显
多核CPU的架构,从根本上来讲其处理核心仍然是CPU,只是将多个核心或者是线程集成到一起,结合相关的并行处理技术,在芯片的逻辑设计上,采用转发流程、缓存共享优化,以及集成专用协处理器的方式,来实现高性能与高灵活性于一体的集成。这样的集成使得多核处理器具备多项技术优势,成为下一代网络安全产品理想的硬件平台。
目前,华为赛门铁克开发了全系列基于嵌入式多核的安全产品,包括从百兆到万兆的处理能力,应用范围广泛,覆盖了从小型企业到骨干网络全部的应用场景,可以为用户提供E1、Wi-Fi、百兆以太网、千兆以太网、万兆以太网、2.5GPOS、10GPOS等各种网络接口,为各种组网应用提供丰富的接入手段。
多核是新一代的硬件平台,但对软件开发技术的要求非常高,如何有效实现和发挥多核技术的优势,是基于多核硬件平台进行产品开发的巨大挑战,华为赛门铁克对多核软件开发技术有着深厚的理解,主要表现在以下几个方面:
首先,多核处理器有强大的并行处理能力和I/O能力,硬件辅助数据报文调度能力,但是通用的操作系统在CPU内核数量增加的情况下,效率下降很快。华为赛门铁克安全产品针对网络安全应用的特点,开发出适合于网络处理应用的多核操作系统SOS(Security Operation System)。该操作系统高效、稳定、安全,适合作为高性能网络转发、安全业务开发平台,支持高效的报文调度,并发处理。
其次,在灵活高性能的多核操作系统平台的基础上,华为的网络安全产品线开发出多个高性能的组件。组件化的结构充分发挥了多核处理器可扩展性的优势,注重处理器的并發处理和加速性能,在保持高性能的同时,实现了丰富的业务,并且业务可以灵活配置。
最后,多核软件平台同时集成了华为的通用路由平台(VRP),使安全产品具有电信级的路由处理能力,适用各种复杂网络协议处理以及复杂组网。多核处理器使软件平台做到了管理、控制和业务处理分离,具有更高的可靠性,更强大的管理能力。
防火墙硬件基础架构发展至今,大致可以分为通用CPU(x86)架构、FPGA/ASIC架构、NP架构、多核处理器架构等几种架构。通过以上架构的组合,还可以形成更高性能的架构。采用分布式处理的架构还可以利用以上架构的灵活组合,发挥各种架构的优越性,增强防火墙的性能,扩展新功能。但是,无论是多种架构的组合,还是由集中式向分布式发展,都是由“单”向“多”的方向进化,而嵌入式多核也正是这一发展趋势的体现。
防火墙的平台演进
第一代防火墙的硬件平台采用的是通用CPU,通过通用CPU加上网络接口来实现,所有的业务和管理处理都在CPU上完成,灵活性强但网络转发性能不高。
第二代防火墙的硬件平台通用ASIC/FPGA来实现。将大量例行的转发等业务丢给ASIC来处理,这样简单转发的性能很强,但是灵活扩展性不够,在此基础上新增防火墙、UTM业务需要定制开发,开发的周期很长,且无法满足快速变化的应用层安全需求,产品的灵活性受到了极大的限制。
第三代防火墙的硬件平台是采用NP来实现,即例行的业务处理通过NP 的编程来实现。借助于NP的快速的首包处理能力,为设备提供强大的网络处理性能,但芯片资源有限,导致功能扩展受限。
第四代防火墙的硬件平台采用CPU加NP来实现。业务流量处理通过NP 芯片来实现;管理和对灵活性要求较高的复杂业务放在CPU上实现,两者优势充分结合,来应对日益增长的网络安全威胁。但这种结构毕竟是一种折衷的解决方案,在应对越来越多的复杂应用层业务处理时,NP无法处理应用层业务,必须完全依赖CPU,其硬件架构的性能不足还是暴露出来。
第五代防火墙的硬件平台采用嵌入式多核CPU来实现,每一个核都是一个通用CPU,相对于多CPU方案提供了更高的集成度、更高效的核间通信和管理机制。少量的核完成管理功能,大多数核完成例行的业务处理功能。有些CPU通过协处理器来实现加解密,而且由于可以采用C编程,功能扩展不受控制,平台可以实现VPN加解密、防火墙、UTM等业务而不影响相应性能。
多核优势明显
多核CPU的架构,从根本上来讲其处理核心仍然是CPU,只是将多个核心或者是线程集成到一起,结合相关的并行处理技术,在芯片的逻辑设计上,采用转发流程、缓存共享优化,以及集成专用协处理器的方式,来实现高性能与高灵活性于一体的集成。这样的集成使得多核处理器具备多项技术优势,成为下一代网络安全产品理想的硬件平台。
目前,华为赛门铁克开发了全系列基于嵌入式多核的安全产品,包括从百兆到万兆的处理能力,应用范围广泛,覆盖了从小型企业到骨干网络全部的应用场景,可以为用户提供E1、Wi-Fi、百兆以太网、千兆以太网、万兆以太网、2.5GPOS、10GPOS等各种网络接口,为各种组网应用提供丰富的接入手段。
多核是新一代的硬件平台,但对软件开发技术的要求非常高,如何有效实现和发挥多核技术的优势,是基于多核硬件平台进行产品开发的巨大挑战,华为赛门铁克对多核软件开发技术有着深厚的理解,主要表现在以下几个方面:
首先,多核处理器有强大的并行处理能力和I/O能力,硬件辅助数据报文调度能力,但是通用的操作系统在CPU内核数量增加的情况下,效率下降很快。华为赛门铁克安全产品针对网络安全应用的特点,开发出适合于网络处理应用的多核操作系统SOS(Security Operation System)。该操作系统高效、稳定、安全,适合作为高性能网络转发、安全业务开发平台,支持高效的报文调度,并发处理。
其次,在灵活高性能的多核操作系统平台的基础上,华为的网络安全产品线开发出多个高性能的组件。组件化的结构充分发挥了多核处理器可扩展性的优势,注重处理器的并發处理和加速性能,在保持高性能的同时,实现了丰富的业务,并且业务可以灵活配置。
最后,多核软件平台同时集成了华为的通用路由平台(VRP),使安全产品具有电信级的路由处理能力,适用各种复杂网络协议处理以及复杂组网。多核处理器使软件平台做到了管理、控制和业务处理分离,具有更高的可靠性,更强大的管理能力。