论文部分内容阅读
安全设备加速技术的演进
“更快、更高、更强”是奥运的口号,高速则成为人们生活的不变追求。
4月,中国铁路系统进行了第六次提速,旅行时间缩短后,乘坐火车旅行似乎成了一种享受。毫无疑问,这种大规模提速给铁路系统带来的整体运载能力的提升,极大地节省了社会的运输成本,提升了工作效率。
虚拟世界的网络也被称为信息高速公路,多年来它也在进行着持续的提速,IP网络速度从10M到100M再到1000M以至万兆,网络节点的延迟也是以10倍、100倍的速度下降。这使得网络使用者拥有了越来越多的高速享受——网络电视、高速下载、网络视频会议……
但是,IP网络从业者在规划网络提速工程中,也在面对一个和交通系统完全不同的难题:网络中,限制系统速度快速提升的关键不是网线的道路建设,而是网络设备节点性能。确保网络节点持续的提升性能,特别是提升低速节点的性能,是网络设计者最需要关注的内容。网络安全设备究竟应该如何解决节点速度的瓶颈问题?
防火墙成为瓶颈
传统网络安全产品,特别是應用最为广泛的传统硬件防火墙产品,经常会成为网络性能的瓶颈。这里不是说防火墙设备技术不好,而是由安全设备本身的工作性质决定的。路由器类设备只是单纯转发,而且转发规则和策略相对固定而单一。网络安全设备的工作则要复杂得多,它需要加载多项策略,除了对每个报文进行转发外,还有可能进行各种拆包、组包、包头分析、深入的内容检查,这使其工作量和复杂度远大于纯网络转发类产品。这种天然的差异使得即使采用相同的硬件,防火墙的性能也会远低于路由器的性能。
对于现有的网络,高性能要求的各种实时应用越来越多,例如VoIP、视频会议或者网络教学。根据IDC的一份预测报告,未来几年即时通信类应用会出现快速增长,并最终超过Email、Web等时效要求并不高的应用。
这种应用的变化对网络性能的要求,不但关注传统的带宽的增长——10M、100M、1000M,也注重带转发延迟减小、小包处理性能等参数。其中特别重要的是转发延迟——在有充足带宽的网络环境下,不同的延迟对于各种实时业务的影响是完全不同的。科学研究表明,人耳对10毫秒的声音延迟会有分辨能力。这意味着在VoIP应用中,如果IP电话通信线路上的所有设备网络延迟总和大于10毫秒,人耳会听见回声或者明显的声音延误。而很多性能较差的防火墙,其转发延迟就可能是毫秒级别的。在视频会议中,有时会出现视频图像的冻结或声音的中断或抖动。导致这个现象的原因可能是因为带宽不足,但也很有可能是整个系统的转发延迟过大。
硬件提升是关键
随着安全产品,特别是防火墙成为网络建设不可或缺的组成部分,越来越多的网络规划和设
计者会直接面对“性能-安全”矛盾,不要安全设备直接面对网上无休止的攻击和蠕虫导致了视频系统的性能下降,可是安装上防火墙后,转发延迟迅速增大,也有可能导致网络性能的下降。面对这种情况,近年来各个防火墙厂商不断在技术上解决防火墙的性能瓶颈问题,这包括各种安全算法的优化、端口的扩容、负载均衡等,但其中从根本解决安全设备性能问题的方法是直接对防火墙硬件构架进行提升,特别是安全芯片的固化、专用集成电路化。
从各种不同硬件构架上看,传统防火墙通常都是以x86或者一些通用CPU作为转发核心的工控机。这类核心处理器最大的特点是通用性强,对于安全处理和转发没有特殊优化处理。这使得传统防火墙在转发延迟和小包处理上面都显得能力不足。
安全芯片之辨
近几年,国内部分较大的安全厂商推出了NP构架的防火墙,试图提升安全设备的性能。NP是专门为网络设备处理网络流量而设计的处理器,其体系结构和指令集对于路由常用的数据转发等算法和操作都进行了专门的优化,可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理,但是NP在安全领域的应用也存在天然不足。
NP的概念是上世纪末推出的,在设计的理念上是面对主流路由器市场,当时硬件防火墙并没有形成规模应用,因此NP对于安全防火墙的各种安全算法并没有特别进行优化和设计。因此设计NP防火墙时,绝大多数NP防火墙主板上必须配有传统的x86 CPU,NP负责三层转发等路由工作,x86 CPU负责安全处理——但只能达到传统x86防火墙一样的安全处理性能。这使得尽管在路由转发时,NP防火墙都能实现线速转发,但是在实际安全应用中,不断的报文安全处理使得NP还是有些力不从心。
ASIC芯片技术与NP有所区别,ASIC英文全称为Application Specific Integrated Circuit——专用集成电路。从电子工程学上来讲,ASIC并不是新概念,从有电路的一刻起,就开始了ASIC的开发与应用。 ASIC采用硬接线的固定模式,最早的ASIC确实是完全量身订造。可编程芯片则从上世纪70年代初期开始起步,可编程逻辑装置(Programmable Logic Device,PLD)经历了PLA、PAL、GAL、PEEL、EPLD、CPLD、SPLD、FPGA等阶段,已经进入可编程ASIC阶段,将多个电路迭层(Layer)的多层的电路改成FPGA的形态(允许变动、调整电路),并保留几层为原有的传统ASIC型态(不允许再行调整电路),从而使现代ASIC设备既有硬件芯片级的高性能,又保证了充分的灵活性和可编程能力。
特别重要的是,安全ASIC芯片开发初衷就是安全专用的,它不具备其他功能。厂商自己开发的ASIC芯片更是完全按照厂商具体需求开发而成。大多数安全功能的加速算法是可以集成到芯片内部的,从而实现快速的安全转发。
ASIC防火墙也需要配置有传统CPU,但是这时CPU主要是起管理作用和执行与性能无关的业务,安全处理和转发的加速则完全由ASIC来处理,从而确保了系统无论是在路由转发还是网络攻击的环境中都能保证较高的带宽。
铁路的大提速,可能不单单是把火车运行速度提高,它是一个全方位的系统工程。同样,网络速率的提升也不单单是把端口从100M更换为1000M,它后面有一系列的工作,有网络拓扑的变化、网络管理的变化,更有设备硬件构架的本质改变,它更需要各个参与者全方位的配合,只有这样,才能真正给网络用户带来高速度、高质量、完全不同的网络新体验。
链 接:基于ASIC架构的“猎豹”防火墙
天融信公司基于自主TopASIC芯片技术研发的“猎豹”防火墙,融合了NP可编程、传统ASIC高性能特点,比NP防火墙性能更高,稳定性更强;比传统ASIC技术防火墙更加灵活,能够实现100%的千兆小包线速,它也是我国第一款基于自主安全芯片TopASIC技术的防火墙。新品“猎豹”防火墙有两大亮点,一是“猎豹”的高性能;二是“猎豹”所采用的TopASIC芯片。
“更快、更高、更强”是奥运的口号,高速则成为人们生活的不变追求。
4月,中国铁路系统进行了第六次提速,旅行时间缩短后,乘坐火车旅行似乎成了一种享受。毫无疑问,这种大规模提速给铁路系统带来的整体运载能力的提升,极大地节省了社会的运输成本,提升了工作效率。
虚拟世界的网络也被称为信息高速公路,多年来它也在进行着持续的提速,IP网络速度从10M到100M再到1000M以至万兆,网络节点的延迟也是以10倍、100倍的速度下降。这使得网络使用者拥有了越来越多的高速享受——网络电视、高速下载、网络视频会议……
但是,IP网络从业者在规划网络提速工程中,也在面对一个和交通系统完全不同的难题:网络中,限制系统速度快速提升的关键不是网线的道路建设,而是网络设备节点性能。确保网络节点持续的提升性能,特别是提升低速节点的性能,是网络设计者最需要关注的内容。网络安全设备究竟应该如何解决节点速度的瓶颈问题?
防火墙成为瓶颈
传统网络安全产品,特别是應用最为广泛的传统硬件防火墙产品,经常会成为网络性能的瓶颈。这里不是说防火墙设备技术不好,而是由安全设备本身的工作性质决定的。路由器类设备只是单纯转发,而且转发规则和策略相对固定而单一。网络安全设备的工作则要复杂得多,它需要加载多项策略,除了对每个报文进行转发外,还有可能进行各种拆包、组包、包头分析、深入的内容检查,这使其工作量和复杂度远大于纯网络转发类产品。这种天然的差异使得即使采用相同的硬件,防火墙的性能也会远低于路由器的性能。
对于现有的网络,高性能要求的各种实时应用越来越多,例如VoIP、视频会议或者网络教学。根据IDC的一份预测报告,未来几年即时通信类应用会出现快速增长,并最终超过Email、Web等时效要求并不高的应用。
这种应用的变化对网络性能的要求,不但关注传统的带宽的增长——10M、100M、1000M,也注重带转发延迟减小、小包处理性能等参数。其中特别重要的是转发延迟——在有充足带宽的网络环境下,不同的延迟对于各种实时业务的影响是完全不同的。科学研究表明,人耳对10毫秒的声音延迟会有分辨能力。这意味着在VoIP应用中,如果IP电话通信线路上的所有设备网络延迟总和大于10毫秒,人耳会听见回声或者明显的声音延误。而很多性能较差的防火墙,其转发延迟就可能是毫秒级别的。在视频会议中,有时会出现视频图像的冻结或声音的中断或抖动。导致这个现象的原因可能是因为带宽不足,但也很有可能是整个系统的转发延迟过大。
硬件提升是关键
随着安全产品,特别是防火墙成为网络建设不可或缺的组成部分,越来越多的网络规划和设
计者会直接面对“性能-安全”矛盾,不要安全设备直接面对网上无休止的攻击和蠕虫导致了视频系统的性能下降,可是安装上防火墙后,转发延迟迅速增大,也有可能导致网络性能的下降。面对这种情况,近年来各个防火墙厂商不断在技术上解决防火墙的性能瓶颈问题,这包括各种安全算法的优化、端口的扩容、负载均衡等,但其中从根本解决安全设备性能问题的方法是直接对防火墙硬件构架进行提升,特别是安全芯片的固化、专用集成电路化。
从各种不同硬件构架上看,传统防火墙通常都是以x86或者一些通用CPU作为转发核心的工控机。这类核心处理器最大的特点是通用性强,对于安全处理和转发没有特殊优化处理。这使得传统防火墙在转发延迟和小包处理上面都显得能力不足。
安全芯片之辨
近几年,国内部分较大的安全厂商推出了NP构架的防火墙,试图提升安全设备的性能。NP是专门为网络设备处理网络流量而设计的处理器,其体系结构和指令集对于路由常用的数据转发等算法和操作都进行了专门的优化,可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理,但是NP在安全领域的应用也存在天然不足。
NP的概念是上世纪末推出的,在设计的理念上是面对主流路由器市场,当时硬件防火墙并没有形成规模应用,因此NP对于安全防火墙的各种安全算法并没有特别进行优化和设计。因此设计NP防火墙时,绝大多数NP防火墙主板上必须配有传统的x86 CPU,NP负责三层转发等路由工作,x86 CPU负责安全处理——但只能达到传统x86防火墙一样的安全处理性能。这使得尽管在路由转发时,NP防火墙都能实现线速转发,但是在实际安全应用中,不断的报文安全处理使得NP还是有些力不从心。
ASIC芯片技术与NP有所区别,ASIC英文全称为Application Specific Integrated Circuit——专用集成电路。从电子工程学上来讲,ASIC并不是新概念,从有电路的一刻起,就开始了ASIC的开发与应用。 ASIC采用硬接线的固定模式,最早的ASIC确实是完全量身订造。可编程芯片则从上世纪70年代初期开始起步,可编程逻辑装置(Programmable Logic Device,PLD)经历了PLA、PAL、GAL、PEEL、EPLD、CPLD、SPLD、FPGA等阶段,已经进入可编程ASIC阶段,将多个电路迭层(Layer)的多层的电路改成FPGA的形态(允许变动、调整电路),并保留几层为原有的传统ASIC型态(不允许再行调整电路),从而使现代ASIC设备既有硬件芯片级的高性能,又保证了充分的灵活性和可编程能力。
特别重要的是,安全ASIC芯片开发初衷就是安全专用的,它不具备其他功能。厂商自己开发的ASIC芯片更是完全按照厂商具体需求开发而成。大多数安全功能的加速算法是可以集成到芯片内部的,从而实现快速的安全转发。
ASIC防火墙也需要配置有传统CPU,但是这时CPU主要是起管理作用和执行与性能无关的业务,安全处理和转发的加速则完全由ASIC来处理,从而确保了系统无论是在路由转发还是网络攻击的环境中都能保证较高的带宽。
铁路的大提速,可能不单单是把火车运行速度提高,它是一个全方位的系统工程。同样,网络速率的提升也不单单是把端口从100M更换为1000M,它后面有一系列的工作,有网络拓扑的变化、网络管理的变化,更有设备硬件构架的本质改变,它更需要各个参与者全方位的配合,只有这样,才能真正给网络用户带来高速度、高质量、完全不同的网络新体验。
链 接:基于ASIC架构的“猎豹”防火墙
天融信公司基于自主TopASIC芯片技术研发的“猎豹”防火墙,融合了NP可编程、传统ASIC高性能特点,比NP防火墙性能更高,稳定性更强;比传统ASIC技术防火墙更加灵活,能够实现100%的千兆小包线速,它也是我国第一款基于自主安全芯片TopASIC技术的防火墙。新品“猎豹”防火墙有两大亮点,一是“猎豹”的高性能;二是“猎豹”所采用的TopASIC芯片。