新應(yīng)用考驗(yàn)萬兆安全網(wǎng)關(guān)

那罡

Web 2.0、云計(jì)算、云安全、P2P、三網(wǎng)合一,種種新的網(wǎng)絡(luò)應(yīng)用層出不窮,應(yīng)用的增多導(dǎo)致更高的網(wǎng)絡(luò)帶寬需求。CNNIC發(fā)布的《第23次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示,截至2008年底,中國國際出口帶寬由2001年的3Gbps飛速增長到接近650Gbps,平均不到11個(gè)月就翻一番。在網(wǎng)絡(luò)帶寬快速發(fā)展的同時(shí),人們對網(wǎng)絡(luò)安全也提出了更高的要求。

萬兆安全網(wǎng)關(guān)寥寥無幾

華為賽門鐵克科技有限公司網(wǎng)絡(luò)安全產(chǎn)品管理部部長陳偉才說,目前在數(shù)據(jù)通信領(lǐng)域,“千兆到桌面、萬兆做骨干”已經(jīng)呈普及趨勢,很多交換機(jī)和路由器都擁有多萬兆大容量端口,而在網(wǎng)絡(luò)安全領(lǐng)域,我們看到的真正意義上的萬兆安全網(wǎng)關(guān)設(shè)備還是寥寥無幾。

安全設(shè)備不像路由設(shè)備,它不僅僅負(fù)責(zé)數(shù)據(jù)包的轉(zhuǎn)發(fā),還要對數(shù)據(jù)流狀態(tài)、安全性、完整性等進(jìn)行一系列的檢查,對數(shù)據(jù)的處理復(fù)雜度和路由設(shè)備不在一個(gè)數(shù)量級。要保證萬兆網(wǎng)絡(luò)的安全,需要設(shè)備具有極強(qiáng)的數(shù)據(jù)處理性能,否則要么以犧牲一部分安全特性來換取性能的提升,要么則是以犧牲性能為代價(jià)來換取安全特性。

在信息安全領(lǐng)域,擁有多年從業(yè)經(jīng)驗(yàn)的陳偉才認(rèn)為,在萬兆安全領(lǐng)域,真正的核心能力是硬件的研發(fā)能力。目前網(wǎng)絡(luò)安全設(shè)備提供商眾多,實(shí)力參差不齊,部分廠家并沒有硬件的自主研發(fā)能力,只是通過合作拿到定制的硬件設(shè)備,再通過軟件的加載和優(yōu)化,來提供安全網(wǎng)絡(luò)設(shè)備。以這種方式打造出來的設(shè)備,往往靈活易用,但在萬兆高端應(yīng)用中,就會凸顯出整機(jī)性能不足,無法滿足用戶的高吞吐量和高可靠性的需求。

萬兆安全網(wǎng)關(guān)發(fā)展之路

自防火墻設(shè)備誕生以來,由于其需要對所轉(zhuǎn)發(fā)數(shù)據(jù)做更深入的處理,性能方面一直落后于其他網(wǎng)絡(luò)設(shè)備。雖然經(jīng)歷了x86、ASIC、NP以及這三者相互組合的時(shí)代,防火墻的性能由十幾兆提升到了數(shù)千兆。但隨著產(chǎn)品的更新?lián)Q代,每一代產(chǎn)品都會被用戶越來越高的性能需求和安全需求所淘汰。

陳偉才表示,信息化進(jìn)入“2.0時(shí)代”對網(wǎng)絡(luò)安全性能要求有了質(zhì)的提升。未來的網(wǎng)絡(luò)應(yīng)用將向以下幾個(gè)方面發(fā)展:

流量激增。隨著Web 2.0的普及,預(yù)計(jì)到2012年每日互聯(lián)網(wǎng)流量將達(dá)到1.47億Gbps,寬帶用戶每年增長30%,而業(yè)務(wù)流量每年增長200%。

在線并發(fā)呈海量趨勢。在流量激增的同時(shí),伴隨而來的還有海量在線并發(fā)用戶。很多熱點(diǎn)應(yīng)用(網(wǎng)絡(luò)游戲、在線購物平臺、熱門搜索引擎)都會有數(shù)百萬甚至上千萬的并發(fā)在線用戶。

突發(fā)流量次數(shù)增多?；ヂ?lián)網(wǎng)的普及拉近了人與人的距離,加快了信息的傳播速度,眾多網(wǎng)民往往會同一時(shí)間關(guān)注某一網(wǎng)絡(luò)焦點(diǎn)事件。

分析未來網(wǎng)絡(luò)發(fā)展的這些趨勢,陳偉才認(rèn)為,新挑戰(zhàn)帶來對安全網(wǎng)關(guān)設(shè)備的四點(diǎn)新需求:

第一,更高的綜合性能表現(xiàn)。吞吐量、每秒新建、最大并發(fā)等要適應(yīng)網(wǎng)絡(luò)發(fā)展,保證安全網(wǎng)關(guān)設(shè)備不能成為網(wǎng)絡(luò)瓶頸,具體要求為:吞吐量要達(dá)到萬兆小包線速,解決性能瓶頸,保障萬兆網(wǎng)絡(luò)暢通;支持?jǐn)?shù)百萬甚至千萬并發(fā)連接數(shù),應(yīng)對日益增多的網(wǎng)絡(luò)應(yīng)用;提供數(shù)十萬新建每秒連接能力,有效應(yīng)對突發(fā)事件。

第二,更靈活。功能上擺脫以往的硬件微碼編程限制,可以更快應(yīng)對新的威脅,更迅速響應(yīng)客戶需求;硬件上擺脫單一的整機(jī)配置,可按需配置,接口可擴(kuò)展和性能可提升。

第三,更大的接口容量。要求支持更豐富的接口類型,擁有更多的接口數(shù)量和更大的容量,以適應(yīng)不斷的網(wǎng)絡(luò)升級。

第四,更低的部署成本。采用可擴(kuò)展架構(gòu)和虛擬化技術(shù),延長設(shè)備的換代時(shí)間,降低擁有成本。

多核考驗(yàn)研發(fā)功底

如何應(yīng)對“2.0時(shí)代”帶來的挑戰(zhàn),如何滿足新一代安全網(wǎng)關(guān)設(shè)備的需求,成為新一代安全網(wǎng)關(guān)設(shè)備的設(shè)計(jì)者需要考慮的重要問題。在2007~2008年,國內(nèi)部分廠家陸續(xù)推出萬兆級別的安全網(wǎng)關(guān)設(shè)備,大多采用了多核處理器。

多核技術(shù)之所以成為各設(shè)備廠家的硬件核心,是和它的眾多優(yōu)勢分不開的。多核處理器擺脫了主頻對性能的限制,通過多核多線程并行計(jì)算給安全網(wǎng)關(guān)設(shè)備帶來了變革。由于其采用通用語言,擴(kuò)展功能不受限制,其靈活度也遠(yuǎn)遠(yuǎn)超過NP和ASIC。但是,設(shè)計(jì)出高效的硬件平臺,開發(fā)與之相匹配的軟件引擎,需要過硬的硬件研發(fā)能力和深厚的軟件開發(fā)功底。不僅如此,多核處理器單顆CPU的處理能力畢竟有上限,如何突破單顆CPU對整體性能的制約成為廠家的難題之一。

陳偉才介紹說,去年7月華為賽門鐵克就發(fā)布了新一代的萬兆小包線速的安全網(wǎng)關(guān)產(chǎn)品——Secoway USG9000系列統(tǒng)一安全網(wǎng)關(guān)。為了突破對CPU的依賴,Secoway USG9000系列拋棄了傳統(tǒng)的單CPU處理技術(shù),采用“NP+多核+分布式”架構(gòu)以及控制模塊、接口模塊、業(yè)務(wù)處理模塊相互獨(dú)立的技術(shù)。接口模塊基于雙NP處理器,保證接口流量線速轉(zhuǎn)發(fā);業(yè)務(wù)處理模塊基于多核多線程多CPU技術(shù),配置兩顆多核處理器,性能比單顆多核處理器設(shè)備提升一倍,確保各種安全業(yè)務(wù)高速并行處理。

為了進(jìn)一步提升性能,陳偉才和他的研發(fā)團(tuán)隊(duì)將Secoway USG9000的業(yè)務(wù)處理模塊設(shè)計(jì)為采用分布式處理技術(shù),這樣一來,整機(jī)性能可以隨著部署模塊的數(shù)量成倍提升,擺脫了傳統(tǒng)方式對CPU的依賴。