多核主導(dǎo)防火墻平臺(tái)發(fā)展

高雪松

在網(wǎng)絡(luò)安全產(chǎn)品的硬件平臺(tái)發(fā)展過(guò)程中,我們經(jīng)歷了x86、ASIC、NP等多個(gè)階段,但是,這些平臺(tái)應(yīng)對(duì)多層的網(wǎng)絡(luò)安全威脅時(shí),都或多或少存在一些問(wèn)題。此時(shí),“多核”這一具有跨時(shí)代意義的硬件平臺(tái)的誕生,進(jìn)一步實(shí)現(xiàn)了多種優(yōu)勢(shì)的集合,為用戶有效應(yīng)對(duì)多層威脅提供了更好的硬件平臺(tái)的解決方案。

防火墻硬件基礎(chǔ)架構(gòu)發(fā)展至今,大致可以分為通用CPU(x86)架構(gòu)、FPGA/ASIC架構(gòu)、NP架構(gòu)、多核處理器架構(gòu)等幾種架構(gòu)。通過(guò)以上架構(gòu)的組合,還可以形成更高性能的架構(gòu)。采用分布式處理的架構(gòu)還可以利用以上架構(gòu)的靈活組合,發(fā)揮各種架構(gòu)的優(yōu)越性,增強(qiáng)防火墻的性能,擴(kuò)展新功能。但是,無(wú)論是多種架構(gòu)的組合,還是由集中式向分布式發(fā)展,都是由“單”向“多”的方向進(jìn)化,而嵌入式多核也正是這一發(fā)展趨勢(shì)的體現(xiàn)。

防火墻的平臺(tái)演進(jìn)

第一代防火墻的硬件平臺(tái)采用的是通用CPU,通過(guò)通用CPU加上網(wǎng)絡(luò)接口來(lái)實(shí)現(xiàn),所有的業(yè)務(wù)和管理處理都在CPU上完成,靈活性強(qiáng)但網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能不高。

第二代防火墻的硬件平臺(tái)通用ASIC/FPGA來(lái)實(shí)現(xiàn)。將大量例行的轉(zhuǎn)發(fā)等業(yè)務(wù)丟給ASIC來(lái)處理,這樣簡(jiǎn)單轉(zhuǎn)發(fā)的性能很強(qiáng),但是靈活擴(kuò)展性不夠,在此基礎(chǔ)上新增防火墻、UTM業(yè)務(wù)需要定制開(kāi)發(fā),開(kāi)發(fā)的周期很長(zhǎng),且無(wú)法滿足快速變化的應(yīng)用層安全需求,產(chǎn)品的靈活性受到了極大的限制。

第三代防火墻的硬件平臺(tái)是采用NP來(lái)實(shí)現(xiàn),即例行的業(yè)務(wù)處理通過(guò)NP 的編程來(lái)實(shí)現(xiàn)。借助于NP的快速的首包處理能力,為設(shè)備提供強(qiáng)大的網(wǎng)絡(luò)處理性能,但芯片資源有限,導(dǎo)致功能擴(kuò)展受限。

第四代防火墻的硬件平臺(tái)采用CPU加NP來(lái)實(shí)現(xiàn)。業(yè)務(wù)流量處理通過(guò)NP 芯片來(lái)實(shí)現(xiàn);管理和對(duì)靈活性要求較高的復(fù)雜業(yè)務(wù)放在CPU上實(shí)現(xiàn),兩者優(yōu)勢(shì)充分結(jié)合,來(lái)應(yīng)對(duì)日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅。但這種結(jié)構(gòu)畢竟是一種折衷的解決方案,在應(yīng)對(duì)越來(lái)越多的復(fù)雜應(yīng)用層業(yè)務(wù)處理時(shí),NP無(wú)法處理應(yīng)用層業(yè)務(wù),必須完全依賴CPU,其硬件架構(gòu)的性能不足還是暴露出來(lái)。

第五代防火墻的硬件平臺(tái)采用嵌入式多核CPU來(lái)實(shí)現(xiàn),每一個(gè)核都是一個(gè)通用CPU,相對(duì)于多CPU方案提供了更高的集成度、更高效的核間通信和管理機(jī)制。少量的核完成管理功能,大多數(shù)核完成例行的業(yè)務(wù)處理功能。有些CPU通過(guò)協(xié)處理器來(lái)實(shí)現(xiàn)加解密,而且由于可以采用C編程,功能擴(kuò)展不受控制,平臺(tái)可以實(shí)現(xiàn)VPN加解密、防火墻、UTM等業(yè)務(wù)而不影響相應(yīng)性能。

多核優(yōu)勢(shì)明顯

多核CPU的架構(gòu),從根本上來(lái)講其處理核心仍然是CPU,只是將多個(gè)核心或者是線程集成到一起,結(jié)合相關(guān)的并行處理技術(shù),在芯片的邏輯設(shè)計(jì)上,采用轉(zhuǎn)發(fā)流程、緩存共享優(yōu)化,以及集成專用協(xié)處理器的方式,來(lái)實(shí)現(xiàn)高性能與高靈活性于一體的集成。這樣的集成使得多核處理器具備多項(xiàng)技術(shù)優(yōu)勢(shì),成為下一代網(wǎng)絡(luò)安全產(chǎn)品理想的硬件平臺(tái)。

目前,華為賽門鐵克開(kāi)發(fā)了全系列基于嵌入式多核的安全產(chǎn)品,包括從百兆到萬(wàn)兆的處理能力,應(yīng)用范圍廣泛,覆蓋了從小型企業(yè)到骨干網(wǎng)絡(luò)全部的應(yīng)用場(chǎng)景,可以為用戶提供E1、Wi-Fi、百兆以太網(wǎng)、千兆以太網(wǎng)、萬(wàn)兆以太網(wǎng)、2.5GPOS、10GPOS等各種網(wǎng)絡(luò)接口,為各種組網(wǎng)應(yīng)用提供豐富的接入手段。

多核是新一代的硬件平臺(tái),但對(duì)軟件開(kāi)發(fā)技術(shù)的要求非常高,如何有效實(shí)現(xiàn)和發(fā)揮多核技術(shù)的優(yōu)勢(shì),是基于多核硬件平臺(tái)進(jìn)行產(chǎn)品開(kāi)發(fā)的巨大挑戰(zhàn),華為賽門鐵克對(duì)多核軟件開(kāi)發(fā)技術(shù)有著深厚的理解,主要表現(xiàn)在以下幾個(gè)方面:

首先,多核處理器有強(qiáng)大的并行處理能力和I/O能力,硬件輔助數(shù)據(jù)報(bào)文調(diào)度能力,但是通用的操作系統(tǒng)在CPU內(nèi)核數(shù)量增加的情況下,效率下降很快。華為賽門鐵克安全產(chǎn)品針對(duì)網(wǎng)絡(luò)安全應(yīng)用的特點(diǎn),開(kāi)發(fā)出適合于網(wǎng)絡(luò)處理應(yīng)用的多核操作系統(tǒng)SOS(Security Operation System)。該操作系統(tǒng)高效、穩(wěn)定、安全,適合作為高性能網(wǎng)絡(luò)轉(zhuǎn)發(fā)、安全業(yè)務(wù)開(kāi)發(fā)平臺(tái),支持高效的報(bào)文調(diào)度,并發(fā)處理。

其次,在靈活高性能的多核操作系統(tǒng)平臺(tái)的基礎(chǔ)上,華為的網(wǎng)絡(luò)安全產(chǎn)品線開(kāi)發(fā)出多個(gè)高性能的組件。組件化的結(jié)構(gòu)充分發(fā)揮了多核處理器可擴(kuò)展性的優(yōu)勢(shì),注重處理器的并發(fā)處理和加速性能,在保持高性能的同時(shí),實(shí)現(xiàn)了豐富的業(yè)務(wù),并且業(yè)務(wù)可以靈活配置。

最后,多核軟件平臺(tái)同時(shí)集成了華為的通用路由平臺(tái)(VRP),使安全產(chǎn)品具有電信級(jí)的路由處理能力,適用各種復(fù)雜網(wǎng)絡(luò)協(xié)議處理以及復(fù)雜組網(wǎng)。多核處理器使軟件平臺(tái)做到了管理、控制和業(yè)務(wù)處理分離,具有更高的可靠性,更強(qiáng)大的管理能力。