近年來,隨着P2P、WEB2.0、IPTV等網絡技術的發展,一些業務應用如網絡遊戲、視頻點播、在線娛樂、網真等新興網絡娛樂項目不斷髮展,大容量視頻文件的不斷涌現,從應用上對網絡性能提出越來越高的要求。千兆桌面、萬兆骨幹的網絡建設模式正在成爲主流。同時網絡中的******、網絡病毒、***、垃圾郵件也氾濫成災,並隨着網絡應用有新的形式和變種。在這種情況下,安全建設一直是網絡平臺建設的重中之重。
但從現實來看,安全設備的性能提升速度,一直以來都是落後於網絡容量的擴展速度,造成的問題就是安全設備本身的性能有可能成爲網絡應用中的瓶頸。在關鍵業務點上,有些用戶不得不因此而犧牲了網絡的安全性,從市場角度看,迫切需要能匹配其網絡發展速度的安全應用平臺。
而觀察當前網絡安全產品市場,主流產品仍是防火牆,其安全應用平臺主要有X86、NP、ASIC\FPGA,也代表安全技術的不同發展階段。
X86平臺使用通用CPU來處理數據,通過網卡芯片和PCI總線傳輸數據。基於通用CPU平臺和linux系統,這裏的防火牆功能主要由軟件實現,部分加密解密等功能通PCI插卡硬件輔助。由於此平臺硬件ODM廠家重多,並且有很多開源代碼,開發成本低,所以國內的大部分廠商都是把此平臺做爲防火牆開發平臺,是目前國內廠家實際的主流平臺。
X86平臺的數據從網卡到CPU之間的傳輸機制依靠“中斷”來實現,中斷機制導致X86平臺的防火牆吞吐速率不高,雖然防火牆處理部分可以做最大的優化,但無法做到小包千兆線速。同時作爲通用的計算平臺,X86主要是用於應用計算,在數據處理上並不佔優勢。另外,很多X86架構的防火牆是基於定製的通用操作系統,其系統本身容易成爲***目標。從大量的防火牆產品實際使用看,X86架構只適用於百兆線路的要求,千兆之上,X86體系有着不可逾越的瓶頸。
ASIC防火牆對防火牆業務通過芯片邏輯進行硬件加速處理,不經過主CPU處理,由硬件邏輯來完成傳統防火牆的功能,如:路由、NAT、防火牆規則匹配等。這樣數據不經過主CPU處理,不使用中斷機制,從根本上提高了防火牆的處理速率。
但總體講ASIC防火牆雖然其性能具有先天的優勢,但靈活性和擴展性不夠,無法支持太多的功能,特別對於當前的網絡安全環境,應用安全、深度安全已經成爲最需要解決的問題,而ASIC防火牆只是非常適用於簡單安全防護。
NP是專門爲網絡設備處理網絡流量而設計的處理器,其體系結構和指令集對於數據處理都做了專門的優化,同時輔助一些協處理器完成搜索、查表等功能,它可以對網絡流量進行快速的併發處理。硬件結構設計採用高速的接口技術和總線規範,具有較高的I/O能力。構建一種硬件加速的完全可編程的架構,這種架構的軟硬件都易於升級,軟件可以支持新的標準和協議,硬件設計支持更高網絡速度,從而使產品的生命週期更長。由於防火牆處理的就是網絡數據包,所以基於NP架構的防火牆與X 86架構的防火牆相比,性能得到了很大的提高。
NP最大的優點在於它是通過專門的指令集和配套的軟件開發系統,提供強大的編程能力,因而便於開發應用,支持可擴展的服務,而且研製週期短,成本較低。但是,相比於X86架構,由於應用開發、功能擴展受到NP的配套軟件的限制,基於NP技術的防火牆的靈活性要差一些。採用微碼編程,在性能方面NP不如ASIC。NP開發的難度和靈活性都介於ASIC和X86構架之間,應該說NP是X86架構和ASIC之間的平衡方案。
需要找到一種兼容靈活性和性能的硬件平臺,多核處理器是個答案。
摩爾定律在芯片產業發展到今天,又有了新的變化,硅晶體的頻率不可能無限提升,而對芯片處理器的性能要求卻永無止境。上帝在關上一扇門的時候,總是會打開一個窗。多核技術、並行計算成爲目前芯片產業發展的方向。處理器廠家的競爭從主頻轉向多核,多核化給摩爾定律帶來新生命力,同時也給IT計算帶來革命性的變革。
多核處理器技術,近年來突飛猛進,intel、AMD陸續推出2核、4核的通用處理器,IBM、SUN也分別推出cell和SPARC架構的多核處理器,嵌入式領域有RMI和Cavium推出的基於MIPS架構的多核處理器。從主機系統到通訊網絡,用戶對業務處理要求的永無止境,決定了向多核技術發展將是一個不可逆轉之路。多核帶來了更強的並行處理能力,更高的計算密度,但同時也對當前的軟件體系架構提出了更高的要求。就象從DOS操作系統向Window操作系統過渡一樣,從技術上,要求軟件體系必須適應這種多核處理器的架構,否則,只是把CPU換成多核,系統軟件設計不做變化,整個系統還是單核的能力。
要建立一個適合當前網絡發展的萬兆安全平臺,首先需要有一顆強勁的心,一個兼顧數據包處理、計算效率和業務靈活性的安全引擎,必須能滿足萬兆級的高速的防火牆業務處理: ***防範、狀態檢測、包過濾、NAT等,同時安全技術在向深度發展,L4-7的深度安全、內容過濾、應用***防範、***防禦、病毒檢測防禦,也需要在萬兆安全平臺設計考慮之內,同時系統架構要有擴展性,支持靈活業務處理。目前多核處理器硬件產品和技術已經成熟,從對安全的應用需求看,多核處理器也是建立萬兆平臺的最佳選擇。萬兆平臺,對於一些特殊的安全的業務處理,還可以在多核處理器的高速IO接口上掛上高速的硬件協處理器,對特殊業務如內容搜索等做應用加速,還可以對固定模式計算和數據包處理,做硬件加速處理。
多核處理器要爲萬兆平臺提供動力支撐,更需要軟件體系的支持。多核處理器採用通用編程語言,降低了業務設計的複雜度,但要真正體現多核威力,需要在軟件體系上做出根本性的變化。
安全操作系統設計,必須要充分考慮多核下的任務調度、中斷處理、同步互斥,Cache和核間通訊的使用。對於多核CPU,優化操作系統任務調度和業務的同步互斥是保證效率的關鍵。對於一個多任務系統,由於不同任務會競爭共享資源,因此需要系統提供同步與互斥機制。同時多核並行處理任務,需要資源搶佔,必須做好互斥同步的設計,保證鎖的效率和處理的高效,而傳統的用於單核的解決機制並不能滿足多核,需要利用硬件提供的“讀-修改-寫”的原子操作或其他同步互斥機制來保證。操作系統任務和多核之間需要根據業務需求進行設計。
多核的中斷處理和單核有很大不同。多核架構下的各處理器有不同的中斷處理方式,如果要體現多核最佳的能力,就需要設計好對中斷的處理,保證實時和可靠的處理安全業務。
另外,多核CPU 核間都有高速內部總線,核間通訊走內部總線,也就能保證pipeline業務的處理能力。
對於多核處理器設計的還有一個最重要的問題是安全業務處理的模型。安全業務處理模型的適用性決定多核處理器是否提供最佳的處理效率。安排多核的任務分工,以及核內核間任務的分工,決定了整個系統的效率和擴展性。搭建新的萬兆平臺,需要有前瞻性,同時要對業務處理效率負責。
H3C融合了多年網絡平臺的軟硬件技術和豐富經驗積累,今年推出了安全的萬兆平臺,採用性能卓越的多核處理器爲動力核心,結合硬件協處理引擎。可以提供萬兆以太網接口和最多20個GE以太網口。基於萬兆平臺的多核架構,H3C集中數百人力,進行了兩年多的艱苦開發,在軟件系統架構上重新進行了設計和搭建,完成了支撐未來發展的多核安全操作系統平臺,該系統可以實現多核多線程處理,兼顧了安全業務的多樣性、可擴展性,同時極大提升了系統性能。
今年以來,已經在電信、金融、教育等行業得到規模應用,並在最新的電信運營商選型測試中,表現超高的性能,多項指標排名第一。該產品平臺的推出,標誌着安全和網絡同步走時代的開始。