因为安全设备而使网速下降、宕机掉线的事儿,在企业网络应用中屡见不鲜。如何改善安全设备的处理性能,真有一套学问呢!
近几年,集团业务发展出奇的快,不仅经营规模扩大了数倍,人员也增长了数倍,网络应用不断扩展,新增视频会议、语言通信等应用,使网络流量迅速上升。原来的百兆网络像百岁老人的老胳臂老腿儿,明显跑不动了,网络必须升级(从百兆到千兆)。
让信息部负责人吴刚感到欣慰地是,建议一提出,便得到老总的首肯。于是,网络返老还童,有了焕然一新的高性能交换机、服务器。
然而,事与愿违,网络并没有因此而提速,上网慢、宕机掉线等现象有过之而无不及。吴刚百思不得其解。问题到底出在了哪儿?
提速绊脚石
通信技术的发展、用户应用的提高,把网络设备带入“高速”时代(即具有高性能、高传输率、高带宽的网络通信能力),也把业务带入愈演愈烈的安全威胁中。用户对安全保护的需求与日剧增,纷纷在企业网中部署有如防毒、防火墙、IDS等安全系统。
但安全技术相对于网络技术发展滞后,当已经发展了20多年的网络路由交换技术开始采用先进的NP(网络处理器)技术之时,防火墙等安全设备却还停留在以CPU集中处理为主的技术阶段,从而在网络应用过程中面临着一腿长、一腿短的运行压力。
腿短的是安全设备。现在用户面临多业务需求,以CPU集中处理为主的安全设备,其所有数据只能通过一条线路传到CPU,不能区分业务等级。这样,在网络负荷提高的情况下,哪怕遭遇稍微的网络攻击,都会让要害业务无法开展。
最重要的是,安全产品放在网络的要害环节之上,经过的流量大、处理的业务多,假如不能够保证这些业务快速地转发和基于优先级高效地调度,就无法为应用提供不间断服务。非凡是现在网络带宽已经发展到千兆,而基于CPU架构的防火墙等安全设备基本上还停留在百兆(即使支持千兆,也有相当一部分只是理论值,真正达不到线速千兆)的状况下,处理能力的悬殊差距,更是难以保证服务质量。
如上所述,核心设备运转很快,网络接入设备运转也很快,但是到了检查业务安全性的时候,运转却慢下来,在大流量背景下,势必形成瓶颈。
这种现象在很多企业都出现过,吴刚碰到的就是这个问题。当他升级网络设备时,根本没想到也要同时升级防火墙的处理能力,以致让防火墙成了网络提速的绊脚石。
NP显身手
那么,在网络带宽高速增长、千兆网络大规模应用的态势下,安全设备应该具备哪些特性呢?
首先需要具备大容量的安全规则处理能力。目前,病毒与黑客的攻击手段繁多,而且多在应用层以上,如何快速地匹配这种网络的攻击行为,成为安全产品重点解决的问题。
其次需要高性能的安全过滤能力、多业务的实时调度能力,还有大容量的日志处理能力和高性能的流分析能力。而所有这些,都要求安全设备具有很强的处理能力,NP正好顺应这一需要。
处理能力没的说
NP是专门为处理数据包而设计的可编程处理器,它内含了多个数据处理引擎,这些引擎可以并发进行数据处理工作,在处理2~4层的分组数据上比通用处理器具有明显的优势。由于NP对数据包处理的一般性任务进行了优化,使得基于NP的网络安全设备的包处理能力得到很大提升。
NP针对不同的网络应用环境而设计,覆盖了不同的网络层次和不同处理性能的要求(包括百兆、千兆和万兆),能够提供从百兆到万兆的处理性能。从成本上来看,NP技术所设计出来的产品在总成本上和基于奔腾CPU基本差不多,但增强了网络处理能力,为中低端的安全设备选用NP产品提供了先决条件。
比对ASIC
说到这儿,不能不提一下ASIC(专用集成电路技术)。它是一种通过增加ASIC芯片的可编程性,来与软件更好地配合,满足用户对灵活性和运行高性能的要求。目前国内销售的基于ASIC技术的防火墙,已可达到4个千兆网口的全线速包转发速率。而一般基于NP的防火墙在小包情况下,还不能完全做到2网口的千兆线速转发。
从实现功能方面看,ASIC技术可以比较轻易地集成IDS、VPN等功能,也有产品已经实现了内容过滤和防病毒功能。而NP受限于它的计算能力,这些功能一般只能靠协处理器来实现。纯硬件的ASIC防火墙价格较高,可扩展性差,又缺乏可编程性,因此不够灵活,跟不上防火墙功能的快速发展。
而NP防火墙,开发难度小,开发成本低,开发周期也短。如开发一款新的ASIC设备,从设计出原型到进行规模生产,总共需要1年半到2年的时间;而对于NP技术,芯片厂商一般都能提供基本的原型,防火墙厂商在此基础上,开发自己的软件功能、算法等,大概只需要花不到半年或1年的时间。正因如此,国内很多防火墙厂商选中NP开发千兆防火墙产品。
东软答疑解惑
东软有消息称,为满足要害骨干网络信息安全保障对防火墙性能和稳定性的更高要求,通过与Intel紧密合作,已于2004年11月和2005年8月分别率先推出百兆NP防火墙和采用Intel IXP2400 NP的NetEye千兆防火墙5200,从而全线产品全部实现基于NP技术。
由于采用了国外的芯片技术,金融、政府等行业用户十分担心可能引发的安全问题,对NP防火墙心存疑虑。对此,东软网络安全事业部总经理曹斌解释说,NP只在物理层进行算法的并行处理,以提高性能,核心的数据都是在底层及逻辑层拆包检测的。以东软千兆NP防火墙为例,其底层主板和逻辑层面的应用程序都是东软自主研发的,具有自主版权,用户大可不必担心涉密的安全问题。
还有中小企业用户对百兆NP防火墙知之甚少,担心它的性能用不上,或者价格高得买不起,认为还是非NP的百兆防火墙可靠。曹斌这样看待:目前网络应用越来越多,非凡是需要并行处理的业务越来越多,这对性能提出了很高的要求;另外,视频会议、语音通信等逐渐成为开展业务的一种手段,对带宽的要求也越来越大,假如具备很高的性能,等于节省了所占用的带宽。
根据对产品性能的比较,对于非NP防火墙和NP防火墙来说,假如性能相当的话,两者的价格也相当。换句话说,NP防火墙并不贵。例如东软4032 NP防火墙是对原有的同一型号的X86架构防火墙的完全替代,其功能几乎保持一直,性能则有大幅提高,而销售价格却保持不变。
NP防火墙是新生事物,到底用不用,选不选,还得结合用户自身的应用和对NP技术的熟悉。在这里,只能说,吴刚的防火墙该换了,千兆防火墙比较好,千兆NP防火墙更好。
NP架构的优越性
NP架构采用芯片内嵌的通信处理单元,代替依靠于总线的物理网卡,所有通信接口均集成到NP中,有效回避PCI总线所带来的瓶颈问题。所有网络通信均在NP芯片中完成,大大提升了对数据的处理能力,使得NP防火墙处理能力可以达到线速。
NP的完全可编程特性,使防火墙的“硬件”功能可通过软件模块(又称微码)的方式方便地进行修改和完善,这为防火墙产品的定制化开发提供了可能,开发人员也可以通过模块删减,开发出满足不同用户需求的产品。据悉,基于微码的功能开发,周期一般为6个月甚至更短。
高性能NP处理芯片内部集成多个RISC处理器,专门用于处理高速数据流,可对数据包实施线速的分析、检测和转发等处理。
NP防火墙写真
说了半天,NP防火墙到底什么样?本处我们以代表性产品NetEye千兆NP防火墙为例进行介绍。
NetEye千兆NP防火墙采用NP架构,系统的主要模块工作在操作系统的内核模式下,并对协议的处理进行了优化,具有高吞吐量、低延迟、零丢包率和强大的缓冲能力,满足高速、对性能要求苛刻的网络应用。
结合Intel IXP2400的NP技术,与东软自主研发的流过滤技术,NetEye千兆NP防火墙能够提供深度防御能力,可以对数据包进行深层检测和协议级控制,并实现了高性能、可扩展、透明的、对应用层协议的保护功能。
值得一提的是,NetEye千兆NP防火墙具备虚拟防火墙功能,治理员可将一台防火墙在逻辑上划分成多台虚拟防火墙,每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备,可拥有独立的治理员、安全策略、用户认证数据库等。
此外,NetEye千兆NP防火墙还支持千兆以太网通道功能,不仅可以起到容错作用,更是链路带宽扩容的一条重要途径。同时,它还提供多种方式的高可用特性,包括多机集群备份、负载均衡等。
与普通防火墙的路由策略(只能根据单个IP包中的源地址进行判定)不同,NetEye千兆NP防火墙提供了更加灵活的策略路由实现方案,用户可以根据更多属性设定路由策略,并且具有更丰富的网络特性,包括对策略NAT以及对动态路由协议RIP、OSPF、BGP的支持等,充分适应复杂网络环境部署的要求。
X86、NP和ASIC谁占优?
在百兆防火墙时代,国内防火墙厂商普遍采用的是通用CPU配合软件的技术方案。虽然很多厂家也把它称之为硬件防火墙,但实际上都是基于X86架构的服务器或工控机。这类防火墙一般运行在经过裁减的操作系统上(通常是Linux或BSD),所有的数据包解析和审查工作都由软件来完成。
虽然这种技术方案在百兆防火墙市场取得了很大的成功,但由于CPU处理能力和PCI总线速度的制约,在实际应用中,尤其在小包情况下,这种结构的千兆防火墙远远达不到千兆的转发速度(64字节包长时,双向转发速率一般为20%以下),难以满足千兆骨干网络的应用要求。
NP是专门为处理数据包而设计的可编程处理器,它的特点是内含了多个数据处理引擎。这些引擎可以并发进行数据处理工作,在处理2~4层的分组数据上比通用处理器具有明显的优势。
NP对数据包处理的一般性任务进行了优化,如TCP/IP数据的校验和计算、包分类、路由查找等。同时硬件体系结构的设计也大多采用高速的接口技术和总线规范,具有较高的I/O能力。这样基于NP的网络设备的包处理能力得到了很大的提升。
NP具有以下几个方面的特性:完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口、第三方支持能力。
基于NP架构的防火墙与基于通用CPU架构的防火墙相比,在性能上可以得到很大的提高。NP能弥补通用CPU架构性能的不足,同时又不需要具备开发基于ASIC技术的防火墙所需要的大量资金和技术积累,在国内信息安全厂商中备受关注,成为国内厂商实现高端千兆防火墙的热门选择。
采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线,优化存储器等资源的利用,是公认的使防火墙达到线速千兆、并满足千兆环境骨干级应用的技术方案。
目前,防火墙的体系结构已经处于一个更新换代的门槛上,未来的发展趋势基本上是NP与ASIC两条道路。从性能、功能、技术成熟度等方面考虑,ASIC方案较好,从进入门槛、研发成本和灵活性考虑,则NP占优。
从现今的情况来看,国外的高端防火墙大部分采用的是ASIC技术,国内厂商则选用NP的居多。今后高端防火墙的技术将是ASIC和NP这两种主流技术并存,它们各自都会继续向前发展,在速度、功能方面都还有很大的发展空间。而用户在选择千兆防火墙产品时,也要综合考虑厂商实力、实际应用需求、采购成本、防火墙技术与产品的成熟度等多种因素,全盘考虑为宜。