多核,这个几年前还在PC领域被质疑的概念已经被每一个人所认可,买PC一定要多核的。随后多核技术延伸到服务器领域,以明显的提高运算分析处理能力霸占了每一个数据中心。
如今,多核架构更是被信息安全厂商所追捧。其本质原因是网络及应用的逐渐深化,信息安全设备处理能力的瓶颈逐渐突出,一些用户甚至不得不牺牲网络的安全性以满足业务连续性的需求,这一矛盾也成为摆在安全厂商面前的新挑战。
九月底,随着神七升空,网御神州率先推出了拥有独立知识产权的“全线多核”处理器芯片(Multi-Core Processor)架构防火墙及UTM系列产品。这也从一个侧面表现出信息安全领域对多核架构解决安全挑战的一种期盼。
信息安全向“多核”偏转
自从IP网络转型成为以应用为中心的业务平台后,所面对的网络安全威胁也被放大,如今垃圾邮件、蠕虫、病毒、木马大量在网络上传播,SYN Flood、UDP Flood、网络钓鱼、僵尸网络等攻击或窃取用户机密的手段层出不穷。与此同时,网上银行、电子政府、电子商务日益普及,网络与人们的工作、生活结合越来越紧密。如果缺乏足够的安全机制和架构,用户的网络只能越来越脆弱。
目前,网御神州旗舰“泰山”系列的五款多核架构新产品,分别面向小型网络、中型网络、大中型网络、大型网络,以及大型数据中心的综合安全网关产品。试图通过全线的多核架构改变用户的安全环境,满足当今的用户需求。
刘保华:2002年以前,信息安全网关产品大部分以x86架构单核为主,后来逐渐从千兆发展为万兆,也经历了网络处理器(NP)和专用集成电路(ASIC)架构的解决方案时期。如今,用户对应用层的深度过滤和深度检测,让网络和安全上升到一个新的高度。看起来,信息安全网关也在遵循着某种类似摩尔定律的规则。网御神州为何推出“全线多核”产品?
任增强:实际上,是客户需求的变化拉动了技术的发展, 全线多核的推出正是因为客户需求的五大变化趋势:
趋势一:网络应用大流量趋势。越来越多的视频、语音等多媒体数据在网络上传输,信息量和传统的文本形式相比呈指数级增长,安全设备的吞吐量需要更高;
趋势二:全面的稳定性要求更高趋势。由于信息网络越来越成为整个社会的基础设备,成为每个人每天的工作、生活、学习都离不开的基础设施,所以过去由以保护核心的数据服务器等关键业务的稳定性需求,开始变为所有的网络业务都希望非常稳定,用户对网络的稳定性的要求变得更高,逐渐成为习惯性要求——网络永远畅通,永不宕机;
趋势三:用户的网络体验需要更快速的趋势。就像我们平时下载文件,以前可以忍受下载一个几MB字节的大文件,需要10分钟左右。但现在恨不得下载一个几GB的电影,要在1分钟之内完成。还包括越来越多的在线视频会议系统,要求远隔千里,但让交流的几方感觉声音和图像几乎没有时延,就像面对面一样,对网络安全设备的安全处理性能要求更高;
趋势四:统一化高集成的趋势。这主要是在中小规模的网络环境中,越来越希望将多种安全防御的手段集成在一个边界网关的安全设备上。就是我们大家常说的UTM技术,也是客户对安全防御设备的一种呼唤;
趋势五:客户对于设备的随时随地的可管理要求更高,希望做到一切尽在掌握的趋势。网络安全设备在网络的任何情况下,要能够做到可以管理和查看,随时了解掌握网络的实时状况,尤其在大负载下更能全面了解状况,做出安全策略的随时优化调整。
面对这五大趋势,现有的传统x86单核架构、ASIC架构或是NP架构都不能同时解决这些需求和问题,只有采取新的技术架构,才能满足新的需求。全线多核的推出就是这样的客观需求拉动下网御神州技术积累的成果。
刘保华:网御神州所开启的多核新时代,仅仅用了很短的3年时间。在很短的时间内完成多核操作系统的自主研发,不是一件简单的事情。同时,在一年前,网御神州就发布了全线产品,而这一次的全线多核可以看做为对上一次发布的产品覆盖。这种变化不仅是网御神州产品层面发生变化,那么在市场调整上,网御神州做了哪些相应的战略性部署?
任增强:我觉得从去年发布全线安全产品来说,其实是先把我们产品线配置齐全,并且会覆盖到所有的客户需求。现在所发布的全线多核产品,可以说已经在技术上领先于国内的信息安全厂商了。
这一步动作是我们技术积累的结果。同时我觉得,一个非常重点的方向就是从产品的突破来满足更多客户群的需要,前面所讲的五大趋势由于技术的发展,使得很多原来要么是不买国内产品的那些客户买了国内产品,要么是原来想买安全产品由于成本太高可能买不了,要么就是可能用户想买一个相对统一的管理平台的设备买不到,这些问题如今都得到了解决。
所以对安全厂商来说怎么样从产品技术上突破市场是一个大趋势,而且也深化了我们的产品在市场竞争中的位置。我觉得对安全企业来说,一个非常重要的方向就是依靠产品深化来满足更多客户群的需要,尤其是将来对中小企业市场会带来相当大的震动。像这样多核的产品是我们产品深化的第一步,很快我们还会迈出第二步。驾驭多核架构
网御神州SecOS在完成了全线产品多核化之后,已经向市场证明了多核架构可成功运用于防火墙、VPN、QOS、UTM等安全网关产品。同时,也证明了多核架构在性能上远远超越传统的x86、ASIC和NP架构。
刘保华:信息安全网关利用多核技术可以提升性能和灵活性,那么多核技术在研发过程中,其中有哪些值得称道的自主技术和关键技术特性?
任增强:考虑到多核之间交互带来的额外开销,核间同步影响整个系统的并发处理,设计糟糕的系统在多核下甚至比单核下的性能还要低得多。因此,能否有效降低串行执行比例和降低交互开销决定了能否充分发挥多核的性能,其中的关键在于:合理划分任务、减少核间通信。
全线多核架构的新一代防火墙/UTM产品,必须在全线多核并行操作系统的配合下,才能充分发挥多和的优势。衡量一个多核并行系统的设计能力的数学模型为著名的Amdahl定律。
网御神州多核并行操作系统SecOSII实现了Amdahl定律核心要素的突破。可以实现在不同CPU处理核之间的多层快速消息网络机制,实现在2核、4核和8核上的Cache同步。
刘保华:那么,多核架构与传统的单核x86架构和ASIC架构的区别是什么?
任增强:用户已经不满足防火墙只停留在包过滤的初级阶段,安全防护的重点开始向4到7层的应用与内容安全过渡,并且集成入侵防御、防病毒等复杂功能。
显然,ASIC架构已无法满足应用层扩展的复杂功能,而且NP架构升级扩展空间有限的不足注定了两种技术在万兆时代难有作为。
ASIC架构虽然速度快,但不能升级;传统的x86单核是可以灵活升级,但速度不够快;而只有多核架构,既能保证速度,又可以灵活升级。
拥有多核架构的信息安全网关与单核架构下有限的处理速度相比,多核应用可以每个核分别处理不同的数据包,双核的同比性能可以提升30%~70%。
挡不住的多核架构
因为传统的单核安全网关受限于检测性能,并不适应应用和网络威胁的持续改变,常常无法进行有效的管理。于是信息安全厂商看到了机会,陆续推出基于多核架构的产品。具有强大处理性能、编程简单且更易升级的多核架构的机会来了,成为了几乎所有信息安全厂商的一致性选择。
刘保华:今年国内的信息安全领导厂商先后推出多核安全网关,而网御神州一次性推出了全线的多核产品。从在竞争格局上来看,网御神州占领了很大优势。网御神州在这个时候推出全线多核产品的核心价值是什么?与同类产品相比,优势又在哪里?
任增强:其实防火墙等安全设备的基本组成都是由:硬件、操作系统、安全功能软件三大核心部分组成。其中,除了采用全面的硬件多核架构外,最核心的是并行操作系统的技术突破。 只有并行操作系统的驾驭,才能发挥出多核架构硬件的优势,才能将多种安全功能的软件做到性能最高,可靠性最好!网御神州从成立起就立足于自主研发自己的专门安全操作系统,过去我们用了1年的时间,打造了第一代自主研发的SecOS操作系统,已经成功得经受了市场2年多的考验。实现了在操作系统底层的核心技术积累。之后,我们坚决的朝这多核并行操作系统的方向进行研发,用了1年半多的时间,成功的研发出第二代的多核并行统一架构的SecOS II操作系统,实现了下面三个方面的重大技术突破:
1.并行设计算法:由于我们一开始的自主底层设计,我们非常清晰地掌握了数据包从接收到安全处理,直到发送出去的每一个字节处理流程,加上在过去并行的NP微码设计方面的成功经验积累,从而使我们多核下系统的并行执行比例大幅提升;
2.核间系统开销最小:我们通过精巧的设计,真正做到了多核并行处理的无锁编程和最小化Cache Miss的Cache同步技术,做到了系统开销最小;
3.实现CPU核任务调度的动态分配技术:真正实现了一套架构,支持2核、4核和8核的架构。
刘保华:多核操作系统应该是整个多核安全网关的核心,而网御神州通过SecOS就实现了全线产品的管理和操作,能否谈一下全线多核的技术亮点和难度在哪里?
任增强:随着操作系统层面的提高,使得我们有实力真正迎来安全产品的多核时代!与此同时,在功能上也推出新架构下的亮点功能,如:
1.内嵌的四大安全助手:可以主动扫描网络的活动主机,开放端口,操作系统版本和服务器版本,并添加到安全策略中去,真正做到了安全的主动防御;
2.实现更高可靠性的业务监控功能:不仅提供链路级的状态监测,而且做到VPN隧道和应用业务(如HTTP等)层面的状态监测,并实现了自动负载均衡和故障切换。
刚才也说过,防火墙等安全设备的基本组成都是由: 硬件、操作系统和安全功能软件三大核心部分组成。要做到全线多核在操作系统层面,必须实现技术突破才能做到全线多核。
那些针对采用开源的操作系统来实现安全协议栈的厂商,这些开源的操作系统本身作为安全设备来用并不完善,它的设计和实现更多的是面向通用的各种计算平台。同时,开源的操作系统协议栈在一个平台上移植完成后,没有真正掌握自主的操作系统底层处理,要将其移植到另外一个平台上的工作难度和工作量,相对于完全再重新开发一套系统,不具有跨平台的通用性。
也就是说,没有完全自主的面对多种多核平台统一设计的多核并行操作系统的支持,要让多核达到真正的使用还是需要很长的时间。网御神州在SecOS上多年技术积累,才使得我们能成为首家全线多核。
刘保华:网御神州被业界视为发展最快的信息安全公司,想必如此优秀的市场成绩离不开对市场的深入理解。此次网御神州“全线多核”信息安全产品的问世一定是充分考虑市场和客户未来对安全的需求的。多核架构的防火墙/UTM能给用户带来什么好处?
任增强:以前的UTM产品存在一个致命的问题:使用传统的单核CPU不能并行,由于没有高效的多线程处理方法,当一个支撑多功能的UTM安全产品的所有功能都打开以后,各模块相互等待、抢资源,设备的各种功能基本上都用不上了。当应用了8核、甚至是32核的处理器以后,UTM设备不再是简单的“模块积木”,而真正实现了模块的融合与协调,系统可以把多任务分到多个处理器上去执行,而且互相之间不影响性能。
多核架构可以为每一个核提供了额外的协处理器,使每个单独的核在芯片上具有额外的安全性硬件加速能力。多核平台的集成可以明显提高分析处理性能,使得安全网关在支持多功能的前提下实现性能提高。
另外,我们的SecOS是国内第一个在国家版权局的注册的多核并行系统,这个系统最大的优势就就是我们做到了让2核、4核、8核统一的架构,这对于CPU任务分配有一个保证,我们可以通过数据分解和任务分解两种方式做切换可以适应2核、4核和8核的灵活配置,而且也为我们下一步研发更多核的产品可以奠定一个基础。
记者手记:全线多核才够安全
用户的需求从百兆到万兆,只用了不到5年的时间。用户的需求仍然在扩张的同时也让万兆陷入了尴尬的困境之中。一方面由于网络环境的快速升级,另一方面由于用户对信息安全产品的深度检测有了更高需求。于是,扩展式的多核架构成为信息完全的必须和选择。当技术遇到能耗、散热、面积等诸多限制无法满足用户挑剔的需求时,信息安全市场很有可能被“多核”洗牌。
网御神州率先将多核架构运用于所有的产品线上,使产品线的性能、可用性、可靠性以及自身安全性得到极大的提升,向业界证明多核架构的优势以及在安全产品上的运用的可行性,对信息安全产业的发展将起到了很好的推动作用。
在中国的信息安全产业中,网御神州从来没有被业内人士当作黑马看待。因为他们不仅拥有成熟的企业文化,也具备强劲的研发能力和灵活的营销方法。
也许,网御神州的全线多核战略在短期内不会引发行业技术和产品的革命,但它已经证明了一个方向:全线多核才够安全。