让我们在网络安全产品的10年变迁中感受多核一统天下的必然。
1998年,状态检测防火墙出现并兴起
以PowerPC为代表的SOC平台,以其低功耗、高稳定性、低成本和强大数据处理能力逐渐被国外厂商用来做为防火墙平台,最为典型的是CISCO的PIX防火墙,这些厂商的产品占据着国内的主要市场。
而此时,以工控机为代表的通用架构平台以其强大的运算能力开始大显身手。
由于编程灵活性高、开发门槛低、软件易移植等通用平台特有优势,逐渐成为国内安全厂商的主要安全产品平台。借助于X86通用平台,国内安全厂商打破了以CISCO为代表的国际厂商用嵌入式平台一统防火墙市场的局面
2001年开始,网络基础设施建设增速,千兆高端防火墙产品吞吐量瓶颈出现,安全产品 “百家争鸣”
通用架构防火墙遭遇性能瓶颈
虽然通用架构防火墙在第一轮的发展中突飞猛进,但在网络规模不断升级的背景下,其处理性能的不足限制了其在中高端市场的发展。因为X86平台的硬件架构限制和处理逻辑注定了较低的网络吞吐量。一方面,32位的PCI共享式总线大大限制了内部的交换带宽,另一方面,数据从网卡到CPU之间的传输机制是靠“中断”机制来实现的, 中断机制导致在有大量数据包的需要处理的情况下,数据转发性能完全依赖于CPU的中断处理能力,而单核架构下只有一个CPU,中断处理能力很有限。
国外安全厂商借助ASIC架构防火墙产品,力图一统高端市场
以JUNIPER为代表国外网络安全公司纷纷将ASIC架构安全产品引入国内。ASIC架构的安全产品从架构上改进了中断机制,数据从网卡收到以后,不经过主CPU处理,而是经过集成在系统中的ASIC芯片直接处理,由这些芯片来完成路由、NAT、防火墙规则匹配等网络层数据处理的功能。因此,其性能得到了大幅度的提升: 吞吐可以达到64 Bytes小包线速。
但问题是,这种防火墙在设计时,就必须将安全功能固化进ASIC芯片中,所以它的灵活性不够,如果想要增添新的功能或进行系统升级,开发周期较长,对技术的要求也很高,几乎没有国内安全厂商能够做到。
国内安全厂商看到NP在路由/交换领域的成功,扎堆投入精兵强将进行研发,试图与国外厂商在高端市场一决高下
NP架构实现的原理和ASIC类似,但升级、维护远远好于ASIC架构。NP架构内部有多核网络处理引擎,并行处理来自网口的数据, 再辅以多个硬件加速协处理器完成查表等复杂操作,其在数据转发性能方面毫不孙色于ASIC。同时,通过专门的指令集(微码)和配套的软件开发系统提供较强的编程能力,因而相对ASIC,容易开发新的应用。典型的是IBM的PowerNP和Intel的IXP系列。
然而,为了保证处理的高效率,网络处理引擎上软件实现使用微码编程,其开发的难度比较大,软件无法移植,开发周期很长。正是由于NP开发的难度较大、稳定周期长,在经过若干年的疯狂投入后,绝大部分公司都最终放弃,只有当时的联想、华为和后来的网御神州推出了经过市场考验的成熟产品。
2004年开始,安全威胁向应用层转移,UTM概念出现
ASIC、NP举步为艰
ASIC、NP架构运算能力不足,无法完成应用层数据处理的弊端凸现,传统的ASIC、NP厂商拓展混合架构思路,即将传统的PPC/X86+NP/ASIC中PPC/X86负责控制+管理、NP/ASIC负责数据转发,拓展为PPC/X86负责控制和管理+应用层数据处理、NP/ASIC负责数据转发。
这在一定程度上缓解了ASIC、NP架构运算能力不足,无法完成应用层数据处理的问题。但新的应用和安全问题不断涌现,仅靠应用层的扩展根本无法解决网络攻击、病毒/黑客入侵所带来的危害,以网络层数据过滤为中心的核心处理引擎必须更新,以适应不断变化的趋势。
但问题是,ASIC在设计时,就必须将安全功能固化进ASIC芯片中,如果要添新的功能或进行系统升级,必须进行硬件升级,而且开发周期较长,成本高;而NP架构下虽然可以进行升级,但由于微码编程复杂,开发周期长,同时功能扩展受到NP代码空间的限制,无法大规模的功能和应用扩展。
通用架构平台,在中低端市场峰回路转
虽然在与ASIC、NP架构高端市场的性能比拼中败下阵来,但在新的应用不断涌现和安全威胁向应用层转移的趋势下,通用架构凭借其编程灵活性高、软件易移植,在迅速升级扩展方面优势凸现,逐渐成为中、低端防火墙/UTM产品的主要平台。
2007年开始,网络全面升级,安全形式更加严峻
ASIC、NP渐行渐远
一方面,企业级网络逐渐从百兆演变为千兆,ASIC、NP架构运算能力不足、无法完成应用层数据处理的弊端,使得ASIC、NP正在逐渐失去传统的千兆级别市场;另一方面,核心网络正快速向万兆过渡,已经超过了ASIC、NP架构处理能力。
传统单核通用架构平台,逐渐沦落到网络边缘
随着企业级网络逐渐从百兆演变为千兆,传统单核通用架构平台的性能瓶颈又一次限制了其发展,无法满足千兆网络环境下安全产品的需求。
万兆多核产品崭露头角
2007年开始国内外多家厂商纷纷发布万兆多核产品,基本都是采用了RMI、Cavium等公司的专用多核处理芯片,在性能上可以达到万兆,满足了万兆核心网络的安全需求。
2008年,功能、性能需求全面升级,多核一统天下
万兆多核产品虽然满足了万兆核心网络的安全需求,但无法解决百兆、千兆网络环境下的安全困境。
传统单核架构产品,虽然能够满足边缘网络的基本安全需求,但单核架构下所有安全功能都串行处理,在安全功能全部开启的情况下,无法满足当前用户对低时延的需求。
网御神州全线多核产品在性能、安全性、稳定性、可扩展、易管理方面取得全面超越:
性能超越-多核架构与多核并行操作系统完美匹配
多核架构下多个核能够做到并行处理,分担数据流量,能够极大的提升系统性能,双核架构相比单核,吞吐量同比提高30%-70%,8核架构处理性能可以达到万兆线速。
多核的硬件架构,必须匹配合适的并行操作系统,才能完美彰显多核的优势。网御神州在上一代安全操作系统SecOS的基础上,经过2年时间成功推出了多核并行操作系统新一代SecOS。其在多核并行处理和统一架构方面取得了重大超越,实现了在驾驭更多处理器核、减少串行比例、降低系统开销三个核心关键因素方面的突破,并获得了国家版权局颁发的国内第一个多核并行OS著作权证书。
安全超越-安全功能全面开启确保安全无忧
网神全线多核架构产品,将整个系统任务按数据、功能等多个维度划分为若干子任务,分别由不同的核来执行这些子任务,确保多个安全功能可并行处理,使得延迟大幅降低,彻底打破了传统单核产品同时开启防火墙、VPN、IPS、AV、P2P限制等功能时处理性能会大幅降低的尴尬局面。保障用户网络安全畅通。
稳定性超越-任务处理物理独立、多核相互监控
传统的单核架构下,数据转发、深度检测、系统监控、日志记录等所有的功能都在同一个核上运行,依靠系统的时间片调度完成系统资源的分配,各个功能之间不可避免的存在影响,一旦某项任务出现异常极易造成核心功能无法处理,系统不稳定。
网神多核产品,任务处理物理独立,确保核心任务不受干扰,且多核之间可以做到相互监控,当一个核上的任务出现故障时,其他核可以及时接管其处理的任务和数据,确保用户业务处理一路坦途。
扩展超越-安全功能无限升级
ASIC架构的安全产品以高性能著称,但灵活性不够,产品化后根本无法升级。NP架构在于保证高性能的同时,通过专门的指令集提供强大的编程能力,因而便于开发应用,可扩展。但NP微码编程开发难度较大,周期较长,同时受NP代码空间限制,不能做到无限升级。
网神多核产品架构采用通用的指令级和通用的存储期间,不仅能升级特征库,也能升级处理引擎,升级更快且不受代码空间限制。可应对不断变化的未知威胁手段,可支持不断变化的新的应用。满足用户当前需求的同时还避免未来的重复投资。
管理超越-系统管理专核掌控
传统单核架构下,当设备处于高负载下时设备本身的管理就变得非常缓慢甚至无法管理。假如在遇到大流量攻击的情况下,本想安全策略需要根据攻击状况进行调整,但是此时单核处理下,无法管理查看设备中的连接状况,更无法修改策略将是非常令管理员“苦恼”的事情!
网神多核产品架构下可以分配单独的CPU核,或者在某一个核的任务分配中将系统管理线程的优先级设置为最高,确保用户不受网络状况影响随时进行设备管理,及时准确了解网络状况并做出策略的优化调整。【更多内容请关注科技频道】
