那罡

Web 2.0、云計算、云安全、P2P、三網(wǎng)合一,種種新的網(wǎng)絡應用層出不窮,應用的增多導致更高的網(wǎng)絡帶寬需求。CNNIC發(fā)布的《第23次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示,截至2008年底,中國國際出口帶寬由2001年的3Gbps飛速增長到接近650Gbps,平均不到11個月就翻一番。在網(wǎng)絡帶寬快速發(fā)展的同時,人們對網(wǎng)絡安全也提出了更高的要求。

萬兆安全網(wǎng)關寥寥無幾

華為賽門鐵克科技有限公司網(wǎng)絡安全產(chǎn)品管理部部長陳偉才說,目前在數(shù)據(jù)通信領域,“千兆到桌面、萬兆做骨干”已經(jīng)呈普及趨勢,很多交換機和路由器都擁有多萬兆大容量端口,而在網(wǎng)絡安全領域,我們看到的真正意義上的萬兆安全網(wǎng)關設備還是寥寥無幾。

安全設備不像路由設備,它不僅僅負責數(shù)據(jù)包的轉(zhuǎn)發(fā),還要對數(shù)據(jù)流狀態(tài)、安全性、完整性等進行一系列的檢查,對數(shù)據(jù)的處理復雜度和路由設備不在一個數(shù)量級。要保證萬兆網(wǎng)絡的安全,需要設備具有極強的數(shù)據(jù)處理性能,否則要么以犧牲一部分安全特性來換取性能的提升,要么則是以犧牲性能為代價來換取安全特性。

在信息安全領域,擁有多年從業(yè)經(jīng)驗的陳偉才認為,在萬兆安全領域,真正的核心能力是硬件的研發(fā)能力。目前網(wǎng)絡安全設備提供商眾多,實力參差不齊,部分廠家并沒有硬件的自主研發(fā)能力,只是通過合作拿到定制的硬件設備,再通過軟件的加載和優(yōu)化,來提供安全網(wǎng)絡設備。以這種方式打造出來的設備,往往靈活易用,但在萬兆高端應用中,就會凸顯出整機性能不足,無法滿足用戶的高吞吐量和高可靠性的需求。

萬兆安全網(wǎng)關發(fā)展之路

自防火墻設備誕生以來,由于其需要對所轉(zhuǎn)發(fā)數(shù)據(jù)做更深入的處理,性能方面一直落后于其他網(wǎng)絡設備。雖然經(jīng)歷了x86、ASIC、NP以及這三者相互組合的時代,防火墻的性能由十幾兆提升到了數(shù)千兆。但隨著產(chǎn)品的更新?lián)Q代,每一代產(chǎn)品都會被用戶越來越高的性能需求和安全需求所淘汰。

陳偉才表示,信息化進入“2.0時代”對網(wǎng)絡安全性能要求有了質(zhì)的提升。未來的網(wǎng)絡應用將向以下幾個方面發(fā)展:

流量激增。隨著Web 2.0的普及,預計到2012年每日互聯(lián)網(wǎng)流量將達到1.47億Gbps,寬帶用戶每年增長30%,而業(yè)務流量每年增長200%。

在線并發(fā)呈海量趨勢。在流量激增的同時,伴隨而來的還有海量在線并發(fā)用戶。很多熱點應用(網(wǎng)絡游戲、在線購物平臺、熱門搜索引擎)都會有數(shù)百萬甚至上千萬的并發(fā)在線用戶。

突發(fā)流量次數(shù)增多?；ヂ?lián)網(wǎng)的普及拉近了人與人的距離,加快了信息的傳播速度,眾多網(wǎng)民往往會同一時間關注某一網(wǎng)絡焦點事件。

分析未來網(wǎng)絡發(fā)展的這些趨勢,陳偉才認為,新挑戰(zhàn)帶來對安全網(wǎng)關設備的四點新需求:

第一,更高的綜合性能表現(xiàn)。吞吐量、每秒新建、最大并發(fā)等要適應網(wǎng)絡發(fā)展,保證安全網(wǎng)關設備不能成為網(wǎng)絡瓶頸,具體要求為:吞吐量要達到萬兆小包線速,解決性能瓶頸,保障萬兆網(wǎng)絡暢通;支持數(shù)百萬甚至千萬并發(fā)連接數(shù),應對日益增多的網(wǎng)絡應用;提供數(shù)十萬新建每秒連接能力,有效應對突發(fā)事件。

第二,更靈活。功能上擺脫以往的硬件微碼編程限制,可以更快應對新的威脅,更迅速響應客戶需求;硬件上擺脫單一的整機配置,可按需配置,接口可擴展和性能可提升。

第三,更大的接口容量。要求支持更豐富的接口類型,擁有更多的接口數(shù)量和更大的容量,以適應不斷的網(wǎng)絡升級。

第四,更低的部署成本。采用可擴展架構(gòu)和虛擬化技術,延長設備的換代時間,降低擁有成本。

多核考驗研發(fā)功底

如何應對“2.0時代”帶來的挑戰(zhàn),如何滿足新一代安全網(wǎng)關設備的需求,成為新一代安全網(wǎng)關設備的設計者需要考慮的重要問題。在2007~2008年,國內(nèi)部分廠家陸續(xù)推出萬兆級別的安全網(wǎng)關設備,大多采用了多核處理器。

多核技術之所以成為各設備廠家的硬件核心,是和它的眾多優(yōu)勢分不開的。多核處理器擺脫了主頻對性能的限制,通過多核多線程并行計算給安全網(wǎng)關設備帶來了變革。由于其采用通用語言,擴展功能不受限制,其靈活度也遠遠超過NP和ASIC。但是,設計出高效的硬件平臺,開發(fā)與之相匹配的軟件引擎,需要過硬的硬件研發(fā)能力和深厚的軟件開發(fā)功底。不僅如此,多核處理器單顆CPU的處理能力畢竟有上限,如何突破單顆CPU對整體性能的制約成為廠家的難題之一。

陳偉才介紹說,去年7月華為賽門鐵克就發(fā)布了新一代的萬兆小包線速的安全網(wǎng)關產(chǎn)品——Secoway USG9000系列統(tǒng)一安全網(wǎng)關。為了突破對CPU的依賴,Secoway USG9000系列拋棄了傳統(tǒng)的單CPU處理技術,采用“NP+多核+分布式”架構(gòu)以及控制模塊、接口模塊、業(yè)務處理模塊相互獨立的技術。接口模塊基于雙NP處理器,保證接口流量線速轉(zhuǎn)發(fā);業(yè)務處理模塊基于多核多線程多CPU技術,配置兩顆多核處理器,性能比單顆多核處理器設備提升一倍,確保各種安全業(yè)務高速并行處理。

為了進一步提升性能,陳偉才和他的研發(fā)團隊將Secoway USG9000的業(yè)務處理模塊設計為采用分布式處理技術,這樣一來,整機性能可以隨著部署模塊的數(shù)量成倍提升,擺脫了傳統(tǒng)方式對CPU的依賴。