計(jì)世獨(dú)家:多核打破傳統(tǒng)構(gòu)架 挑戰(zhàn)防火墻設(shè)計(jì)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

【泛普軟件】以往的防火墻多采用x86、NP或ASIC芯片進(jìn)行設(shè)計(jì)，但多核技術(shù)的出現(xiàn)，將打破現(xiàn)有格局，并將防火墻的性能提升到一個(gè)新高度。 

防火墻功能和性能的矛盾一直是困擾信息安全產(chǎn)品的問題，也是最被用戶詬病之處。解決方法只有一個(gè)，那就是尋求新的硬件之道。

好在硬件技術(shù)在不斷發(fā)展，多核技術(shù)的出現(xiàn)讓廠商們看到了新曙光。目前，市面上除了傳統(tǒng)的x86、NP和ASIC架構(gòu)的防火墻外，又出現(xiàn)了一個(gè)新的防火墻設(shè)計(jì)——多核防火墻。那么，多核與以往傳統(tǒng)的x86、NP、ASIC架構(gòu)相比有何特色？人們該如何選擇不同的架構(gòu)？近日，在神州數(shù)碼網(wǎng)絡(luò)公司推出首款多核防火墻——終結(jié)者多業(yè)務(wù)網(wǎng)關(guān)2.0之際，記者采訪了神州數(shù)碼網(wǎng)絡(luò)公司技術(shù)總監(jiān)楊海濤。

x86性能最多只能達(dá)到2Gbps

長久以來，國內(nèi)許多安全廠商的防火墻產(chǎn)品都采用基于x86的架構(gòu)，而國外廠商的多數(shù)防火墻則采用ASIC架構(gòu)。幾年前，隨著技術(shù)的更新?lián)Q代，隨著網(wǎng)絡(luò)處理器（NP）技術(shù)的興起，為了趕超國際上的先進(jìn)水平，彌補(bǔ)國內(nèi)防火墻性能上的不足，很多國內(nèi)廠商開始采用“NP+ASIC”的架構(gòu)。

x86架構(gòu)是一種通用的“CPU+Linux”操作系統(tǒng)的架構(gòu)。其處理機(jī)制是，數(shù)據(jù)從網(wǎng)卡到CPU之間的傳輸是依靠“中斷”實(shí)現(xiàn)，這導(dǎo)致了不可逾越的性能瓶頸，尤其在傳送小包的情況下（如64 Bytes的小包），數(shù)據(jù)包的通過率只能達(dá)到30%～40%左右，并且它的設(shè)計(jì)是必須依靠CPU計(jì)算，因此，很占CPU資源，這也是為什么x86防火墻性能上不去的原因。

雖然Intel提出了解決方案，將32位的PCI總線升級(jí)到了PCI-E ，總線速度最高可達(dá)16GBps，但是，小包傳送問題依然沒有解決?！叭绻脩粼谶M(jìn)行小包通過率測試時(shí)，性能出現(xiàn)大幅度的下滑，這種防火墻多半是x86架構(gòu)。提醒用戶一定不能被廠商的宣傳忽悠了，基于x86的防火墻，其最高性能只能達(dá)到2Gbps！”楊海濤說。

所以，目前市場上大多數(shù)的x86防火墻不能作為千兆防火墻使用，只能作為百兆防火墻。

ASIC架構(gòu)

靈活性不夠

國外的大部分防火墻設(shè)計(jì)都采用了ASIC架構(gòu)，以Juniper和Fortinet的產(chǎn)品為首，因?yàn)樗男阅芨?，并且開發(fā)門檻高，一度成為國際國內(nèi)廠商的技術(shù)分水嶺。

基于ASIC架構(gòu)的防火墻從架構(gòu)上改進(jìn)了中斷機(jī)制，數(shù)據(jù)通過網(wǎng)卡進(jìn)入系統(tǒng)后，不需經(jīng)過主CPU處理，而是由集成在系統(tǒng)中的芯片直接處理，完成防火墻的功能，如路由、NAT、防火墻規(guī)則匹配等，因此，其性能得到了大幅度的提升: 性能可以達(dá)到萬兆，并且64 Bytes的小包都可以達(dá)到線速。

但問題是，這種防火墻在設(shè)計(jì)時(shí)，就必須將安全功能固化進(jìn)ASIC芯片中，所以它的靈活性不夠，如果想要增添新的功能或進(jìn)行系統(tǒng)升級(jí)，開發(fā)周期較長，對(duì)技術(shù)的要求也很高。此外，用ASIC開發(fā)復(fù)雜的功能，如垃圾郵件過濾、網(wǎng)絡(luò)監(jiān)控、病毒防護(hù)等，其開發(fā)比較復(fù)雜，對(duì)技術(shù)要求很高。因此，ASIC架構(gòu)非常適用于功能簡單的防火墻。

NP是平衡方案

國內(nèi)許多廠商為了彌補(bǔ)防火墻性能的不足，在不斷進(jìn)行技術(shù)研發(fā)，推出了基于“NP+ASIC”的防火墻架構(gòu)，以解決x86架構(gòu)性能不足和ASIC架構(gòu)不夠靈活的問題。

NP是專門為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計(jì)的處理器，其體系結(jié)構(gòu)和指令集對(duì)于數(shù)據(jù)處理都做了專門的優(yōu)化，同時(shí)輔助一些協(xié)處理器完成搜索、查表等功能，可以對(duì)網(wǎng)絡(luò)流量進(jìn)行快速的并發(fā)處理。硬件結(jié)構(gòu)設(shè)計(jì)采用高速的接口技術(shù)和總線規(guī)范，具有較高的I/O能力。這是一種硬件加速的完全可編程的架構(gòu)，軟硬件都易于升級(jí)，因此產(chǎn)品的生命周期更長。

NP最大的優(yōu)點(diǎn)在于它是通過專門的指令集和配套的軟件開發(fā)系統(tǒng)提供強(qiáng)大的編程能力，因而便于開發(fā)應(yīng)用，可擴(kuò)展性強(qiáng)，而且研制周期短，成本較低。但是，相比于x86架構(gòu)，由于應(yīng)用開發(fā)、功能擴(kuò)展受到NP的配套軟件的限制，基于NP技術(shù)的防火墻的靈活性要差一些。采用微碼編程，在性能方面NP不如ASIC。NP開發(fā)的難度和靈活性都介于ASIC和x86構(gòu)架之間，應(yīng)該說NP是x86架構(gòu)和ASIC之間的平衡方案。

多核可實(shí)現(xiàn)性能和綠色雙重設(shè)計(jì)

多核技術(shù)則是近年來新出現(xiàn)的處理器技術(shù)，它一出現(xiàn)，就被認(rèn)為是解決信息安全產(chǎn)品功能與性能之間矛盾的一大硬件法寶。國外許多廠商，如SonicWall等，都推出了其多核產(chǎn)品。多核是在同一個(gè)硅晶片上集成了多個(gè)獨(dú)立物理核心，每個(gè)核心都具有獨(dú)立的邏輯結(jié)構(gòu)，包括緩存、執(zhí)行單元、指令級(jí)單元和總線接口等邏輯單元，通過高速總線、內(nèi)存共享進(jìn)行通信。在實(shí)際工作中，每個(gè)核心都可以達(dá)到1Ghz的主頻。因此，多核技術(shù)無論在性能、靈活性還是在開發(fā)的成本和難度方面，都是其他架構(gòu)不能比擬的。

楊海濤介紹，目前各種芯片廠商推出的多核芯片共分三種: 一種是Intel、AMD推出的2核、4核的通用處理器，適用于桌面筆記本電腦等通用領(lǐng)域; 一種是IBM、SUN分別推出的cell和SPARC架構(gòu)的多核處理器，主要用于圖形處理和運(yùn)算; 第三種是RMI和Cavium推出的基于MIPS架構(gòu)的嵌入式多核處理器，主要應(yīng)用于數(shù)據(jù)通信領(lǐng)域，它最適合用于信息安全產(chǎn)品的開發(fā)。

除了上述特色外，多核的另一大特點(diǎn)是非常節(jié)能。楊海濤舉例，以神碼網(wǎng)絡(luò)推出終結(jié)者多業(yè)務(wù)網(wǎng)關(guān)產(chǎn)品為例，16核的DCFW-1800E-8G單電源功耗僅120W，采用雙電源也僅僅240W，而同樣x86平臺(tái)的雙電源高達(dá)1020W，每年多費(fèi)電約7000度。1U的5千兆接口的DCFW-1800S-H-V2，功耗僅為15W，相比一般x86平臺(tái)工控機(jī)200～300W的功耗，一年節(jié)約的電費(fèi)高達(dá)2500元。

鏈接

神碼推出的多核防火墻

性能功能一覽

DCFW-1800E-8G產(chǎn)品支持500萬并發(fā)會(huì)話，64Byte小包的吞吐量達(dá)到3Gbps，256Byte以上吞吐達(dá)到8Gbps，VPN吞吐達(dá)到8Gbps，支持3萬VPN通道，支持5萬個(gè)策略。每秒新建TCP會(huì)話超過20萬，每秒處理UDP會(huì)話超過50萬。在每秒創(chuàng)建5000TCP會(huì)話作為背景流量，可以檢測并防御80萬包/秒以上的SYN-FLOOD攻擊。

功能方面實(shí)現(xiàn)了四層增益: 邊界服務(wù)增益、關(guān)鍵服務(wù)增益、全局服務(wù)增益、終端控制增益。在邊界服務(wù)增益中提供了IPSec VPN+SSL VPN解決方案和抗DoS攻擊防護(hù)能力，并且支持OSPF封裝。關(guān)鍵服務(wù)增益提供了多鏈路負(fù)載均衡、鏈路捆綁、服務(wù)器負(fù)載均衡功能。全局服務(wù)增益提供了P2P控制、IM即時(shí)通信軟件控制，顆粒度達(dá)到1K的流量整形功能。終端控制增益除了IP/MAC地址綁定之外，在底層修改了ARP協(xié)議，在驅(qū)動(dòng)層實(shí)現(xiàn)了自動(dòng)阻止客戶端非法ARP發(fā)包請(qǐng)求并且實(shí)現(xiàn)雙向ARP認(rèn)證。（泛普軟件）