下一代安全設(shè)備硬件平臺(tái)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

安全威脅的復(fù)雜化，對(duì)下一代網(wǎng)絡(luò)安全設(shè)備也提出了更高的要求：從集成更多、更靈活的功能、更快的處理速度，到面向應(yīng)用更細(xì)粒度的檢測(cè)，都給安全設(shè)備的硬件平臺(tái)定出了新的標(biāo)準(zhǔn)。未來(lái)安全設(shè)備的硬件平臺(tái)會(huì)有怎樣的發(fā)展趨勢(shì)呢？我們特地編輯了兩篇相關(guān)文章，從角度進(jìn)行分析，以饗讀者。

x86架構(gòu)仍是UTM的理想選擇

○ 畢東柱

作為集成化產(chǎn)品的代表，UTM在越來(lái)越多的用戶中得到了認(rèn)可，由于加入了更多的功能應(yīng)用，其硬件架構(gòu)的選擇也需要注入更多的靈活性。

傳統(tǒng)的三駕馬車

從目前市場(chǎng)上的硬件架構(gòu)來(lái)看，防火墻和UTM產(chǎn)品大概分為三大類：
第一類是基于x86平臺(tái)的，這種平臺(tái)通常使用一顆或多顆主CPU來(lái)處理業(yè)務(wù)數(shù)據(jù)，網(wǎng)卡芯片和CPU通過(guò)PCI總線來(lái)傳輸數(shù)據(jù)。由于傳統(tǒng)的32位PCI總線頻率為33MHZ，所以，理論通訊速率為：132 MB/s即：1056 Mb/s。

從總線速度來(lái)看基于32位PCI總線的x86平臺(tái)，做為百兆防火墻的方案是沒(méi)有任何問(wèn)題的。但x86平臺(tái)的防火墻方案，數(shù)據(jù)從網(wǎng)卡到CPU之間的傳輸機(jī)制是靠"中斷"來(lái)實(shí)現(xiàn)的，中斷機(jī)制導(dǎo)致在有大量數(shù)據(jù)包的需要處理的情況下(如：64 Bytes的小包，以下簡(jiǎn)稱小包)，x86平臺(tái)的防火墻吞吐速率不高，大概在30%左右，并且CPU占用率很高。這是所有基于x86平臺(tái)的防火墻所共同存在的問(wèn)題。

第二類，基于ASIC架構(gòu)的防火墻、UTM產(chǎn)品。從上面對(duì)x86架構(gòu)防火墻的分析中，我們了解到x86平臺(tái)的防火墻其最大的缺點(diǎn)就是小包通過(guò)速率低，只有30%～40%，造成這個(gè)問(wèn)題的主要原因是因?yàn)閤86平臺(tái)的中斷機(jī)制以及x86平臺(tái)的防火墻所有數(shù)據(jù)都要經(jīng)過(guò)主CPU處理。基于ASIC架構(gòu)的防火墻從架構(gòu)上改進(jìn)了中斷機(jī)制，數(shù)據(jù)從網(wǎng)卡收到以后，不經(jīng)過(guò)主CPU處理，而是經(jīng)過(guò)集成在系統(tǒng)中的一些芯片直接處理，由這些芯片來(lái)完成傳統(tǒng)防火墻的功能，如：路由、NAT、防火墻規(guī)則匹配等。這樣數(shù)據(jù)不經(jīng)過(guò)主CPU處理，不使用中斷機(jī)制，理所當(dāng)然，ASIC是功能相對(duì)單一的防火墻的最佳選擇。

但隨之而來(lái)的問(wèn)題是，ASIC架構(gòu)的防火墻是芯片一級(jí)的，所有的防火墻動(dòng)作由芯片來(lái)處理。這些芯片的功能比較單一，要升級(jí)維護(hù)的開(kāi)發(fā)周期比較長(zhǎng)。尤其是作為多功能集成的UTM網(wǎng)關(guān)來(lái)說(shuō)，無(wú)法在芯片一級(jí)完成殺毒、垃圾郵件過(guò)濾、網(wǎng)絡(luò)監(jiān)控等比較復(fù)雜的功能，所以說(shuō)，ASIC架構(gòu)用來(lái)做功能簡(jiǎn)單的防火墻，是完全適用的，64 Bytes的小包都可以達(dá)到線速。但ASIC架構(gòu)做為UTM就不是理想的選擇，因?yàn)锳SIC架構(gòu)不可能把像網(wǎng)關(guān)殺毒、垃圾郵件過(guò)濾、網(wǎng)絡(luò)監(jiān)控等這些功能做到芯片一級(jí)去。

第三類，基于NP架構(gòu)的防火墻。NP架構(gòu)實(shí)現(xiàn)的原理和ASIC類似，但升級(jí)、維護(hù)遠(yuǎn)遠(yuǎn)好于ASIC 架構(gòu)。NP架構(gòu)在每個(gè)網(wǎng)口上都有一個(gè)網(wǎng)絡(luò)處理器，即：NPE，用來(lái)處理來(lái)自網(wǎng)口的數(shù)據(jù)。每個(gè)網(wǎng)絡(luò)處理器上所運(yùn)行的程序使用微碼編程，其軟件實(shí)現(xiàn)的難度比較大，開(kāi)發(fā)周期比ASIC短，但比x86長(zhǎng)。作為UTM，由于NP架構(gòu)每個(gè)網(wǎng)口上的網(wǎng)絡(luò)處理器性能不高，所以同樣無(wú)法完成像網(wǎng)關(guān)殺毒、垃圾郵件、過(guò)濾、訪問(wèn)監(jiān)控等復(fù)雜功能。

可能有人會(huì)問(wèn)？ASIC 和 NP為什么不可以把網(wǎng)關(guān)殺毒、垃圾郵件過(guò)濾、訪問(wèn)監(jiān)控等這些功能放在主CPU上來(lái)實(shí)現(xiàn)？這樣不就可以做為UTM方案使用了嗎？實(shí)際上，目前有很多基于NP和ASIC的UTM正是這樣做的，但問(wèn)題是ASIC和NP架構(gòu)的防火墻，其主CPU性能通常很低，如：Intel基于IXP2400的千兆高端NP方案，主CPU只有1.0G，處理能力還比不上Celeron 1.0G，大家可以對(duì)照一下與其主頻相當(dāng)?shù)膞86平臺(tái)的處理能力。所以如果以ASIC和NP架構(gòu)來(lái)實(shí)現(xiàn)UTM網(wǎng)關(guān)，只能是做為低端的方案來(lái)使用，如桌面型的UTM，而并不能做為中、高端的UTM來(lái)使用。

誰(shuí)是合適的"芯"

言歸正傳，那什么才是UTM網(wǎng)關(guān)合適的硬件方案呢？如果要在上述三種方案中選擇一種的話，現(xiàn)階段的技術(shù)條件下非x86架構(gòu)莫屬，當(dāng)然，隨著技術(shù)的進(jìn)步，還有可能出現(xiàn)第四種解決方案，可以做為實(shí)現(xiàn)UTM網(wǎng)關(guān)的完美平臺(tái)，但這還有待技術(shù)的進(jìn)一步發(fā)展。x86平臺(tái)的主要缺陷在于64Bytes的小包不能達(dá)到線速。但在實(shí)際用戶中，除非是DoS、DDoS攻擊才會(huì)產(chǎn)生大量的小包，用戶正常的應(yīng)用不可能產(chǎn)生大量的小包。如果在基于x86平臺(tái)的UTM產(chǎn)品中，解決好DoS和DDoS攻擊的問(wèn)題，那么，x86平臺(tái)就是UTM網(wǎng)關(guān)理所當(dāng)然的解決方案。對(duì)于這個(gè)問(wèn)題，已經(jīng)有產(chǎn)品開(kāi)發(fā)了防DoS、DDoS攻擊的功能，不但可以防御來(lái)自外網(wǎng)的DoS攻擊，而且能夠防御來(lái)自企業(yè)內(nèi)部網(wǎng)絡(luò)的DoS、DDoS攻擊，這樣我們的UTM產(chǎn)品就解決了這個(gè)問(wèn)題，使網(wǎng)關(guān)的穩(wěn)定性和可靠性大大加強(qiáng)，在UTM整體性能方面優(yōu)越于NP、ASIC。在遇到大規(guī)模的DoS、DDoS攻擊時(shí)，也不會(huì)占用太多的CPU資源。

既然選擇了x86做為UTM網(wǎng)關(guān)的硬件平臺(tái)，那么，還會(huì)存在一個(gè)問(wèn)題："如果UTM網(wǎng)關(guān)處理的業(yè)務(wù)比較多，是否會(huì)影響網(wǎng)絡(luò)速度？"，比較簡(jiǎn)單的答復(fù)是這樣的：在CPU占用低于90%的時(shí)候，是不會(huì)影響網(wǎng)絡(luò)速度的。因?yàn)閁TM網(wǎng)關(guān)雖然集成了眾多的功能，并且要求主CPU來(lái)處理這所有的業(yè)務(wù)。但從業(yè)務(wù)的方面來(lái)看，是獨(dú)立的，如：收發(fā)郵件的數(shù)據(jù)就不會(huì)被做為通過(guò)HTTP上網(wǎng)的數(shù)據(jù)來(lái)處理，通過(guò)HTTP上網(wǎng)的數(shù)據(jù)也不會(huì)被做為郵件的數(shù)據(jù)來(lái)處理，所以當(dāng)一個(gè)數(shù)據(jù)包通過(guò)UTM時(shí)，是分業(yè)務(wù)分流程處理的，在CPU占用90%以下時(shí)，CPU完全可以實(shí)時(shí)的處理這些業(yè)務(wù)。但如果CPU占用超過(guò)了90%，那怎么辦？x86的平臺(tái)是不是不能解決了？答案是否定的，對(duì)于這個(gè)問(wèn)題，x86的平臺(tái)的方案有兩種解決方法：

方法一：支持多顆CPU。部分高端設(shè)備都配備了2顆以上CPU，更高端的設(shè)備甚至配備4顆CPU，這樣CPU的處理能力也就不會(huì)成為瓶頸。

方法二：使用加速卡。比如把郵件過(guò)濾做成一個(gè)加速卡安裝在系統(tǒng)中，在主CPU發(fā)現(xiàn)某個(gè)數(shù)據(jù)包為郵件數(shù)據(jù)時(shí)，把該數(shù)據(jù)包交給加速卡來(lái)完成，不占用主CPU資源。

綜上所述可以得出一個(gè)結(jié)論，x86架構(gòu)是UTM網(wǎng)關(guān)理想的硬件平臺(tái)，目前來(lái)看，沒(méi)有其他平臺(tái)可以代替。

全面對(duì)比FPGA和ASIC架構(gòu)

由于性能上的優(yōu)勢(shì)，F(xiàn)PGA和ASIC一直是安全設(shè)備廠商青睞的硬件架構(gòu)，那么它們之間的區(qū)別和應(yīng)用特點(diǎn)是什么呢？

FPGA和ASIC的比較

ASIC是專用集成電路的簡(jiǎn)稱，一般情況下用于性能很高，用量很大的場(chǎng)合。FPGA（Field Programmable Gate Array，現(xiàn)場(chǎng)可編程門陣列）作為現(xiàn)場(chǎng)可編程器件，在最近幾年發(fā)展非常迅速，其可升級(jí)的特性為最大特點(diǎn)。

FPGA因?yàn)榫哂懈叨鹊撵`活性，占據(jù)了很多ASIC的領(lǐng)域。

資源利用率和功耗。從FPGA資源利用的角度看，F(xiàn)PGA作為通用器件，在架構(gòu)設(shè)計(jì)中是從統(tǒng)計(jì)的角度出發(fā)進(jìn)行內(nèi)部資源的比例分配（比如查找表的輸入數(shù)量、存儲(chǔ)器和邏輯的比例等等）。但是，針對(duì)一個(gè)安全產(chǎn)品的個(gè)案來(lái)講，統(tǒng)計(jì)的資源利用情況不一定適合自己的應(yīng)用。比如存儲(chǔ)器資源，特定的體系架構(gòu)中，作為數(shù)據(jù)緩沖的內(nèi)部存儲(chǔ)器往往需要很大，但是控制邏輯卻不是那么多，這時(shí)存儲(chǔ)器的資源和邏輯資源的分配出現(xiàn)了失調(diào)，不能找到一個(gè)合適的FPGA以低成本的方式直接實(shí)現(xiàn)。變通的方法只能是修改體系架構(gòu)，使用外部的存儲(chǔ)器，這樣就不可避免地增加了成本，降低了可靠性。

在ASIC的設(shè)計(jì)中，完全不用考慮資源比例的限制，可以根據(jù)實(shí)際的需要優(yōu)化體系架構(gòu)。

同樣地，因?yàn)镕PGA的資源利用率比較低，有同樣功能的FPGA芯片的功耗會(huì)遠(yuǎn)遠(yuǎn)大于ASIC芯片，這樣就增加了系統(tǒng)的散熱負(fù)荷，不可避免地增加了成本，降低了可靠性。

設(shè)計(jì)難度。對(duì)于FPGA的設(shè)計(jì)難度的估計(jì)往往過(guò)于樂(lè)觀。對(duì)于前端設(shè)計(jì)，F(xiàn)PGA和ASIC相差不多。對(duì)于后端設(shè)計(jì)，ASIC往往被認(rèn)為有著非常長(zhǎng)的時(shí)間和復(fù)雜度，也容易出問(wèn)題。而對(duì)于FPGA來(lái)說(shuō)，后端的實(shí)現(xiàn)不是很困難的事情。

但是，事實(shí)上，后端的復(fù)雜度是由設(shè)計(jì)的復(fù)雜度和成本約束共同決定的。也就是說(shuō)，如果同樣的設(shè)計(jì)在ASIC的后端實(shí)現(xiàn)中很困難，那么在FPGA中情況只能更加惡化。因?yàn)樵贔PGA中，同樣功能的邏輯電路經(jīng)過(guò)映射后的邏輯級(jí)數(shù)會(huì)比ASIC映射后的邏輯級(jí)數(shù)增加很多，導(dǎo)致時(shí)序收斂更加困難。在大部分的FPGA設(shè)計(jì)中，是用芯片面積來(lái)?yè)Q取性能的，其實(shí)質(zhì)是犧牲了效率，當(dāng)然帶來(lái)的結(jié)果就是成本的提高。

靈活性。關(guān)于ASIC的批評(píng)聲音中，很重要的一點(diǎn)就是ASIC不能改變，不具備和FPGA同樣的靈活性。這個(gè)說(shuō)法在很大程度上是沒(méi)有問(wèn)題的，但是隨著技術(shù)的發(fā)展，ASIC也在從架構(gòu)角度增加靈活性，以提高ASIC芯片對(duì)未來(lái)業(yè)務(wù)的適應(yīng)能力。經(jīng)常用到的技術(shù)包括：ASIC內(nèi)部?jī)?nèi)嵌可編程單元（NP技術(shù)類似）、結(jié)構(gòu)化ASIC、增加對(duì)未知應(yīng)用的預(yù)留接口等。

FPGA的低成本方案。在FPGA的單件成本高的問(wèn)題上，F(xiàn)PGA廠商提出了各自的方案。以領(lǐng)先的兩家公司Xilinx和Altera為例，他們分別提出了EasyPath和HardCopy的成本降低方案。

EasyPath是通過(guò)優(yōu)化測(cè)試技術(shù)從而只測(cè)試用戶用到的芯片部分來(lái)節(jié)約成本。如果一個(gè)設(shè)計(jì)的芯片資源利用率已經(jīng)很大的話，EasyPath因?yàn)闆](méi)有很大的操作空間，應(yīng)該不會(huì)有很明顯的成本降低。

HardCopy實(shí)際上是一種結(jié)構(gòu)化ASIC的方案，已經(jīng)不能把它作為FPGA來(lái)對(duì)待。其原理是通過(guò)重新映射把原來(lái)的FPGA邏輯用結(jié)構(gòu)化的ASIC方式實(shí)現(xiàn)。這種方案能夠比FPGA明顯地降低芯片的尺寸，還可以選擇更合理的封裝，從而降低成本。但是帶來(lái)的后果是時(shí)序有變化和重新設(shè)計(jì)PCB板。這種方案也有NRE（None Recurring Engineering，一次性投入費(fèi)用）的問(wèn)題。

UTM中的技術(shù)路線

關(guān)于UTM技術(shù)路線的討論越來(lái)越熱烈，下面重點(diǎn)講一下FGPA和ASIC在這類產(chǎn)品中的作用。

作為一種集成的安全網(wǎng)關(guān)產(chǎn)品，UTM目前最受輿論攻擊的弱點(diǎn)就是打開(kāi)所有的內(nèi)容安全選項(xiàng)后，設(shè)備的性能急劇下降。UTM作為各種安全技術(shù)的統(tǒng)一整合體，需要根據(jù)各種應(yīng)用的實(shí)際情況來(lái)選擇合適的架構(gòu)。通常來(lái)講，作為防垃圾郵件和防病毒，x86的高性能計(jì)算能力受到的關(guān)注較多。而配合x(chóng)86的平臺(tái)，F(xiàn)PGA大多設(shè)計(jì)為協(xié)處理器，以便利用其可靈活編程的能力來(lái)用同樣的硬件支持不同應(yīng)用的要求。

作為VPN功能部分，利用成熟的ASIC來(lái)實(shí)現(xiàn)IPSec或者SSL VPN可以獲得非常高的性能價(jià)格比。

然而，作為UTM的核心控制單元部分，只有ASIC才能夠勝任UTM的高性能要求。核心單元需要處理10G左右的會(huì)話管理、防DDoS攻擊、TCP組流、二層交換、三層路由和交換網(wǎng)處理。這樣的性能和功能只有用ASIC才能實(shí)現(xiàn)。 (cnw)