下一代安全設(shè)備硬件平臺

申請免費試用、咨詢電話：400-8352-114

安全威脅的復(fù)雜化，對下一代網(wǎng)絡(luò)安全設(shè)備也提出了更高的要求：從集成更多、更靈活的功能、更快的處理速度，到面向應(yīng)用更細(xì)粒度的檢測，都給安全設(shè)備的硬件平臺定出了新的標(biāo)準(zhǔn)。未來安全設(shè)備的硬件平臺會有怎樣的發(fā)展趨勢呢？我們特地編輯了兩篇相關(guān)文章，從角度進(jìn)行分析，以饗讀者。

x86架構(gòu)仍是UTM的理想選擇

○ 畢東柱

作為集成化產(chǎn)品的代表，UTM在越來越多的用戶中得到了認(rèn)可，由于加入了更多的功能應(yīng)用，其硬件架構(gòu)的選擇也需要注入更多的靈活性。

傳統(tǒng)的三駕馬車

從目前市場上的硬件架構(gòu)來看，防火墻和UTM產(chǎn)品大概分為三大類：
第一類是基于x86平臺的，這種平臺通常使用一顆或多顆主CPU來處理業(yè)務(wù)數(shù)據(jù)，網(wǎng)卡芯片和CPU通過PCI總線來傳輸數(shù)據(jù)。由于傳統(tǒng)的32位PCI總線頻率為33MHZ，所以，理論通訊速率為：132 MB/s即：1056 Mb/s。

從總線速度來看基于32位PCI總線的x86平臺，做為百兆防火墻的方案是沒有任何問題的。但x86平臺的防火墻方案，數(shù)據(jù)從網(wǎng)卡到CPU之間的傳輸機(jī)制是靠"中斷"來實現(xiàn)的，中斷機(jī)制導(dǎo)致在有大量數(shù)據(jù)包的需要處理的情況下(如：64 Bytes的小包，以下簡稱小包)，x86平臺的防火墻吞吐速率不高，大概在30%左右，并且CPU占用率很高。這是所有基于x86平臺的防火墻所共同存在的問題。

第二類，基于ASIC架構(gòu)的防火墻、UTM產(chǎn)品。從上面對x86架構(gòu)防火墻的分析中，我們了解到x86平臺的防火墻其最大的缺點就是小包通過速率低，只有30%～40%，造成這個問題的主要原因是因為x86平臺的中斷機(jī)制以及x86平臺的防火墻所有數(shù)據(jù)都要經(jīng)過主CPU處理?；贏SIC架構(gòu)的防火墻從架構(gòu)上改進(jìn)了中斷機(jī)制，數(shù)據(jù)從網(wǎng)卡收到以后，不經(jīng)過主CPU處理，而是經(jīng)過集成在系統(tǒng)中的一些芯片直接處理，由這些芯片來完成傳統(tǒng)防火墻的功能，如：路由、NAT、防火墻規(guī)則匹配等。這樣數(shù)據(jù)不經(jīng)過主CPU處理，不使用中斷機(jī)制，理所當(dāng)然，ASIC是功能相對單一的防火墻的最佳選擇。

但隨之而來的問題是，ASIC架構(gòu)的防火墻是芯片一級的，所有的防火墻動作由芯片來處理。這些芯片的功能比較單一，要升級維護(hù)的開發(fā)周期比較長。尤其是作為多功能集成的UTM網(wǎng)關(guān)來說，無法在芯片一級完成殺毒、垃圾郵件過濾、網(wǎng)絡(luò)監(jiān)控等比較復(fù)雜的功能，所以說，ASIC架構(gòu)用來做功能簡單的防火墻，是完全適用的，64 Bytes的小包都可以達(dá)到線速。但ASIC架構(gòu)做為UTM就不是理想的選擇，因為ASIC架構(gòu)不可能把像網(wǎng)關(guān)殺毒、垃圾郵件過濾、網(wǎng)絡(luò)監(jiān)控等這些功能做到芯片一級去。

第三類，基于NP架構(gòu)的防火墻。NP架構(gòu)實現(xiàn)的原理和ASIC類似，但升級、維護(hù)遠(yuǎn)遠(yuǎn)好于ASIC 架構(gòu)。NP架構(gòu)在每個網(wǎng)口上都有一個網(wǎng)絡(luò)處理器，即：NPE，用來處理來自網(wǎng)口的數(shù)據(jù)。每個網(wǎng)絡(luò)處理器上所運行的程序使用微碼編程，其軟件實現(xiàn)的難度比較大，開發(fā)周期比ASIC短，但比x86長。作為UTM，由于NP架構(gòu)每個網(wǎng)口上的網(wǎng)絡(luò)處理器性能不高，所以同樣無法完成像網(wǎng)關(guān)殺毒、垃圾郵件、過濾、訪問監(jiān)控等復(fù)雜功能。

可能有人會問？ASIC 和 NP為什么不可以把網(wǎng)關(guān)殺毒、垃圾郵件過濾、訪問監(jiān)控等這些功能放在主CPU上來實現(xiàn)？這樣不就可以做為UTM方案使用了嗎？實際上，目前有很多基于NP和ASIC的UTM正是這樣做的，但問題是ASIC和NP架構(gòu)的防火墻，其主CPU性能通常很低，如：Intel基于IXP2400的千兆高端NP方案，主CPU只有1.0G，處理能力還比不上Celeron 1.0G，大家可以對照一下與其主頻相當(dāng)?shù)膞86平臺的處理能力。所以如果以ASIC和NP架構(gòu)來實現(xiàn)UTM網(wǎng)關(guān)，只能是做為低端的方案來使用，如桌面型的UTM，而并不能做為中、高端的UTM來使用。

誰是合適的"芯"

言歸正傳，那什么才是UTM網(wǎng)關(guān)合適的硬件方案呢？如果要在上述三種方案中選擇一種的話，現(xiàn)階段的技術(shù)條件下非x86架構(gòu)莫屬，當(dāng)然，隨著技術(shù)的進(jìn)步，還有可能出現(xiàn)第四種解決方案，可以做為實現(xiàn)UTM網(wǎng)關(guān)的完美平臺，但這還有待技術(shù)的進(jìn)一步發(fā)展。x86平臺的主要缺陷在于64Bytes的小包不能達(dá)到線速。但在實際用戶中，除非是DoS、DDoS攻擊才會產(chǎn)生大量的小包，用戶正常的應(yīng)用不可能產(chǎn)生大量的小包。如果在基于x86平臺的UTM產(chǎn)品中，解決好DoS和DDoS攻擊的問題，那么，x86平臺就是UTM網(wǎng)關(guān)理所當(dāng)然的解決方案。對于這個問題，已經(jīng)有產(chǎn)品開發(fā)了防DoS、DDoS攻擊的功能，不但可以防御來自外網(wǎng)的DoS攻擊，而且能夠防御來自企業(yè)內(nèi)部網(wǎng)絡(luò)的DoS、DDoS攻擊，這樣我們的UTM產(chǎn)品就解決了這個問題，使網(wǎng)關(guān)的穩(wěn)定性和可靠性大大加強(qiáng)，在UTM整體性能方面優(yōu)越于NP、ASIC。在遇到大規(guī)模的DoS、DDoS攻擊時，也不會占用太多的CPU資源。

既然選擇了x86做為UTM網(wǎng)關(guān)的硬件平臺，那么，還會存在一個問題："如果UTM網(wǎng)關(guān)處理的業(yè)務(wù)比較多，是否會影響網(wǎng)絡(luò)速度？"，比較簡單的答復(fù)是這樣的：在CPU占用低于90%的時候，是不會影響網(wǎng)絡(luò)速度的。因為UTM網(wǎng)關(guān)雖然集成了眾多的功能，并且要求主CPU來處理這所有的業(yè)務(wù)。但從業(yè)務(wù)的方面來看，是獨立的，如：收發(fā)郵件的數(shù)據(jù)就不會被做為通過HTTP上網(wǎng)的數(shù)據(jù)來處理，通過HTTP上網(wǎng)的數(shù)據(jù)也不會被做為郵件的數(shù)據(jù)來處理，所以當(dāng)一個數(shù)據(jù)包通過UTM時，是分業(yè)務(wù)分流程處理的，在CPU占用90%以下時，CPU完全可以實時的處理這些業(yè)務(wù)。但如果CPU占用超過了90%，那怎么辦？x86的平臺是不是不能解決了？答案是否定的，對于這個問題，x86的平臺的方案有兩種解決方法：

方法一：支持多顆CPU。部分高端設(shè)備都配備了2顆以上CPU，更高端的設(shè)備甚至配備4顆CPU，這樣CPU的處理能力也就不會成為瓶頸。

方法二：使用加速卡。比如把郵件過濾做成一個加速卡安裝在系統(tǒng)中，在主CPU發(fā)現(xiàn)某個數(shù)據(jù)包為郵件數(shù)據(jù)時，把該數(shù)據(jù)包交給加速卡來完成，不占用主CPU資源。

綜上所述可以得出一個結(jié)論，x86架構(gòu)是UTM網(wǎng)關(guān)理想的硬件平臺，目前來看，沒有其他平臺可以代替。

全面對比FPGA和ASIC架構(gòu)

由于性能上的優(yōu)勢，F(xiàn)PGA和ASIC一直是安全設(shè)備廠商青睞的硬件架構(gòu)，那么它們之間的區(qū)別和應(yīng)用特點是什么呢？

FPGA和ASIC的比較

ASIC是專用集成電路的簡稱，一般情況下用于性能很高，用量很大的場合。FPGA（Field Programmable Gate Array，現(xiàn)場可編程門陣列）作為現(xiàn)場可編程器件，在最近幾年發(fā)展非常迅速，其可升級的特性為最大特點。

FPGA因為具有高度的靈活性，占據(jù)了很多ASIC的領(lǐng)域。

資源利用率和功耗。從FPGA資源利用的角度看，F(xiàn)PGA作為通用器件，在架構(gòu)設(shè)計中是從統(tǒng)計的角度出發(fā)進(jìn)行內(nèi)部資源的比例分配（比如查找表的輸入數(shù)量、存儲器和邏輯的比例等等）。但是，針對一個安全產(chǎn)品的個案來講，統(tǒng)計的資源利用情況不一定適合自己的應(yīng)用。比如存儲器資源，特定的體系架構(gòu)中，作為數(shù)據(jù)緩沖的內(nèi)部存儲器往往需要很大，但是控制邏輯卻不是那么多，這時存儲器的資源和邏輯資源的分配出現(xiàn)了失調(diào)，不能找到一個合適的FPGA以低成本的方式直接實現(xiàn)。變通的方法只能是修改體系架構(gòu)，使用外部的存儲器，這樣就不可避免地增加了成本，降低了可靠性。

在ASIC的設(shè)計中，完全不用考慮資源比例的限制，可以根據(jù)實際的需要優(yōu)化體系架構(gòu)。

同樣地，因為FPGA的資源利用率比較低，有同樣功能的FPGA芯片的功耗會遠(yuǎn)遠(yuǎn)大于ASIC芯片，這樣就增加了系統(tǒng)的散熱負(fù)荷，不可避免地增加了成本，降低了可靠性。

設(shè)計難度。對于FPGA的設(shè)計難度的估計往往過于樂觀。對于前端設(shè)計，F(xiàn)PGA和ASIC相差不多。對于后端設(shè)計，ASIC往往被認(rèn)為有著非常長的時間和復(fù)雜度，也容易出問題。而對于FPGA來說，后端的實現(xiàn)不是很困難的事情。

但是，事實上，后端的復(fù)雜度是由設(shè)計的復(fù)雜度和成本約束共同決定的。也就是說，如果同樣的設(shè)計在ASIC的后端實現(xiàn)中很困難，那么在FPGA中情況只能更加惡化。因為在FPGA中，同樣功能的邏輯電路經(jīng)過映射后的邏輯級數(shù)會比ASIC映射后的邏輯級數(shù)增加很多，導(dǎo)致時序收斂更加困難。在大部分的FPGA設(shè)計中，是用芯片面積來換取性能的，其實質(zhì)是犧牲了效率，當(dāng)然帶來的結(jié)果就是成本的提高。

靈活性。關(guān)于ASIC的批評聲音中，很重要的一點就是ASIC不能改變，不具備和FPGA同樣的靈活性。這個說法在很大程度上是沒有問題的，但是隨著技術(shù)的發(fā)展，ASIC也在從架構(gòu)角度增加靈活性，以提高ASIC芯片對未來業(yè)務(wù)的適應(yīng)能力。經(jīng)常用到的技術(shù)包括：ASIC內(nèi)部內(nèi)嵌可編程單元（NP技術(shù)類似）、結(jié)構(gòu)化ASIC、增加對未知應(yīng)用的預(yù)留接口等。

FPGA的低成本方案。在FPGA的單件成本高的問題上，F(xiàn)PGA廠商提出了各自的方案。以領(lǐng)先的兩家公司Xilinx和Altera為例，他們分別提出了EasyPath和HardCopy的成本降低方案。

EasyPath是通過優(yōu)化測試技術(shù)從而只測試用戶用到的芯片部分來節(jié)約成本。如果一個設(shè)計的芯片資源利用率已經(jīng)很大的話，EasyPath因為沒有很大的操作空間，應(yīng)該不會有很明顯的成本降低。

HardCopy實際上是一種結(jié)構(gòu)化ASIC的方案，已經(jīng)不能把它作為FPGA來對待。其原理是通過重新映射把原來的FPGA邏輯用結(jié)構(gòu)化的ASIC方式實現(xiàn)。這種方案能夠比FPGA明顯地降低芯片的尺寸，還可以選擇更合理的封裝，從而降低成本。但是帶來的后果是時序有變化和重新設(shè)計PCB板。這種方案也有NRE（None Recurring Engineering，一次性投入費用）的問題。

UTM中的技術(shù)路線

關(guān)于UTM技術(shù)路線的討論越來越熱烈，下面重點講一下FGPA和ASIC在這類產(chǎn)品中的作用。

作為一種集成的安全網(wǎng)關(guān)產(chǎn)品，UTM目前最受輿論攻擊的弱點就是打開所有的內(nèi)容安全選項后，設(shè)備的性能急劇下降。UTM作為各種安全技術(shù)的統(tǒng)一整合體，需要根據(jù)各種應(yīng)用的實際情況來選擇合適的架構(gòu)。通常來講，作為防垃圾郵件和防病毒，x86的高性能計算能力受到的關(guān)注較多。而配合x86的平臺，F(xiàn)PGA大多設(shè)計為協(xié)處理器，以便利用其可靈活編程的能力來用同樣的硬件支持不同應(yīng)用的要求。

作為VPN功能部分，利用成熟的ASIC來實現(xiàn)IPSec或者SSL VPN可以獲得非常高的性能價格比。

然而，作為UTM的核心控制單元部分，只有ASIC才能夠勝任UTM的高性能要求。核心單元需要處理10G左右的會話管理、防DDoS攻擊、TCP組流、二層交換、三層路由和交換網(wǎng)處理。這樣的性能和功能只有用ASIC才能實現(xiàn)。 (cnw)