万兆安全网关随需而变

imliuli

摘要：目前在数据通信领域，“千兆到桌面、万兆做骨干”已经呈普及趋势，很多交换机和路由器都拥有多万兆大容量端口，而在网络安全领域，真正意义上的万兆安全网关设备还是寥寥无几。\r\n\r\n网络应用进入万兆时代\r\n目前在数据通信领域，“千兆到桌面、万兆做骨干”已经呈普及趋势，很多交换机和路由器都拥有多万兆大容量端口，而在网络安全领域，真正意义上的万兆安全网关设备还是寥寥无几。\r\n安全设备不像路由设备，它不仅仅关注数据包的转发，还要对数据流状态、安全性、完整性等进行一系列的检查，对数据的处理复杂度和路由设备不在一个数量级。而要保证万兆网络的安全则需要设备具有极强的数据处理性能，否则要么以牺牲一部分安全特性来换取性能的提升，要么则是以牺牲性能为代价来换取安全特性。\r\n在万兆安全领域，真正的核心能力是硬件的研发能力。目前网络安全设备提供商众多，实力参差不齐，部分厂家并没有自主硬件的研发能力，只是通过合作拿到定制的硬件设备，再通过软件的加载和优化，来提供安全网络设备。以这种方式打造出来的设备，往往灵活易用，但在万兆高端应用中，就会凸显出整机性能的不足，无法满足用户的高吞吐量和高可靠性的需求。在高端安全领域，需要真正有实力的厂家来引领方向，需要有革命性的产品来把万兆网络安全推向“更高效、更可靠、更强大”的可持续发展的道路上来。\r\n万兆安全网关发展之路\r\n自防火墙设备诞生以来，由于其需要比路由设备对所转发数据做更深入的处理，性能方面一直落后于网络设备，如何使安全设备不再成为网络瓶颈，如何使得安全设备性能提升同步于网络设备，如何满足日益增长的安全需求，成为各安全设备厂家重点攻克的目标。\r\n防火墙的发展，经历了X86、ASIC、NP以及前三者相互组合的时代，性能由十几兆提升到了数千兆，有了长足的进步，但随着不断的更新换代，每一代产品都会被越来越高的性能需求和安全需求所淘汰。\r\n随着信息化进入“2.0时代”，对网络安全性能要求有了质的提升。未来的网络应用将出现以下几个特点：\r\n流量激增：随着Web 2.0的普及，社交、博客、播客、VoIP、网游、购物等等，无一不互联网化，预计到2012年，每日互联网流量将达到1.47亿GB，业务流量每年增长200%。\r\n在线并发呈海量趋势：在流量激增的同时，伴随而来的还有海量在线并发用户。上网本的普及、3G手机的上市会进一步推动网民数量的上升。很多热点应用(网络游戏、在线购物平台、热门搜索引擎)都会拥有数百万甚至上千万的并发在线用户。\r\n突发流量频率增高：众多网民往往会同一时间关注某一网络焦点事件，2008年北京奥运门票预售每秒二十万订单，2009年 Windows7 发布Beta测试版，同一时间有几十万人提交下载申请。\r\n新挑战带来对安全网关设备的新需求，要求设备具有：\r\n更高的综合性能表现： 吞吐量、每秒新建、最大并发等要适应网络发展，保证安全网关设备不能成为网络瓶颈，具体要求为：\r\n* 吞吐量达到万兆小包线速，解决性能瓶颈，保障万兆网络畅通。\r\n* 支持数百万甚至千万并发连接数，应对日益增多的网络应用。\r\n* 提供数十万新建每秒连接能力，有效应对突发事件。\r\n更灵活：功能上摆脱以往的硬件微码编程限制，可以更快应对新的威胁，更迅速响应客户需求;硬件上摆脱单一的整机配置，可按需配置，接口可扩展和性能可提升。\r\n更大的接口容量：要求支持更丰富的接口类型，拥有更多更大的接口数量和容量，以适应网络不断的升级换代。\r\n更低的部署成本：采用可扩展架构和虚拟化技术，延长设备的换代时间，降低拥有成本。\r\n如何应对“2.0时代”带来的挑战，如何满足新一代安全网关设备的需求，成为新一代安全网关设备的设计者需要考虑的重中之重。在2007-2008年，国内有部分厂家陆续推出万兆级别的安全网关设备，大多采用了多核处理器。\r\n多核技术之所以成为各设备厂家的硬件核心，是和它的众多优势分不开的：多核处理器摆脱了主频对性能的限制，通过多核多线程并行计算给安全网关设备带来革命性的变革，由于其采用通用语言，扩展功能不受限制，其灵活度也远远超过NP和ASIC。\r\n虽然多核处理器给安全网关带来了性能上的提升，但如何设计出高效的硬件平台，如何开发与之相匹配的软件引擎，是需要深厚的硬件研发能力和过硬的软件开发功底的。不仅如此，多核处理器单颗CPU的处理能力毕竟有限，如何突破性能对单一CPU的依赖也成为厂家的难题之一。\r\n纵观目前市场上的万兆安全网关，大多采用单一多核CPU架构，虽然理论上可以达到10Gbps或大于10Gbps的吞吐量，但无法实现真正意义上的小包万兆线速。对于目前流量较小的万兆网络尚可支撑，但如果万兆网络流量过大，则处理起来会十分吃力。\r\n为了突破性能对CPU的依赖，抛开以往的集中式单CPU处理技术，具有革命性的“NP+多核+分布式”架构以及控制模块、接口模块以及业务处理模块相互独立的技术出现了。接口模块基于双NP处理器，保证接口流量线速转发;业务处理模块基于多核多线程多CPU技术，配置两颗多核处理器，性能比单颗多核处理器设备提升一倍，确保各种安全业务高速并行处理。\r\n华为赛门铁克发布的Secoway USG9000系列统一安全网关就采用了上述技术，在真正意义上实现了万兆小包线速。值得一提的是，为了进一步提升性能，Secoway USG9000的业务处理模块采用分布式处理技术可配置多块，整机性能可以随着部署模块的数量成倍提升，真正摆脱了性能对CPU处理能力的依赖。