网络安全发展催生多核CPU架构应用

安全在线7月2日报道

网络安全发展催生多核CPU架构应用

企业用户对高性能安全产品的需求越来越大。产生这种现象的根本原因是随着网络技术不断发展,网络速度不断提升,企业用户日常业务的运转对网络的依赖性越来越强

 

与此同时,信息安全技术正逐渐发生变化–由单纯的网络交换安全技术向着更为复杂的网络应用安全方向发展,这无疑对信息安全设备尤其是网关类安全设备在处理能力提出了越来越高的要求。

需求催生新技术

网络中复杂的应用层安全检测和控制功能都需要CPU来处理,而传统硬件平台由于PCI总线和CPU的性能对此需求则是远远不能满足的,在某些企业用户网络中安全设备不仅保护作用在降低,甚至成了网络的瓶颈。有些特定用户(例如ISP运营商,游戏网站、证券交易系统等)因为没有能提供足够性能的解决方案,而被迫选择不做安全保护。

市场需求促进新技术的产生–作为新一代网络安全技术,多核架构拥有强大的64位并行操作和应用层处理能力,不仅能够并行快速处理网络数据流,对应用层的检测和细粒度控制能力更得以充分发挥。

为了企业用户对安全网关高性能的需求,Hillstone全线产品均采用了64位多核处理器和高速交换总线的硬件架构,不仅在纯粹安全处理能力上有了极大的提升,在需要不同模块进行多层次安全处理的情况下,保证了模块间的数据通道的通畅。多核CPU集成了网络处理器,可以支持高达20Gbps的数据吞吐能力,搭配48Gbps内部高速交换芯片,可支持多功能系统里多个模块对数据处理所需的交互。这个系统还支持对IPSec、SSL VPN、字符匹配、TCP、压缩等硬件加速。Hillstone的安全处理操作系统操作系统StoneOS是个高度并行化、高扩展性、安全加固的操作系统。StoneOS能够协调系统各模块之间的合作,充分利用了硬件平台的处理能力。

就Hillstone观察,业界采用多核架构的安全产品在各项性能上都有很大的提升。特别是对需要CPU介入,无法用其他硬件加速的功能。举个例子来说,防火墙有一个很重要的性能指标是每秒新建连接数,这个指标展现了一个防火墙应对突发事件的能力,由于传统技术下每秒新建会话数很低,设备经常会被瞬间发起的内部病毒泛滥、外部攻击甚至突发流量等耗尽资源而无法响应甚至宕机。在结合多核技术后,我们产品在这个指标上高于传统设备5-10倍,这在很大的程度上归功于多核处理器的硬件架构和高度并行化的专用网络安全操作系统StoneOS。性能提升比较显著的方面有:小包性能、抗攻击性能、应用层处理性能、VPN处理性能、QoS性能等。

多核技术赋予安全产品无限遐想

实际上不仅是防火墙,对其它安全网关产品而言,多核技术同样对其性能给予了巨大帮助。以UTM为例,此产品无疑是一个安全功能高度集成的设备。对CPU处理能力的需求非常高,许多UTM设备虽然有硬件加速的帮助,然而在安全特性都打开的时候,其性能下降依然非常严重,在很多场合变得不可用。多核CPU正是解决应用安全处理能力的对症良药。随着基于多核CPU安全平台的出现,会对UTM在性能上有很大的提升。对UTM的市场接受度也会有很大的促进作用。

多核技术的出现解决了很多传统设备做不到的问题: 在我们遇到的企业用户中,某地电信用户的DNS Server访问量巨大,传统安全设备的新建会话及最大并发会话数值较低无法提供安全防护,使得服务器长期暴露在互联网上。当客户使用Hillstone后发现基于多核64位技术的SA系列防火墙能够很好的为服务器集群提供安全防护,并且在日平均拦截432亿次攻击的情况下保持着低于30%的CPU占用率。

传统UTM设备以其"all in one"的特点吸引广大用户,然而由于底层架构的先天不足,即便高端设备,在打开所有功能的情况下性能也只有100M左右,远不能满足用户网络的需求。而多核架构通过64位并行网络操作系统则可以轻松突破该瓶颈,例如惠州学院的网络出口有2.2G带宽、同时在线2万余IP,在使用Hillstone SA-5050安全网关后观察到最高并发会话达到了180万条,而此时基于新一代多核技术的设备资源占用率只有23%左右。

对用户来说,多核平台的出现会大大提高网络安全产品的性价比,尤其是对用户比较关注的应用安全设备的性价比。多核平台强大的性能还会进一步促进安全特性和网络特性的集成,简化用户的网络部署,降低TCO。随着多核技术的发展,多核架构的势必日益完善,解决安全网关设备在"功能多样性与效能"上的矛盾只是第一步,此项技术无疑对未来人们在信息安全防范手段上赋予更大的想象空间。