由安全设备的演变看多核安全网关的优势

随着网络及应用的逐渐深化,信息安全设备处理能力的瓶颈逐渐突出,一些用户甚至不得不牺牲网络的安全性以满足业务连续性的需求,这一矛盾也成为摆在安全厂商面前的新挑战。网络安全设备将何去何从,如何才能满足发展的需求?

回看网络安全设备的发展历程:1995年,CheckPoint推出了第一代基于软件的防火墙,但是实践证明这种技术不能适用于需要提供吞吐量保证和低延迟的网络。1996年到1997年,x86架构防火墙的出现,使其凭借高灵活性和扩展性在百兆防火墙上获得了巨大成功,同时x86防火墙相对传统防火墙还具有开发、设计门槛低,技术成熟等优点。但是由于x86架构的硬件并非为了网络数据传输而设计,缺陷也是显而易见的:所有通过防火墙的数据包都要通过CPU去处理,它对数据包的转发性能相对较弱,内部交换总线则成了处理能力的瓶颈,无法适应日益增长的网络性能要求。

1997年,NetScreen成功研发了ASIC防火墙。定制的ASIC防火墙与软件解决方案相比,安全规则匹配速度和数据流查询速度提升了几十倍,在处理NAT和快速数据流查询方面更是具有传统防火墙无法比拟的优势。然而在集成了应用层安全防护功能后,CPU的处理能力却成为ASIC防火墙不得不面对的挑战,综合衡量ASIC不可改变和低扩展等缺陷,ASIC防火墙难以保障用户的应用安全需求。

此后几年,一些公司开始为应用层安全尝试使用网络处理器(NP)结构。虽然NP在可扩展性上优于ASIC,但是它仍然不能及时响应今天安全需求的快速变化。由于缺乏可扩展性和可维护性,以及高昂的成本等因素,NP结构已经逐渐被淘汰。

从2008年开始,多核技术开始广泛地、频繁的出现在用户面前,由此引发了信息安全领域最大的变革,多核以及多线程技术的出现,解决了原有产品功能多样性与性能不足的矛盾问题。用户需求的不断攀升,决定多核技术发展的不可逆转性。多核带来了更强的并行处理能力,但同时也对当前的操作系统体系架构提出了更高的要求。

如何才能发挥多核安全网关的真正优势?为此,笔者采访了Hillstone 山石网科首席软件架构师王钟,他表示:只是单纯的把安全网关的CPU换成多核,操作系统不做变化,那多核处理器也仅仅是个摆设,设备的处理能力还是单核,因此要求软件架构有根本性的变化,适应多核处理器,真正体现出多核安全网关的优势。另一方面,多核CPU是加速应用层安全的利器,Hillstone 山石网科的设计思路是将多核与ASIC结合起来,同时再有一个稳定的,实时的64位操作系统作为支撑,为用户提供一个可升级、可扩展、稳定的设备,造就真正适合用户的万兆多核安全产品。

随着应用层网络功能集成的快速发展,例如:防病毒、流量管理和上网行为管理等,都需要大量的CPU处理,而目前市场上的很多安全网关设备却不能很好的支持这些功能。王钟认为,多核架构必须要与软件平台互相配合,才能为用户日益增长的需求留出增加性能的空间。Hillstone 山石网科在架构安全业务处理模型的时候,考虑的重点是如何使得多核处理器提供最佳的处理效率?我们通过合理安排多核的任务分工,核内核间任务的分工以及多核的并行处理,使得整个系统的效率和扩展性大幅提升。不但要具备领先的技术研发实力,而且要同时满足用户对日益增长业务的安全和性能需求,这才是多核安全网关的真正优势所在。