在IT技术和互联网快速发展的过程中,信息安全防护起着极其重要的作用,正是在“道高一尺、魔高一丈”的博弈过程中,信息安全技术才得以在横向和纵向两个方面不断发展:横向发展方面,互联网上的安全威胁的日益多样性,催生了诸如IPS入侵防御和WEB安全网关等聚焦应用层安全防护的产品,其与传统的防火墙产品协同配合形成覆盖L2-L7层的安全防护网络;纵向方面,以防火墙和IPS为代表的安全产品,在特性完善和性能提升方面有了很大的进步,在性能方面也在从百兆千兆万兆甚至到100G的方向演变,成为安全产品发展的旗帜和标杆。
(一) 100G性能——安全产品发展的必然趋势
1) 互联网应用的极大丰富,将导致网络流量快速上升数倍
当前的互联网业务类型相比互联网初期已经有了革命性的变化,多种新型的互联网应用迅速吸引了大量的网民,如最为典型的微博,国内某微博服务商宣称其用户数目已达到或超过1亿。随着这些用户活跃程度继续上升,互联网流量将急剧上升。与此同时,诸如网络视频类业务也将成为未来的杀手级业务,且智能终端的大量出现,未来基于这种便利的上网行为将并且已成为潮流,这些新兴业务应用将将是未来互联网的流量增长的重要推动力。有资料显示,未来3年内,全球网民的用户数将突破30亿的规模,整个互联网的流量将增长4倍以上,由此引发的包括防火墙、IPS和应用层网关等在内的互联网设备都需要考虑有足够的处理能力和带宽资源;尤其是防火墙产品,作为互联网安全访问的第一道屏障,升级跨向100G的级别将势在必行。
2) 云计算环境下,分布式部署的安全产品向集中的资源池部署转移,由此必然对设备性能提出了要求
现阶段云数据中心的建设正在成为一种潮流,为了得到更高效的处理效率,更好的可靠性保证已经更加简易化的资源调配和部署,云数据中心的基础架构也必然要进行升级演化。如图1所示,传统的数据中心的建设过程中,网络层次分明,安全的边界相对比较明确且分散,在进行防火墙和IPS等产品部署时对性能没有严格的要求,属于分布式的部署模型。而在新一代云计算数据中心建设过程中,网络基础架构和服务器存储资源等等都进行了资源池化处理,网络层次之间的互联更多的是多条10GE链路的捆绑上行,并且已经找不到明显的安全边界。在这种情况下,安全设备要想成功部署,一方面需要有高密度的GE/10GE的端口密度,另一方面要有超高的处理能力,以确保防火墙等安全产品不会成为用户访问的瓶颈;此时,超高性能的安全网关将因为其本身的处理能力、方便的单一设备管理等因素成为高端用户安全防护的优先选择;
3) 高端用户对高性能安全产品的现实需求
部分网络承载的用户数目比较大,应用种类比较丰富、用户对服务器访问的带宽也比较充足,存在周期性高突发流量、应用系统要求低延时等,需要有高性能的防火墙等安全产品进行支撑。
典型如部分电信运营商,其在自身网络安全加固及数据中心增值业务建设过程中需要部署高端的防火墙,尤其是未来在大型的内容服务提供商(如网络游戏等)可能进入IDC,将导致IDC的出口带宽大幅增加到100G的级别,此时为了给租户提供更好的网络环境,杜绝更多的非法访问和可能的安全攻击,具备上百G性能及高密度10GE接口能力的高端安全产品如防火墙成为了必然选择。
在金融行业,按照数据大集中的要求,各大银行纷纷开始按照两地三中心的模式建设高性能高可靠的数据中心网络,此时为了确保数据中心的安全访问,对高性能的安全产品尤其是防火墙产品提出了额明确的需求。
在教育行业,部分高校用户的学生规模扩张到数万人以上,学生PC终端拥有量上升,这将产生大流量的数据访问,包括很多针对校内应用资源诸(如视频会议、多媒体网络教学、VOD点播、数字图书馆及科研等)的访问,在建设万兆以太网进行业务承载的同时,校园的安全防护也需要有高性能的防火墙进行保障。
归结起来,单设备超高性能的安全产品如100G防火墙,相比较分散的中低端性能的安全产品,可以有效降低网络部署的复杂度,减少网络可管理的节点数目,保证用户的网络快速安全和可靠。
(二) 100G安全产品实现的关键点
1) 分布式设计模型下的关键模块构成
对于超高性能的防火墙等安全产品而言,单纯的集中处理模式已经难以满足性能设计的要求,分布式架构成为大势所趋,尤其是对于需要进行报文深度检测的产品如IPS入侵防御设备等。基于这种分布式的架构,独立的双主控单元、高性能的业务处理引擎单元、多种规格的GE/10GE接口模块,高性能的分流模块是其关键的组成部分。
在双主控实现方面,现有的高端安全产品(现阶段主要是防火墙产品)对于可靠性的要求是保持转发层面的不中断,要求实现两台设备之间的会话信息和配置信息的同步,设备的任何故障包括主控模块的处理故障都将触发这种双机的切换。但是在100G防火墙产品级别,主控模块的价值体现在控制协议的学习,路由表项的学习下发,各业务模块之间的流量均衡调度和设备的统一管理等,其本身的功能也有较高的本地可靠性保障的需求,因此本机双主控模块将进一步增强系统内部的故障备份,配合已有的双机热备技术,可以提升系统的可靠性水平。
同时,高效的I/O接口模块或者是高性能的分流模块,也是其区别中低端防火墙的重要差别。尤其是在大规模的流量到达设备后,需要通过灵活的分流策略,将报文均衡调度到不同的安全业务模块,才能保证分布式的报文处理效率。为此,这些I/O接口模块或者是专业的分流模块,需要支持针对IP多元组的预配置分流策略,或者是自动的分流分配机制,确保流量分配的均衡性,以及该流量往返路径的一致性。只有这样,每个业务处理引擎单元才能检测到单条流的完整会话过程,从而根据该条流的首个报文建立起正确的会话表项,为后续的转发奠定基础。
最后,对于高端的安全设备而言,安全业务处理引擎的性能和表现,对于整机是否能达到设计的性能和功能目标起着直接的决定作用,无论是防火墙产品还是入侵检测等产品的核心处理环节都需要依赖该业务处理模块。对于防火墙和IPS入侵防御等产品,在进行该业务单元设计时,需要考虑他们的业务处理流程上的差异,合理的选择该业务单元的关键器件,并将不同的业务环节划分到不同的逻辑电路,才能保证设计目标的实现。
2) 安全业务模块的硬件选择
如前所述,安全业务模块是产品的核心模块,其不但要承担整个安全业务处理的各个环节,还需要考虑到系统的性能设计目标,也就是说,该模块不但要完整核心的软件功能,还必须考虑做到超高的性能,该单元的处理能力,直接决定了整机的性能。
基于系统的高性能的设计目标,在对该硬件模块进行电路设计时,需要结合当前的硬件技术的发展水平,并结合当前可选的功能器件如NP处理器、ASIC器件、FPGA逻辑电路、多核处理器、通用CPU处理器、内容加速处理器的方案差异,合理选择适合的硬件设计方案。
目前较常用的方式是多核处理器和FPGA逻辑的配合,随着多核技术的迅猛发展,无论是芯片内部“处理器核”的数量还是主频都在不断提高,这为其高性能的业务处理能力提供了保障,同时由于多核产品对多业务流程处理的灵活性、功能的可扩展性和易用性(通用的C语言编程),因此成了中高端安全产品的首选。在高端防火墙和IPS等产品的设计过程中,可以利用多核CPU充当安全处理引擎单元的慢路径关键处理器,承担防火墙和IPS等产品的首包分析的工作,实现对会话的状态检测和表项下刷;而FPGA可以作为快路径的主要处理单元,在慢路径将会话和转发表现下发后,完成对报文的快速匹配和转发。从另外一个角度,对于IPS等深度报文检测的产品而言,考虑到其需要提取报文的payload负载并进行大容量的特征库匹配,为了做到高性能需要考虑配套专用的内容加速芯片,实现对特征库基于正则表达式等形式的高速查找。
因此可见多核、FPGA逻辑转发以及专用的内容加速固定特征库匹配器件,是未来超高性能安全产品的重要选择;
3) 业务处理引擎对于报文处理流程的层次化设计
作为系统的核心处理单元,设备的安全业务处理引擎要想达到更高的性能,就必须不要纯粹基于通用处理器进行转发和处理流量,而是要考虑将流量合理的卸载到其他的协处理器(诸如FPGA等器件),实现报文的硬件加速。
基于整个报文处理流程,高端安全产品软件设计可以划分为软件慢路径、软件快速路径、硬件加速三个层面。无论是对于防火墙产品还是IPS入侵检测产品而言,其本身的业务处理流程中,都存在可以利用硬件加速提升性能的处理环节,典型如防火墙的会话快速转发环节,如IPS入侵防御产品的固有特征库的快速查找匹配环节等。对于这些可以直接通过硬件快速路径处理后转发,对于已经明确处理策略的数据流通过软件快速路径进行加速处理,剩余的其它数据流由软件慢路径进行深度解析处理。
基于这种分层的设计思路,不仅可以充分发挥专用硬件芯片的处理性能优势,也减轻了通用处理器的处理负担,使通用处理器可以有更多的资源来实现对关键流程如会话建立的处理效率,保证业务模块的性能均衡而高效。
(三) 100G安全产品的衡量标准
对于高端防火墙和IPS入侵防御等产品而言,其超高的性能、出色的可靠性和稳定性,灵活的组网能力和扩展性、以及设备的绿色环保等方面,无疑是衡量其是否出色的重要指标;而基础的性能指标参数,以及关键特性的实现程度,无疑是对高端安全产品实现程度的最直接反映,
1) 系统关键性能指标
系统的性能是对安全产品能力和网络定位的最直接的反映。
对于防火墙产品而言,常见的性能指标包括网络的处理时延,不同字节情况下设备的吞吐量指标,以及单板或设备的应用层性能指标典型如每秒新建连接数和最大并发连接数等等。对于IPS产品而言,除了上述参数之外,还应该包括特征库的容量以及定期更新特征库的能力。基于现有的经验数据,性能出色的防火墙和IPS等设备,其网络处理的延时平均值要控制在30us以内,以保证快速处理诸如视频语音等时延敏感型业务。
对于新一代防火墙产品,根据RFC的测试规范,在64bytes字节长度时,每单板的处理性能要求达到20Gbps吞吐量的水平。对于那些宣称大包20Gbps性能的产品,由于实际网络中的流量不可能是全部由大包构成,因此其在实际部署时会大打折扣,并不能真正做到对20G实际流量的处理;对于IPS产品而言,在模拟真实环境、保证对攻击特征的高识别率的情况下的系统性能是否可以达到10Gbps的设计要求;在系统部署了多块业务模块的情况下,整机的性能要求做到线性的增长,以实现对性能的平滑扩容。同时,对于并发连接数/每秒新建连接数,应用层吞吐量(HTTP、FTP、SMTP等业务)以及混合业务吞吐量等应用层信息指标,应该也有明确的要求,这些应用层的性能指标可以作为系统在真实情况下的处理能力的最直接的参考。
2) 关键特性的实现程度
除了性能指标之外,高端防火墙和IPS等安全产品的关键特性的处理能力和实现程度,也是衡量设备是否成功的重要标准。
如虚拟化的实现,根据其典型的应用场合,在数据中心多租户共享的情况下,防火墙和IPS等安全设备的虚拟化能力是非常重要的指标。要想做到真正的虚拟化并实现对设备资源的灵活分配和调整,需要从以下几个方面来进行衡量:设备可以支持的虚拟化数目,每个虚拟化实例的CPU的资源任意分配指定、内存资源划分定义、设备新建连接数目和并发连接数可以根据用户的需求配置、以及在每个虚拟实例下,各种安全策略的数目分配、安全域的数目分配、NAT资源的分配等等;对于IPS产品,各虚拟实例的license特征库可以单独激活或升级。同时,还需要考虑到针对各个虚拟设备进行独立的配置管理的需要,需要考虑对各个虚拟设备的安全事件独立分析和监控的需要。如果设备的虚拟化实现非常完整,才可以真正实现对设备资源的灵活调整;
(四) 结束语
现阶段的高端安全产品如防火墙和IPS走向100G,应该还是在初期的阶段,市场的用户需求还需要继续挖掘和培育,产品的功能、性能和稳定性等方面也还需要继续完善和提升,尤其是对IPS产品而言,因为其本身在深度报文处理环节上的复杂性,相对防火墙还有更长的路要走。随着用户需求的逐步成熟,产品技术的不断进步,安全产品的100G时代终将到来。