论文部分内容阅读
在过去十余年里,为提升网络安全设备的处理性能,人们尝试了多种方法,但收效甚微。在万兆网络环境已经逐步得到普及的今天,能提供万兆处理能力的安全设备厂商寥寥无几。联想网御于2008年6月发布了KingGuard万兆安全网关,突破了困惑业界多年的技术瓶颈。万兆安全网关的技术突破点到底在哪里呢?
万兆网络环境的忧虑
高速网络环境一方面意味着用户了具备更高的接入带宽、更可靠的流量性能、可以在网络上搭建更复杂的网络应用平台,但同时,也意味着核心网络会面临更多的安全风险,万兆网络的安全防护是我们必须正视的问题。
万兆网络首先意味着更大的流量与更复杂的应用,网络设备主要是处理链路层包头数据或IP层包头数据,这些处理具有相对比较固定的模式,适宜于开发专用的高速处理软件或硬件,但对于安全设备而言,仅仅处理包头数据是远远不够的,安全设备会从简单的包头检查到会话检查,甚至到应用数据的检查,最后再将检查合格的这些报文完整地转发出去。由于网络安全的需求越来越复杂,这些安全功能很难做到标准化,完成这些检查会消耗大量的系统资源,这就会明显地影响设备的吞吐性能。
对于安全设备而言,为了达到同级别的网络吞吐性能,其難度是远远高于网络设备的,这也正是为什么安全设备的推出总是比同级别网络设备滞后的主要原因。
高性能硬件平台的探索
要实现万兆网络环境的安全,我们需提高安全设备的报文处理性能。为解决高带宽对网络安全设备计算能力的需求,人们设计了很多方案,最典型的就是FPGA协处理设计与ASIC协处理设计方案。
·FPGA技术
FPGA(Field Programmable Gate Array)即现场可编程门阵列,实际上是将一些比较消耗资源的安全检查处理过程及报文转发过程用可编程硬件逻辑的方式固化下来,由硬件来处理,这样就提升了网络流量吞吐性能。这种方案非常有效,也最早在一些高端安全设备得到应用,但FPGA芯片方案存在的最大问题就是成本过于昂贵,平均每百万逻辑门FPGA器件的成本在100美元以上,而且FPGA开发的人力资源与时间消耗较大,在具备一定基础的情况下,实现一个较复杂的FPGA应用通常需要12个月以上的时间。所有这些严重制约了它的发展,普遍认为FPGA方案适宜于做特殊应用领域的探索设计,它并不是一个具有普及意义的技术方案。
·ASIC技术
ASIC(专用集成电路)方案可以看作FPGA方案的延伸。当一个成熟FPGA设计的使用量达到一定的数量级后,可以以ASIC的方式固化下来,从而有效降低成本。但遗憾的是,ASIC方案的先期投入较大、开发周期比FPGA还要长,这就意味设备增加新功能要等待较长时间,ASIC的可编程能力也非常弱,如果设备需要修改内核就必须经历一个完整的开发周期,这就意味着ASIC方案一旦形成,就很难升级、也很难满足安全市场的特殊需求。因此,ASIC加速模式只是在少数高端厂商得到应用。
·NP技术
NP即网络处理器技术,它的出现,使大多数不具备FPGA或ASIC开发能力的中小厂商有了一种新的解决网络带宽问题的方案,一时间大家趋之若鹜。但遗憾的是,NP技术并没有按照人们的意愿继续发展,虽然NP具有很好的理念,但当大家群起使用NP开发的时候,才发现NP的支持软件非常贫乏且并不稳定,其开发语言显得过于专业(汇编语言编程),NP内部资源(如寄存器、缓存、内存等)存在诸多限制,这使得利用NP进行开发的公司推出产品速度很慢,产业链不能形成,最后不得不宣布放弃。
万兆安全的新时代
多核技术的诞生,让芯片处理事务的能力得到明显提高。同时,许多芯片厂商在设计多核芯片的时候,也借鉴了NP处理器设计的一些特点,使得多核处理器更适于解决高带宽网络环境下的流量处理,其性能可以达到20G以上,适宜于开发万兆安全设备。
·“核”间调度
把多个CPU和集成在一块芯片上,可以有效提升总体性能,但其绝不是简单的性能叠加,其核心是我们合理调度CPU核的工作,提升其使用效率。传统的单核处理,其性能的瓶颈源于内存读写及各类I/O操作,这些操作比CPU处理速度要慢得多,所以CPU常常需要等待各类读写操作的返回。如果我们能把这些等待的时间也利用起来,那就显著地提高了多核处理器的性能。多核处理器可以有效地解决问题,如果某个CPU内核遇到访问外设或者内存的操作,那么其他CPU核将可能被调度执行。由于每个CPU核都具有各自独立的寄存器组,所以调度切换十分高效,从而有效发挥了CPU的处理性能,屏蔽了访问所需等待的时间。这样,相比单核处理器,多核处理器的性能就得到了极大的提高。
·内部总线
多核处理器的另一个优势就是高速内部总线。利用多核处理器的高速内部总线,各核之间、各核与内存、I/O之间可以进行高速内部通信,这对于芯片的性能提升作用是非常明显的。以RMI公司的XLR多核芯片为例,它采用了独特的FMN(Fast Message Network)技术用来把XLR中的多个核、多个网络接口、DMA以及安全引擎连接起来,其内部带宽高达到200G以上。
·硬件加速引擎
许多用于网络处理的多核芯片在设计时就借鉴了NP的经验,都会集成一些针对比较耗费资源的处理的硬件加速引擎,如包分类、TCP载荷加速等。比如XLR内置的网络加速器可以对从网络接口进入XLR的数据包进行高速预处理,可以对以太网包2层、3层、4层的内容进行辨析,提取特征串,自动完成校验和验证,并把解析结果发送给指定的CPU核。整个过程自动完成,不需要CPU的参与。
·高级语言编程
网络处理器的可编程性最初被视为优势,但很快人们发现其局限性。由于其开发语言采用汇编语言,这使得网络处理器的支持软件非常匮乏,也很难得到较好的发展和继承。而多核处理器的一个巨大进步是它可以支持高级语言编程,这使开发者可以熟练地使用已经掌握的编程工具进行开发。当多核处理器得到升级换代以后,程序代码可以方便地移植,甚至不同厂家的多核处理器也可以交叉移植,这也为多核处理器的未来发展奠定了基础。
联想网御在2002年开始探索高性能NP防火墙技术,在吸取了NP技术及多核技术的优势后,联想网御设计出了适合多核处理器的通用安全平台VSP(Versatile Security Platform),提出了具有创新意义的Windriver矩阵式并行处理算法。2008年6月,联想网御推出了基于多核处理器、采用自主知识产权的VSP平台的KingGuard万兆安全网关。测试表明,由于实现了良好的核间调度,充分发挥了多核处理器的潜能,网络处理能力可达40Gbps,新建连接速率可达每秒30万个以上,性能完全满足万兆骨干网络的需求。
回首高性能安全设备的发展历程,从单核架构到FPGA等协处理架构,再发展到今天的多核处理器级架构,吉尔德定律所描述的带宽与处理器性能的不平衡发展将成为过去,众多芯片公司目前已经投身到多核或者多线程技术的浪潮之中。多核处理器技术必将引领我们开创万兆网络安全的新时代。
万兆网络环境的忧虑
高速网络环境一方面意味着用户了具备更高的接入带宽、更可靠的流量性能、可以在网络上搭建更复杂的网络应用平台,但同时,也意味着核心网络会面临更多的安全风险,万兆网络的安全防护是我们必须正视的问题。
万兆网络首先意味着更大的流量与更复杂的应用,网络设备主要是处理链路层包头数据或IP层包头数据,这些处理具有相对比较固定的模式,适宜于开发专用的高速处理软件或硬件,但对于安全设备而言,仅仅处理包头数据是远远不够的,安全设备会从简单的包头检查到会话检查,甚至到应用数据的检查,最后再将检查合格的这些报文完整地转发出去。由于网络安全的需求越来越复杂,这些安全功能很难做到标准化,完成这些检查会消耗大量的系统资源,这就会明显地影响设备的吞吐性能。
对于安全设备而言,为了达到同级别的网络吞吐性能,其難度是远远高于网络设备的,这也正是为什么安全设备的推出总是比同级别网络设备滞后的主要原因。
高性能硬件平台的探索
要实现万兆网络环境的安全,我们需提高安全设备的报文处理性能。为解决高带宽对网络安全设备计算能力的需求,人们设计了很多方案,最典型的就是FPGA协处理设计与ASIC协处理设计方案。
·FPGA技术
FPGA(Field Programmable Gate Array)即现场可编程门阵列,实际上是将一些比较消耗资源的安全检查处理过程及报文转发过程用可编程硬件逻辑的方式固化下来,由硬件来处理,这样就提升了网络流量吞吐性能。这种方案非常有效,也最早在一些高端安全设备得到应用,但FPGA芯片方案存在的最大问题就是成本过于昂贵,平均每百万逻辑门FPGA器件的成本在100美元以上,而且FPGA开发的人力资源与时间消耗较大,在具备一定基础的情况下,实现一个较复杂的FPGA应用通常需要12个月以上的时间。所有这些严重制约了它的发展,普遍认为FPGA方案适宜于做特殊应用领域的探索设计,它并不是一个具有普及意义的技术方案。
·ASIC技术
ASIC(专用集成电路)方案可以看作FPGA方案的延伸。当一个成熟FPGA设计的使用量达到一定的数量级后,可以以ASIC的方式固化下来,从而有效降低成本。但遗憾的是,ASIC方案的先期投入较大、开发周期比FPGA还要长,这就意味设备增加新功能要等待较长时间,ASIC的可编程能力也非常弱,如果设备需要修改内核就必须经历一个完整的开发周期,这就意味着ASIC方案一旦形成,就很难升级、也很难满足安全市场的特殊需求。因此,ASIC加速模式只是在少数高端厂商得到应用。
·NP技术
NP即网络处理器技术,它的出现,使大多数不具备FPGA或ASIC开发能力的中小厂商有了一种新的解决网络带宽问题的方案,一时间大家趋之若鹜。但遗憾的是,NP技术并没有按照人们的意愿继续发展,虽然NP具有很好的理念,但当大家群起使用NP开发的时候,才发现NP的支持软件非常贫乏且并不稳定,其开发语言显得过于专业(汇编语言编程),NP内部资源(如寄存器、缓存、内存等)存在诸多限制,这使得利用NP进行开发的公司推出产品速度很慢,产业链不能形成,最后不得不宣布放弃。
万兆安全的新时代
多核技术的诞生,让芯片处理事务的能力得到明显提高。同时,许多芯片厂商在设计多核芯片的时候,也借鉴了NP处理器设计的一些特点,使得多核处理器更适于解决高带宽网络环境下的流量处理,其性能可以达到20G以上,适宜于开发万兆安全设备。
·“核”间调度
把多个CPU和集成在一块芯片上,可以有效提升总体性能,但其绝不是简单的性能叠加,其核心是我们合理调度CPU核的工作,提升其使用效率。传统的单核处理,其性能的瓶颈源于内存读写及各类I/O操作,这些操作比CPU处理速度要慢得多,所以CPU常常需要等待各类读写操作的返回。如果我们能把这些等待的时间也利用起来,那就显著地提高了多核处理器的性能。多核处理器可以有效地解决问题,如果某个CPU内核遇到访问外设或者内存的操作,那么其他CPU核将可能被调度执行。由于每个CPU核都具有各自独立的寄存器组,所以调度切换十分高效,从而有效发挥了CPU的处理性能,屏蔽了访问所需等待的时间。这样,相比单核处理器,多核处理器的性能就得到了极大的提高。
·内部总线
多核处理器的另一个优势就是高速内部总线。利用多核处理器的高速内部总线,各核之间、各核与内存、I/O之间可以进行高速内部通信,这对于芯片的性能提升作用是非常明显的。以RMI公司的XLR多核芯片为例,它采用了独特的FMN(Fast Message Network)技术用来把XLR中的多个核、多个网络接口、DMA以及安全引擎连接起来,其内部带宽高达到200G以上。
·硬件加速引擎
许多用于网络处理的多核芯片在设计时就借鉴了NP的经验,都会集成一些针对比较耗费资源的处理的硬件加速引擎,如包分类、TCP载荷加速等。比如XLR内置的网络加速器可以对从网络接口进入XLR的数据包进行高速预处理,可以对以太网包2层、3层、4层的内容进行辨析,提取特征串,自动完成校验和验证,并把解析结果发送给指定的CPU核。整个过程自动完成,不需要CPU的参与。
·高级语言编程
网络处理器的可编程性最初被视为优势,但很快人们发现其局限性。由于其开发语言采用汇编语言,这使得网络处理器的支持软件非常匮乏,也很难得到较好的发展和继承。而多核处理器的一个巨大进步是它可以支持高级语言编程,这使开发者可以熟练地使用已经掌握的编程工具进行开发。当多核处理器得到升级换代以后,程序代码可以方便地移植,甚至不同厂家的多核处理器也可以交叉移植,这也为多核处理器的未来发展奠定了基础。
联想网御在2002年开始探索高性能NP防火墙技术,在吸取了NP技术及多核技术的优势后,联想网御设计出了适合多核处理器的通用安全平台VSP(Versatile Security Platform),提出了具有创新意义的Windriver矩阵式并行处理算法。2008年6月,联想网御推出了基于多核处理器、采用自主知识产权的VSP平台的KingGuard万兆安全网关。测试表明,由于实现了良好的核间调度,充分发挥了多核处理器的潜能,网络处理能力可达40Gbps,新建连接速率可达每秒30万个以上,性能完全满足万兆骨干网络的需求。
回首高性能安全设备的发展历程,从单核架构到FPGA等协处理架构,再发展到今天的多核处理器级架构,吉尔德定律所描述的带宽与处理器性能的不平衡发展将成为过去,众多芯片公司目前已经投身到多核或者多线程技术的浪潮之中。多核处理器技术必将引领我们开创万兆网络安全的新时代。