Hillstone新一代安全應用架構
——多核CPU+ASIC+高速總線+專用作業系統
1 介紹
随着網絡應用的快速發展和更多内、外部威脅的出現,我們不得不面臨這樣的問題:在達到高帶寬要求的同時怎樣確定網絡不受侵害?在各種應用安全防護(例如QoS 、IDP 、網絡AV 、反垃圾郵件以及内容過濾等)不斷出現的同時,使用者仍在尋求更高安全級别的裝置。
目前的裝置不能解決上述問題,因為它們沒有足夠的CPU 處理能力,不能在進行千兆資料處理的同時執行安全檢測。
Hillstone 的創新解決方案集先進的軟硬體技術于一身,創造了一個全新的安全平台,完全能夠應對我們目前面臨的問題。
2 防火牆技術的發展
1995 年,CheckPoint 推出了第一代防火牆産品:基于軟體的防火牆。它是狀态檢測防火牆,在當時是技術性的突破。然而,問題很快就出現了:軟體解決方案會産生性能變異,且問題很難控制,因而這種方案不能适用于需要提供吞吐量保證和低延遲的網絡。
在1996 到1997 年,出現了第二代防火牆:基于x86 架構的防火牆。x86 架構又被稱為通用CPU 架構,具有開發、設計門檻低,技術成熟等優點,曾經以其高靈活性和擴充性在百兆防火牆上獲得過巨大成功。但是缺陷也是顯而易見的:在X86 平台,所有通過防火牆的資料包都要通過CPU 去處理,由于x86 架構的硬體并非為了網絡資料傳輸而設計,它對資料包的轉發性能相對較弱,内部交換總線則成了處理能力的瓶頸,無法适應日益增長的網絡性能要求。
圖1:基于X86 的防火牆結構
1997 年,NetScreen 成功研發了ASIC 防火牆。這種定制的ASIC 防火牆與軟體解決方案相比,安全規則比對速度和資料流查詢速度提升了幾十倍。NetScreen 防火牆是第一個在網絡層安全上達到千兆速率并且提供優異性能的防火牆。
圖2:ASIC 防火牆結構
從此,防火牆技術發生了巨大的變化。ASIC 防火牆優于傳統防火牆,例如在處理NAT 和快速資料流查詢方面。但是,在內建了應用層安全功能後,CPU 就沒有足夠的處理能力了。對于目前的安全裝置,一旦開啟應用安全功能,性能通常都會大大下降。
近幾年,一些公司開始為應用層安全嘗試使用網絡處理器(NP)結構。雖然NP 在可擴充性上優于ASIC,但是它仍然不能及時響應今天安全需求的快速變化。由于缺乏可擴充性和可維護性,NP 結構已經逐漸被淘汰。
随着應用層網絡功能內建的快速發展,例如QoS,需要大量的CPU 處理,而現今的安全裝置卻不能很好的支援這一功能。
3 創新一代安全架構
3.1 硬體平台
ASIC 能夠做到的是高速執行簡單的預定義操作,已被證明能夠實作的技術包括規則查詢、會話比對、資料包交換/路由和QoS 隊列管理等。許多網絡層的安全
功能都可以在ASIC 内部得到實作。
與通用處理器相比,ASIC 的缺點在于它的不可改變性和低擴充性,尤其缺乏使用者自定義特性。現在的大部分應用安全邏輯都或多或少需要一定程度的CPU 幹預處理,這也就是多核CPU 的主要優勢所在。
Hillstone 安全平台使用ASIC 來實作網絡級安全,使用多核CPU 加速應用層安全,再使用高速交換總線加速各個子產品之間的通信。
圖3:Hillstone 安全平台硬體架構
? StoneASIC——Hillstone ASIC 解決方案主要用于網絡和安全加速,在硬體平台上結合了最新的網絡安全處理技術和***防護功能。當裝置需要快速轉發資料包并防護來自僵屍網絡(botnet) 的各種類型的***時,StoneASIC 可以提供卓越的性能保證。這樣就能夠釋放更多處理器性能來運作其它更需要CPU 計算的功能。并且,StoneASIC 的硬體管道能夠為資料流提供穩定的、低延遲的高帶寬總線,不需要其它安全處理。
? 多核CPU——Hillstone 利用高性能CPU 使對網絡資料包的處理達到最優。CPU 固定在硬體的包轉發引擎中,用來處理包保序和不同核之間的分發。在針對多核并行處理而專門開發的StoneOS 作業系統支援下,基于資料包的細粒度并行排程技術確定每個核都能高負荷運作,進而使整個系統性能達到最優。智能的資料包跟蹤技術確定資料包經不同核處理後能按照輸入順序被輸出。并行工作的多核CPU 能夠在網絡和安全進行中提供可更新的、高可靠的性能。并且,它能夠提供最大限度的靈活适應性來處理現今安全裝置
所面臨的各種複雜需求。
? 高速交換總線子產品——這種交換總線通過端口把多核CPU 和StoneASIC 連接配接起來,并且保證所有子產品之間快速的無阻礙通信。市場中的大量安全裝置都是依靠低速總線進行CPU 通信的,存在内部資料交換瓶頸。而Hillstone 通過使用高速交換總線避免了這一缺陷。
Hillstone 平台還內建了IPSec 、SSL 、加解密運算、壓縮解壓縮以及DFA 功能的硬體加速晶片。IPSec ××× 支援DES 、3DES 、AES 、AES192 、AES256 、NULL 和SCB2 等加密算法,雜湊演算法包括SHA1 、MD5 和NULL 等。對于DES 、3DES 、AES 、AES192 和AES256 采用OCTEON 的晶片加密引擎進行硬體加速,SCB2 國密算法采用了單獨的加速晶片進行加速。通過硬體加速,實作了資料的快速加解密,提高了資料的吞吐量,減少了資料處理的延時,進而保證了使用者應用的快速處理。
3.2 軟體
StoneOS 是Hillstone 自主研發的64 位實時并行作業系統。它支援專有的并行多核處理器控制技術和ASIC 控制技術。StoneOS 為網絡和應用安全功能提供了可更新、高可靠的系統平台。
StoneOS 由完全獨立的控制平面和資料平面組成。這種分離機制保證了控制平面的可靠性、穩定性和資料平面的卓越性能。StoneOS 資料包轉發引擎– 可更新安全引擎(SSE) 是完全使用者化定制且經過安全加強,可實作安全和網絡處理的高度并行,能夠充分利用多核和ASIC 結構的各自優勢,同時能夠保證資料包的保序品質,為使用者營造高性能、高可信賴的網絡。
圖4:StoneOS 軟體架構
StoneOS SSE 結合了網絡資料包分類、***防護、安全規則比對、QoS 、轉發、路由和××× 處理等功能,并且将它們并行化,進而在多核處理器上高效運作。Hillstone 的多核控制技術能夠在最小化多核協調花費的同時允許每個核的單獨運作。
對于那些不能通過ASIC 完成的、需要安全處理的資料流,将由多核CPU 和StoneOS 進行處理,且并行工作的多核CPU 的處理速度能夠與ASIC 的包處理速率相比對。這樣,Hillstone 解決了傳統純ASIC 系統的CPU 瓶頸問題。
Hillstone 安全平台采用子產品化設計,能夠友善的進行軟體子產品的嵌入內建或者硬體子產品的外部擴充,以此來支援更多的網絡和安全功能。
4 結論
現在,防火牆技術的發展正在超越傳統的ASIC 解決方案,進入一個全新的時代。安全和網絡市場的結合要求更高處理能力的裝置,Hillstone 安全網絡裝置正在以創新的安全應用架構來引領這一發展趨勢。
Hillstone 解決方案能夠為使用者提供:
? 一流的***防護能力,能夠防禦各種DoS 和DDoS ***
? 超過目前市場同類産品5到10 倍的建立會話能力
? 處理各種資料包以及××× 流量時的卓越性能
? 進行應用安全處理時的卓越性能
? 傑出的QoS 性能,支援上萬使用者的細粒度QoS 和會話控制
轉載于:https://blog.51cto.com/hillstone/84053