(二) 100G安全产品实现的关键点
1) 分布式设计模型下的关键模块构成
对于超高性能的防火墙等安全产品而言,单纯的集中处理模式已经难以满足性能设计的要求,分布式架构成为大势所趋,尤其是对于需要进行报文深度检测的产品如IPS入侵防御设备等。基于这种分布式的架构,独立的双主控单元、高性能的业务处理引擎单元、多种规格的GE/10GE接口模块,高性能的分流模块是其关键的组成部分。
在双主控实现方面,现有的高端安全产品(现阶段主要是防火墙产品)对于可靠性的要求是保持转发层面的不中断,要求实现两台设备之间的会话信息和配置信息的同步,设备的任何故障包括主控模块的处理故障都将触发这种双机的切换。但是在100G防火墙产品级别,主控模块的价值体现在控制协议的学习,路由表项的学习下发,各业务模块之间的流量均衡调度和设备的统一管理等,其本身的功能也有较高的本地可靠性保障的需求,因此本机双主控模块将进一步增强系统内部的故障备份,配合已有的双机热备技术,可以提升系统的可靠性水平。
同时,高效的I/O接口模块或者是高性能的分流模块,也是其区别中低端防火墙的重要差别。尤其是在大规模的流量到达设备后,需要通过灵活的分流策略,将报文均衡调度到不同的安全业务模块,才能保证分布式的报文处理效率。为此,这些I/O接口模块或者是专业的分流模块,需要支持针对IP多元组的预配置分流策略,或者是自动的分流分配机制,确保流量分配的均衡性,以及该流量往返路径的一致性。只有这样,每个业务处理引擎单元才能检测到单条流的完整会话过程,从而根据该条流的首个报文建立起正确的会话表项,为后续的转发奠定基础。
最后,对于高端的安全设备而言,安全业务处理引擎的性能和表现,对于整机是否能达到设计的性能和功能目标起着直接的决定作用,无论是防火墙产品还是入侵检测等产品的核心处理环节都需要依赖该业务处理模块。对于防火墙和IPS入侵防御等产品,在进行该业务单元设计时,需要考虑他们的业务处理流程上的差异,合理的选择该业务单元的关键器件,并将不同的业务环节划分到不同的逻辑电路,才能保证设计目标的实现。
2) 安全业务模块的硬件选择
如前所述,安全业务模块是产品的核心模块,其不但要承担整个安全业务处理的各个环节,还需要考虑到系统的性能设计目标,也就是说,该模块不但要完整核心的软件功能,还必须考虑做到超高的性能,该单元的处理能力,直接决定了整机的性能。
基于系统的高性能的设计目标,在对该硬件模块进行电路设计时,需要结合当前的硬件技术的发展水平,并结合当前可选的功能器件如NP处理器、ASIC器件、FPGA逻辑电路、多核处理器、通用CPU处理器、内容加速处理器的方案差异,合理选择适合的硬件设计方案。
目前较常用的方式是多核处理器和FPGA逻辑的配合,随着多核技术的迅猛发展,无论是芯片内部”处理器核”的数量还是主频都在不断提高,这为其高性能的业务处理能力提供了保障,同时由于多核产品对多业务流程处理的灵活性、功能的可扩展性和易用性(通用的C语言编程),因此成了中高端安全产品的首选。在高端防火墙和IPS等产品的设计过程中,可以利用多核CPU充当安全处理引擎单元的慢路径关键处理器,承担防火墙和IPS等产品的首包分析的工作,实现对会话的状态检测和表项下刷;而FPGA可以作为快路径的主要处理单元,在慢路径将会话和转发表现下发后,完成对报文的快速匹配和转发。从另外一个角度,对于IPS等深度报文检测的产品而言,考虑到其需要提取报文的payload负载并进行大容量的特征库匹配,为了做到高性能需要考虑配套专用的内容加速芯片,实现对特征库基于正则表达式等形式的高速查找。
因此可见多核、FPGA逻辑转发以及专用的内容加速固定特征库匹配器件,是未来超高性能安全产品的重要选择;
3) 业务处理引擎对于报文处理流程的层次化设计
作为系统的核心处理单元,设备的安全业务处理引擎要想达到更高的性能,就必须不要纯粹基于通用处理器进行转发和处理流量,而是要考虑将流量合理的卸载到其他的协处理器(诸如FPGA等器件),实现报文的硬件加速。
基于整个报文处理流程,高端安全产品软件设计可以划分为软件慢路径、软件快速路径、硬件加速三个层面。无论是对于防火墙产品还是IPS入侵检测产品而言,其本身的业务处理流程中,都存在可以利用硬件加速提升性能的处理环节,典型如防火墙的会话快速转发环节,如IPS入侵防御产品的固有特征库的快速查找匹配环节等。对于这些可以直接通过硬件快速路径处理后转发,对于已经明确处理策略的数据流通过软件快速路径进行加速处理,剩余的其它数据流由软件慢路径进行深度解析处理。
基于这种分层的设计思路,不仅可以充分发挥专用硬件芯片的处理性能优势,也减轻了通用处理器的处理负担,使通用处理器可以有更多的资源来实现对关键流程如会话建立的处理效率,保证业务模块的性能均衡而高效。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
2018年Gartner Catalyst大会:未来没有数据中心?
其他企业能否像Netlfix那样—在没有数据中心的情况下运营?这是Gartner公司研究副总裁Douglas […]
-
云计算的下半场:从颠覆到传统 数据中心迎挑战
何宝宏博士表示,未来十年,云计算将从一个颠覆性产业逐渐转换为传统行业,与此同时,边缘计算等‘衍生品’正在兴起。云计算正在把整个行业和整个系统的复杂性,从用户手里的终端迁移到云端和数据中心。
-
移动安全培训迫在眉睫
移动安全威胁,包括因用户使用习惯而导致的问题,如今已经无处不在。因此,让用户学会相应的防护措施,已迫在眉睫。
-
公司网络安全:别忽略数据
分析师可以帮助决定什么企业信息是最易受攻击的,哪里有安全流程漏洞,以及员工数据保护培训是如何缺乏的。