论文部分内容阅读
Web 2.0、云计算、云安全、P2P、三网合一,种种新的网络应用层出不穷,应用的增多导致更高的网络带宽需求。CNNIC发布的《第23次中国互联网络发展状况统计报告》显示,截至2008年底,中国国际出口带宽由2001年的3Gbps飞速增长到接近650Gbps,平均不到11个月就翻一番。在网络带宽快速发展的同时,人们对网络安全也提出了更高的要求。
万兆安全网关寥寥无几
华为赛门铁克科技有限公司网络安全产品管理部部长陈伟才说,目前在数据通信领域,“千兆到桌面、万兆做骨干”已经呈普及趋势,很多交换机和路由器都拥有多万兆大容量端口,而在网络安全领域,我们看到的真正意义上的万兆安全网关设备还是寥寥无几。
安全设备不像路由设备,它不仅仅负责数据包的转发,还要对数据流状态、安全性、完整性等进行一系列的检查,对数据的处理复杂度和路由设备不在一个数量级。要保证万兆网络的安全,需要设备具有极强的数据处理性能,否则要么以牺牲一部分安全特性来换取性能的提升,要么则是以牺牲性能为代价来换取安全特性。
在信息安全领域,拥有多年从业经验的陈伟才认为,在万兆安全领域,真正的核心能力是硬件的研发能力。目前网络安全设备提供商众多,实力参差不齐,部分厂家并没有硬件的自主研发能力,只是通过合作拿到定制的硬件设备,再通过软件的加载和优化,来提供安全网络设备。以这种方式打造出来的设备,往往灵活易用,但在万兆高端应用中,就会凸显出整机性能不足,无法满足用户的高吞吐量和高可靠性的需求。
万兆安全网关发展之路
自防火墙设备诞生以来,由于其需要对所转发数据做更深入的处理,性能方面一直落后于其他网络设备。虽然经历了x86、ASIC、NP以及这三者相互组合的时代,防火墙的性能由十几兆提升到了数千兆。但随着产品的更新换代,每一代产品都会被用户越来越高的性能需求和安全需求所淘汰。
陈伟才表示,信息化进入“2.0时代”对网络安全性能要求有了质的提升。未来的网络应用将向以下几个方面发展:
流量激增。随着Web 2.0的普及,预计到2012年每日互联网流量将达到1.47亿Gbps,宽带用户每年增长30%,而业务流量每年增长200%。
在线并发呈海量趋势。在流量激增的同时,伴随而来的还有海量在线并发用户。很多热点应用(网络游戏、在线购物平台、热门搜索引擎)都会有数百万甚至上千万的并发在线用户。
突发流量次数增多。互联网的普及拉近了人与人的距离,加快了信息的传播速度,众多网民往往会同一时间关注某一网络焦点事件。
分析未来网络发展的这些趋势,陈伟才认为,新挑战带来对安全网关设备的四点新需求:
第一,更高的综合性能表现。吞吐量、每秒新建、最大并发等要适应网络发展,保证安全网关设备不能成为网络瓶颈,具体要求为:吞吐量要达到万兆小包线速,解决性能瓶颈,保障万兆网络畅通;支持数百万甚至千万并发连接数,应对日益增多的网络应用;提供数十万新建每秒连接能力,有效应对突发事件。
第二,更灵活。功能上摆脱以往的硬件微码编程限制,可以更快应对新的威胁,更迅速响应客户需求;硬件上摆脱单一的整机配置,可按需配置,接口可扩展和性能可提升。
第三,更大的接口容量。要求支持更丰富的接口类型,拥有更多的接口数量和更大的容量,以适应不断的网络升级。
第四,更低的部署成本。采用可扩展架构和虚拟化技术,延长设备的换代时间,降低拥有成本。
多核考验研发功底
如何应对“2.0时代”带来的挑战,如何满足新一代安全网关设备的需求,成为新一代安全网关设备的设计者需要考虑的重要问题。在2007~2008年,国内部分厂家陆续推出万兆级别的安全网关设备,大多采用了多核处理器。
多核技术之所以成为各设备厂家的硬件核心,是和它的众多优势分不开的。多核处理器摆脱了主频对性能的限制,通过多核多线程并行计算给安全網关设备带来了变革。由于其采用通用语言,扩展功能不受限制,其灵活度也远远超过NP和ASIC。但是,设计出高效的硬件平台,开发与之相匹配的软件引擎,需要过硬的硬件研发能力和深厚的软件开发功底。不仅如此,多核处理器单颗CPU的处理能力毕竟有上限,如何突破单颗CPU对整体性能的制约成为厂家的难题之一。
陈伟才介绍说,去年7月华为赛门铁克就发布了新一代的万兆小包线速的安全网关产品——Secoway USG9000系列统一安全网关。为了突破对CPU的依赖,Secoway USG9000系列抛弃了传统的单CPU处理技术,采用“NP 多核 分布式”架构以及控制模块、接口模块、业务处理模块相互独立的技术。接口模块基于双NP处理器,保证接口流量线速转发;业务处理模块基于多核多线程多CPU技术,配置两颗多核处理器,性能比单颗多核处理器设备提升一倍,确保各种安全业务高速并行处理。
为了进一步提升性能,陈伟才和他的研发团队将Secoway USG9000的业务处理模块设计为采用分布式处理技术,这样一来,整机性能可以随着部署模块的数量成倍提升,摆脱了传统方式对CPU的依赖。
万兆安全网关寥寥无几
华为赛门铁克科技有限公司网络安全产品管理部部长陈伟才说,目前在数据通信领域,“千兆到桌面、万兆做骨干”已经呈普及趋势,很多交换机和路由器都拥有多万兆大容量端口,而在网络安全领域,我们看到的真正意义上的万兆安全网关设备还是寥寥无几。
安全设备不像路由设备,它不仅仅负责数据包的转发,还要对数据流状态、安全性、完整性等进行一系列的检查,对数据的处理复杂度和路由设备不在一个数量级。要保证万兆网络的安全,需要设备具有极强的数据处理性能,否则要么以牺牲一部分安全特性来换取性能的提升,要么则是以牺牲性能为代价来换取安全特性。
在信息安全领域,拥有多年从业经验的陈伟才认为,在万兆安全领域,真正的核心能力是硬件的研发能力。目前网络安全设备提供商众多,实力参差不齐,部分厂家并没有硬件的自主研发能力,只是通过合作拿到定制的硬件设备,再通过软件的加载和优化,来提供安全网络设备。以这种方式打造出来的设备,往往灵活易用,但在万兆高端应用中,就会凸显出整机性能不足,无法满足用户的高吞吐量和高可靠性的需求。
万兆安全网关发展之路
自防火墙设备诞生以来,由于其需要对所转发数据做更深入的处理,性能方面一直落后于其他网络设备。虽然经历了x86、ASIC、NP以及这三者相互组合的时代,防火墙的性能由十几兆提升到了数千兆。但随着产品的更新换代,每一代产品都会被用户越来越高的性能需求和安全需求所淘汰。
陈伟才表示,信息化进入“2.0时代”对网络安全性能要求有了质的提升。未来的网络应用将向以下几个方面发展:
流量激增。随着Web 2.0的普及,预计到2012年每日互联网流量将达到1.47亿Gbps,宽带用户每年增长30%,而业务流量每年增长200%。
在线并发呈海量趋势。在流量激增的同时,伴随而来的还有海量在线并发用户。很多热点应用(网络游戏、在线购物平台、热门搜索引擎)都会有数百万甚至上千万的并发在线用户。
突发流量次数增多。互联网的普及拉近了人与人的距离,加快了信息的传播速度,众多网民往往会同一时间关注某一网络焦点事件。
分析未来网络发展的这些趋势,陈伟才认为,新挑战带来对安全网关设备的四点新需求:
第一,更高的综合性能表现。吞吐量、每秒新建、最大并发等要适应网络发展,保证安全网关设备不能成为网络瓶颈,具体要求为:吞吐量要达到万兆小包线速,解决性能瓶颈,保障万兆网络畅通;支持数百万甚至千万并发连接数,应对日益增多的网络应用;提供数十万新建每秒连接能力,有效应对突发事件。
第二,更灵活。功能上摆脱以往的硬件微码编程限制,可以更快应对新的威胁,更迅速响应客户需求;硬件上摆脱单一的整机配置,可按需配置,接口可扩展和性能可提升。
第三,更大的接口容量。要求支持更丰富的接口类型,拥有更多的接口数量和更大的容量,以适应不断的网络升级。
第四,更低的部署成本。采用可扩展架构和虚拟化技术,延长设备的换代时间,降低拥有成本。
多核考验研发功底
如何应对“2.0时代”带来的挑战,如何满足新一代安全网关设备的需求,成为新一代安全网关设备的设计者需要考虑的重要问题。在2007~2008年,国内部分厂家陆续推出万兆级别的安全网关设备,大多采用了多核处理器。
多核技术之所以成为各设备厂家的硬件核心,是和它的众多优势分不开的。多核处理器摆脱了主频对性能的限制,通过多核多线程并行计算给安全網关设备带来了变革。由于其采用通用语言,扩展功能不受限制,其灵活度也远远超过NP和ASIC。但是,设计出高效的硬件平台,开发与之相匹配的软件引擎,需要过硬的硬件研发能力和深厚的软件开发功底。不仅如此,多核处理器单颗CPU的处理能力毕竟有上限,如何突破单颗CPU对整体性能的制约成为厂家的难题之一。
陈伟才介绍说,去年7月华为赛门铁克就发布了新一代的万兆小包线速的安全网关产品——Secoway USG9000系列统一安全网关。为了突破对CPU的依赖,Secoway USG9000系列抛弃了传统的单CPU处理技术,采用“NP 多核 分布式”架构以及控制模块、接口模块、业务处理模块相互独立的技术。接口模块基于双NP处理器,保证接口流量线速转发;业务处理模块基于多核多线程多CPU技术,配置两颗多核处理器,性能比单颗多核处理器设备提升一倍,确保各种安全业务高速并行处理。
为了进一步提升性能,陈伟才和他的研发团队将Secoway USG9000的业务处理模块设计为采用分布式处理技术,这样一来,整机性能可以随着部署模块的数量成倍提升,摆脱了传统方式对CPU的依赖。