更高的要求,更大的挑战
随着Web2.0、移动互联网等IT新技术的飞速发展,网络正在改变着人们的生活。同时,对网络安全产品提出了更高的要求和更大的挑战,其中最突出的有两点:
1. 更高的IO吞吐性能。性能是个永恒的话题,随着越来越多的视频、语音等多媒体数据在网络上传输,越来越多的P2P、IM应用的广泛开展,如今的信息量和传统的文本形式相比呈现指数级增长,网络带宽一扩再扩。新的形势,要求安全设备具备更高的IO吞吐性能。
2. 更强的应用层数据处理能力。随着网络应用的日益复杂化和多样化,层出不穷的网络攻击逐步由网络层和传输层向应用层转变,由固定端口协议向非固定端口协议转变,由协议固定报头向深度协议报文转变。新的形势,要求安全产品具备更强的应用层数据处理能力。
2004年,告别Pentium时代,Intel推出Core 2双核处理器
2005年,Cavium、RMI相继推出商用的MIPS多核处理器
2007年,Checkpoint率先发布基于x86多核的Power系列产品
2008年,Cisco、Juniper相继发布多核系列安全产品
应对这些要求和挑战,传统架构的安全产品准备好了吗?
架构之争,多核指引未来
从本质上来说,网络设备主要解决两个问题:IO能力和数据包处理能力。传统架构在这两个方面面临着不可调和的矛盾:
1. 大部分安全产品是采用单核x86 CPU来构建的,高度稳定、灵活的x86尽管很好的解决了数据包处理的问题。但是受限于南北桥结构和PCI总线能力,在IO能力上表现不尽如人意。同时,基于摩尔定律快速发展的传统CPU技术面临着以平方关系急剧增长的能耗问题,以及由此衍生的散热问题的巨大挑战和困扰。
2. NP和ASIC技术广泛应用于交换机和路由器产品,通过对数据包的快速转发而解决了网络设备的IO问题。但是NP和ASIC架构面对应用层的数据包处理时,不够灵活的弱点暴露无疑,完全无法适用应用趋势的发展,因此,纯粹的NP和ASIC架构的安全产品势必会被淘汰。
面对困境,多核技术应运而生,目前的多核技术主要包含x86多核和MIPS多核两种。
x86多核产品一出来即引起广泛关注,也被业界一致看好,主要原因如下:
1. 最新的PCI-E总线是直接从北桥接出来的独占式总线,相比以前通过南桥—>北桥—>FSB—>CPU的共享式PCI总线,IO效率大大提高
2. PCI-E总线单条通道的单向带宽达到2Gbps,现在做得多的可达16通道,双向可达到64Gbps的吞吐量,从根本上解决了IO性能问题
3. 具备30多年PC经验的x86架构,具备高度的功能灵活性,在复杂数据处理方面具备独天厚地的优势,在强调应用层数据处理能力的今天尤为合适
4. x86多核通过分布式方式,有效解决了单核CPU面临的能耗问题和散热问题
5. 2007年,Intel发布Tolapai低功耗处理器,全面进军嵌入式和网络通信市场,网络安全作为网络通信的主要市场,受到Intel的高度关注
6. Intel技术实力强大,产品商用化程度极高,成熟可靠
7. 网络安全的关键在于软件,众多软件厂商已经在x86多核的开发上具备强大的实力和丰富的经验
MIPS多核自2005年以来获得了快速发展,代表的公司有Cavium和RMI两家,主要特点有
1. MIPS多核基于精简指令集,IO效率高,功耗低
2. MIPS多核也可以采用PCI-E总线,不存在南北桥结构,吞吐能力强
3. MIPS多核扩展能力强,Cavium公司已经推出16核CPU,每个核600Mhz,总的处理能力可达9.6Ghz;而RMI公司也推出了8核CPU,每个核1.2Ghz,总的处理能力也达到了9.6Ghz
4. MIPS多核在交换机、路由器上有广泛应用,但是网络安全产品方面缺乏足够的经验,产品的成熟度还有待市场的考验。
5. MIPS多核在固定数据处理方面效率很高,面对7层复杂数据的查找和处理效率大大降低。
6. 无论是Cavium公司,还是RMI公司,整体技术实力和Intel还有相当的差距。
全新平台,应用安全
在技术发展最前沿,把握客户应用趋势,率先推出了融合高性能、深度安全检测、易扩展升级的下一代多核防火墙RG-WALL1600系列。通过实现CPU核任务调度的动态分配技术、并行设计算法、核间系统开销最小等关键技术,合理地划分了任务,大大减少了核间通信,有效地降低串行执行比例和降低交互开销,实现了多核的有效调度,双核的处理性能即可较单核提升40%-60%,八核架构则达到万兆线速。
同时,多核架构还为每一个核提供了额外的协处理器,使每个单独的核在芯片上具有额外的安全性硬件加速能力。多核平台的集成可以明显提高分析处理性能,使得防火墙的性能得到了极大的提升。
不仅突破性能瓶颈,锐捷网络新一代防火墙还在功能上取得了巨大的突破,全面诠释应用安全:
1. 通过万兆光模块,配合万兆交换机和路由器等基础网络平台,帮助客户构建真正的无瓶颈全万兆安全网络。
2. 支持高可用的SSL VPN解决方案,继PPTP、L2TP、IPSec VPN之外,为用户提供的全面的VPN解决方案。
3. 全面支持硬件模块化和软件模块化,不仅稳定可靠,而且灵活易扩展,很好地保护用户投资。
4. 内置安全助手,可以主动扫描网络活动主机,开放端口,操作系统版本和服务器版本,并添加到安全策略中去,为网络安全管理提供关键信息。
5. 高可靠性的业务监控,不仅可以提供CPU、内存、用户连接数等信息监控,而且可提供链路级、VPN隧道和应用业务(如HTTP等)层面的状态检测,能实现自动负载均衡和故障切换。
6. 可选支持Bypass,保证网络始终可用,彻底解决用户关心的单点故障问题。