冲击UTM瓶颈 16核多核技术应用

企业动态
对于企业来说拥有一部内网安全网关能够很好的解决网络安全问题,诸如黑客入侵,病毒传播等行为都可以通过UTM安全网关的相关防护功能有效解决。不过很多企业在使用UTM相关的IPS与防AV功能时存在着使用上的误区,轻者造成设备负载的增加,相关功能性能的降低;重者直接造成设备死机或防护功能名存实亡。

【51CTO.com 综合消息】对于企业来说拥有一部内网安全网关能够很好的解决网络安全问题,诸如黑客入侵,病毒传播等行为都可以通过UTM安全网关的相关防护功能有效解决。不过很多企业在使用UTM相关的IPS与防AV功能时存在着使用上的误区,轻者造成设备负载的增加,相关功能性能的降低;重者直接造成设备死机或防护功能名存实亡。

UTM市场发展现状

从UTM的行业发展来看,起到重要促进作用的是政府和企业。出于安全防御需求、部署实施和成本预算的综合考虑,政府和企业对于安全有着“简单化”的需求,包括选择部署简单化、策略实施简单化、安全防御简单化、管理维护简单化。而在运营商、金融、电力等行业,由于网络统一规划性比较强,对于UTM抱着观望态度,尚没有形成大规模的普遍需求。政府信息化的不断深入,企业单位对信息安全要求的不断增加,会推动UTM这一安全网关产品蓬勃发展。

作为安全网关产品族中的新秀,UTM产品已经显示了其强有力的竞争力。防火墙功能作为UTM中的基本功能之一,在产品表现形式上已经非常成熟,若加上防病毒、入侵防御、内容过滤等功能,UTM产品在功能表现上非常有竞争力。启用多种安全能力后的性能是UTM的一个软肋,目前市场中的UTM虽然经过了性能上的不断优化,在实际使用中也可以满足普通千兆网络的需求;但还无法满足多个千兆接口线速要求的运营级网络需求。因此总的来看,UTM产品会不断在应用中取代防火墙产品;但长期来看,UTM与防火墙之间的应用环境是不同的,都会保持各自的空间和用途。

此外,反垃圾邮件网关、防DOS网关、VPN网关等产品与UTM也有着密切的联系,但由于在本质上存在较大的差别,与UTM产品的关系各不相同。反垃圾邮件功能越来越多的被融入到邮件网关产品中去,作为保护邮件系统的最直接手段;防DOS网关则与路由器等网络设备结合越来越紧密,用来保护路由器自身和其掌控的网络资源;VPN网关在继续保持着相对的独立,以单独产品的身份存在,但是在一些简单VPN需求的场合中也融入到了UTM中。对UTM产品,其主要目的是对网络资源进行保护,防御威胁,防止网络滥用,重点在于控制。

UTM面临的问题

在快速发展并被越来越多用户认可的同时,UTM也面临着三个重要挑战:提高应用层检测的精度、应对性能下降的挑战、满足易用性需求。

深层检测是优秀UTM的关键和基础。深层检测包括了全面和精确两个方面。深层检测在部分用户看来是网关防病毒的同义词,但实际上,深层检测的真正目的,不仅仅是对病毒的防御,还包括对溢出攻击、恶意脚本、SQL注入攻击、P2P应用、网络游戏等恶意攻击和网络滥用行为的检测及防御。同时,作为部署在网关位置的UTM产品,在进行深层检测时必须确保不出现误判,如果深层检测出现了误判,那么依据错误检测所做的防御措施会给用户的正常业务带来严重影响。充分利用过去检测技术方面的积累,同时加强针对P2P、IM、游戏类软件的跟踪和积累UTM解决应用层检测精度难题最有效的措施。

多数用户很是坦然“我们的网管员管理的设备过多,对安全产品的配置也不是很了解,UTM产品把那么多功能集成到一起,我们的网管员搞不清楚其中关系,希望你们做得简单易用,最好把相互关联的功能配置做成模版,我们只要配置模版就行了!”朴实的话语道出了真正的需求。网关的易用不只体现在管理、维护、配置上,还体现在设备的部署上,对网络的兼容性上。UTM产品确实需要在产品开发过程中贯彻“易用”这一原则,使产品能够具有长期的生命力。

作为国内信息安全市场的领军者,启明星辰认为“简单”是安全发展的大势所趋。启明星辰天清汉马一体化安全网关在设备部署、威胁防御、策略实施、管理维护等四大用户最“头痛”的关键问题上实现了“简单”。尤其在管理维护方面,实现了“六化”:界面定位快捷化——配置界面三键到位率达90%以上;配置操作简单化——任一配置在两个界面内完成;安全策略模板化——所有安全服务配置在一个模板上完成;关键业务自动化——自动升级、自动报警、自动报表的特点;安全监控方便化——定制化报表、图形化显示;集中管理统一化——基于组的集中管理、集中监控、一次配置、整体生效。

SOC多核硬件平台

随着启明星辰本次通过万兆UTM测评,过去质疑UTM高端应用性能不足的说法已经成为历史。万兆UTM出现,无疑会将UTM应用带入崭新的时代。那么,万兆UTM究竟如何才能突破性能瓶颈,满足高端应用呢?专家告诉记者,满足万兆UTM应用的关键在于16核多核技术的运用。

UTM产品具有3大技术特点:吞吐密集、运算密集、应用层特性匹配密集。这3大特点对硬件平台提出了极大的挑战,也正是基于此,UTM过去饱尝性能瓶颈之苦,如:在X86架构下,UTM受制于总线带宽普遍无法实现千兆线速;开启AV、IPS功能后,CPU占用率大幅升高,整机性能通常下降80%以上。综合考虑了这些问题之后,启明星辰经过详细的技术调研、产品预研,最终选择了基于Cavium公司16核CPU的硬件平台承载万兆UTM应用。单就CPU核数而言,是X86 CPU的4倍以上。并且,Cavium公司OCTEON系列多核芯片,专为UTM等安全产品的应用量身内置了一系列专用硬件,使得最终构建出的产品在性能、稳定性上很容易实现电信级标准。

据介绍,Cavium的16核CPU采用了“软件硬件化”的设计理念,在CPU片内集成了DFA、包收发模块等专用硬件,从而提升硬件平台的整体性能。如图1所示:

图1


下面我们从带宽、收发包模块、包处理指令集等方面来分别了解一下这一硬件平台。

高总线带宽:高达640Gbps的内部总线带宽,是Intel 4核CPU的6倍!就好像一条是双向六车道的高速公路,而另一条只是单车道的普通公路,在基础设施层面便已立分高下。

硬件收发包模块:芯片内集成了硬件收发包模块、千兆/万兆等的线速接口器件,与总线直连,充分保障各业务接口的线速性能,并最大限度地减少了CPU在此方面的开销。

集成内存控制器:我们知道,传统X86架构除CPU外,尚需额外的北桥芯片、内存控制器的配合才能实现内存操作,此部分往往成为整个平台性能提升的瓶颈;而Cavium16核CPU片内集成了内存控制器,且无需额外的北桥芯片,避免了内存操作成为平台性能提升的瓶颈。

压缩/解压缩硬件引擎:AV业务需对进出网关的文件进行病毒扫描,而很多文件是压缩的、并且是多级压缩。对此类文件的扫描,必须先将文件解压缩后再进行与病毒库文件的匹配运算。X86架构下,此项运算都是由CPU进行的,极耗费资源,文件压缩/解压缩成为导致AV性能瓶颈的重要因素。Cavium 16核CPU内置一个专用压缩/解压缩硬件引擎,用于AV文件的压缩/解压缩操作,极大提高了AV业务的性能,减轻了对CPU资源的消耗。

专用包处理指令集: AV、IPS、上网行为管理等业务主要做的是应用层包处理,运算量大、运算复杂,并且需要进行频繁的业务调度与切换,只能由CPU进行处理,从而使CPU成为性能提升的瓶颈之一。Cavium 16核CPU创新的在每个CPU核内集成了一个专门针对包处理应用特点而开发的指令集,可通过指令直接进行位域操作、面向字节的操作等,不必再像X86那样靠多条指令实现一个功能,结合RISC短指令集的效率优势,运算效率整体提高了3倍。

硬件DFA内容匹配引擎:AV、IPS等业务也是应用层特性密集的业务。某种程度上,UTM的性能就取决于产品对业务特征的匹配速度。X86架构下,CPU既需要进行内容匹配运算,又需要进行设备的控制操作、业务调度等,CPU负荷重并且效率低。Cavium16核CPU针对此应用特点,在片内集成了一个硬件DFA内容匹配引擎,直接对特征数据匹配进行硬件运算,将匹配运算结果交由CPU核进一步处理,这样就极大提高了内容匹配速度,减轻了对CPU资源的消耗。CPU从此不再成为AV、IPS等业务的处理瓶颈。

多核软件体系设计

在采访中我们得知,万兆多核的软件架构设计与X86架构下的设计完全不同,无法进行简单的代码移植,必须配合硬件平台进行针对性的设计与优化。启明星辰为此全新设计了UTM专用的64位操作系统,这也是万兆UTM产品化过程中工作难度最大、工作量最多的部分。

我们首先遇到的难题就是性能不随核数增长而线性增长的问题”,启明星辰的专家告诉记者。

据了解,在采用Cavium多核硬件平台进行了相应的软件开发后,启明星辰在万兆UTM预研初期,就实现了4核情况下3G的防火墙性能,但在随后进一步的研究中,发现性能提升似乎到了极限,随着核数的提升性能并不相应的线性增长。如图2所示,问题出在哪里呢?

   图2   

 图3

硬件平台多达16个CPU核在同时进行并行业务处理,对各CPU核的业务调度与控制尤为重要。在传统的X86架构下的,CPU最多4核,对CPU核的调度问题并不突出,而在16核情况下,该问题便暴露出来。为攻克此问题,启明星辰集中了研发体系的所有优势资源,成立了技术攻关小组,并贯穿产品化始终,从挖掘硬件资源、业务锁等多个方向进行优化,软件人员与硬件驱动人员通力配合,共同寻找提高性能的途径,逐一优化,一个核一个核的攻。最终,实现了业务性能的线性化增长。如图3所示,随着核数的增多,性能曲线基本保持线性增长的态势。

当然,在软件体系架构设计中遇到的大小问题还有很多,如:在持续引入新的业务新特性情况下,如何保证性能不下降?产品的可调试性等等。最终,启明星辰依靠研发技术优势,集中攻关,把这些问题逐一解决,实现了高性能万兆UTM的成功商用。

编者按

就全球应用趋势来看,多核UTM已成为客户在网关位置安全产品的首要选择。国际主流厂家Cisco、Juniper、CheckPoint、WatchGuard、华为等均已全力投入UTM方向,并且都选择了Cavium多核作为硬件平台,相继发布了多核UTM产品。启明星辰作为中国UTM市场连续两年份额第一的国内厂家,在2007年就选择了Cavium多核方向投入研发,并于2008年6月在国内率先发布了高性能万兆UTM平台。截至目前,启明星辰万兆UTM产品已服务于多家大型企业、政府等单位的骨干节点,为客户提供高性能的安全业务保障。我们看到,随着启明星辰天清汉马万兆UTM的成功应用,阻碍UTM发展的性能瓶颈问题已彻底解决,相信中国UTM市场必将迎来新一轮的快速增长。

责任编辑:Oo小孩儿 来源: 51CTO.com
相关推荐

2009-07-02 15:55:03

2009-03-22 21:29:11

多核技术

2023-08-10 14:02:15

2009-03-18 13:10:59

多核服务器MIPS

2009-03-22 21:36:34

多核架构质变

2009-03-23 18:42:47

多核服务器CPU

2009-04-09 19:09:17

多核思科虚拟化

2009-03-22 21:35:19

多核处理器

2009-03-24 13:20:56

Nehalem多核Intel

2009-11-25 13:43:02

CDN内容分布网络

2009-06-26 13:29:00

摩托罗拉多核技术

2021-07-10 08:29:13

Docker内核Namespace

2010-12-08 11:26:36

Intel

2009-06-26 17:33:00

双核刀片多核

2010-04-27 13:26:56

虚拟化

2010-04-01 09:29:14

2016-06-20 16:10:11

无内核技术Node.js

2020-11-17 09:09:55

Unity技术大会

2009-08-10 17:27:36

2009-08-06 18:20:23

点赞
收藏

51CTO技术栈公众号