隨著信息化應用的不斷深入和網絡時代的不斷演進,海量信息的遠距離傳輸需求更加凸顯出眾多IT 產品對兼備多功能和高性能兩方面的訴求。網絡安全產品也是如此。
早在2008 年5 月,國內知名的網絡安全廠商啟明星辰公布,成功駕馭CAVIUM 16 核MIPS多核處理器為核心的萬兆高性能平臺,使其安全產品性能提升10倍。此舉也實現了國內真正意義上萬兆UTM 產品零的突破,達到國際領先水平。隨后,國內山石網科、聯想網御等安全廠家也陸續推出了自己的高性能多核平臺,掀起了多核計算在國內信息安全領域性能提升技術革新的層層波瀾。MIPS 多核2 年前的這項突破性技術,如今已進入規模商用的階段。這種MIPS 多核技術與高性能的突破,促使信息安全擁有了更廣闊的應用空間。
那么,究竟傳統的很多安全產品都在面臨哪些性能挑戰?為何用MIPS 多核來取代十多年以來安全產品更通用的x86 計算平臺滿足更大的發展需要?以及國內目前對MIPS 多核計算的運用和產業化進入了什么樣的發展階段?如此種種,就讓我們一起來了解和分享以下內容:
大幅提升性能 信息安全必然發展趨勢
我們知道,任何安全技術與應用的發展都離不開對計算資源的占用。那么,從這個角度來說,網絡病毒檢測、入侵檢測、入侵防御以及信息數據安全等很多環節,都離不開對網絡數據內容的分析。而除了我們通常所了解的算法優化能帶來高效的計算外,對硬件計算資源的消耗正在隨著網絡容量、信息傳送量的增加而高速膨脹,以至于當前絕大多數安全設備所引用的x86 通用計算平臺在不借助其他加速組件的方式下,幾乎無法滿足高性能的內容運算,并且性能和效率也都難以達到每秒超過2G 以上在線數據運算量。在網絡帶寬和信息量高速膨脹的今天,這樣的運算效率僅僅只能滿足局部應用需求。
那么,在這樣的一個非常現實的發展趨勢下,如想持續地保障信息內容的安全,就會發現,各類安全設備及設施現有X86 通用計算平臺的計算能力都遠遠跟不上這一發展趨勢,而未來也必然會面對越來越巨大的性能瓶頸和安全應用需求所帶來的挑戰。
因此,性能的大幅提升是信息安全未來發展的必然趨勢。
兩大因素制約傳統性能提升
通常來講,以往在為數不多的面對大容量計算需要時,我們常會采取分流分布式計算來解決,也就是將一個較大的網絡流量分流為若干個小流量,采取分而治之的方式來完成對數據內容進行各類安全性檢查,并進行必要分析與實時運算。
顯然,在運算性能不具備的條件下,分布式計算方式是無奈之舉,但是它帶來了較大的管理成本和維護壓力。更重要的是大多數企業用戶根本無法接受這樣的應用方式,更多的企業級用戶,在面對大流量下的安全需求時,更多是選擇了“等待”,等待著更快、更安全的產品出現和成熟。
那么,一個很顯然的問題就出現了——信息安全設備為什么不能像網絡通信設備那樣,引用高性能的網絡處理器或ASIC 達到與網絡速度類似的處理效率呢?簡單分析一下會發現,這其中最根本原因主要有兩方面:
一方面,是客觀技術的制約,相比僅僅處理網絡局部信息(大多數是頭信息)、而不分析數據內容的網絡通信設施而言,信息安全設備對信息內容的分析深度、廣度比網絡通信設備要復雜得多,甚至還要分析數據內容之間的關聯性。同理,對數據內容進行安全檢查的計算,永遠比網絡數據傳送的計算要復雜得多,因為網絡中每個數據包的信息數據內容往往是信息頭的10 倍~ 70 倍。
另一方面,是各類導致安全威脅的病毒、入侵行為都在利用計算機高級語言不斷更新以突破某種防護,是因為這樣的效率更高,也因此每天都會有新的威脅誕生,而這種動態性和不確定性的存在,使得幾乎所有關注分析信息和數據內容的信息安全設備也必須在開放的運算平臺上基于高級語言搭建的運算系統來工作,是因為只有這樣構建的安全系統才有靈活的升級能力,從而也才能與安全的動態性和不確定性進行對抗。因此,大多數關注信息內容的信息安全產品( 如UTM、IDS、IPS、審計等),必須利用高級的語言和開放的硬件運算平臺才能完成對各類信息內容的檢索和各類安全性檢查。
所以,要滿足未來信息安全產品適應當下信息高速膨脹的發展趨勢,提升開放平臺的硬件性能,既是必然趨勢也是滿足未來應用需求的關鍵要素。也就是在這樣一個開放性平臺應用需求的驅動力下,多核技術應運而生。
超越x86 選擇多核SoC
需要說明的是, 剛才所說的多核并不是基于X86 的2 核、4 核這樣的CPU, 而是在網絡、安全設備上最新使用的基于MIPS64 的多核SoC(System onChip)處理器,此類多核SoC 處理器目前可支持到16 核,并還在隨著安全計算需求的不斷增加而繼續提升。
相比x86、NP、ASIC 硬件平臺,SoC 多核平臺的最大優勢是保留了x86 平臺的高靈活性(這一點對于安全設備的應用層檢測非常關鍵),并且具備與ASIC平臺相當的高處理性能。同時,SoC 通過增加核數,使線性提升硬件計算能力成為了可能,更重要的是功耗也隨之得到了控制。
惟一具有挑戰性的是,傳統的X86 平臺屬于通用硬件平臺,具有開發難度小的優勢,而SoC多核平臺屬于專用硬件平臺,駕馭難度相當高。可以說,全球范圍內能自如駕馭多核技術的廠家不足10 家,而且多為國際性技術領先的大廠家,國內一直到啟明星辰2008 年成功駕馭多核并發布自主研發的基于16 核的萬兆UTM 時才填補了這塊空白。
這的確是一個痛處。因為,對于很多廠家而言,實現對多核系統真正意義上的駕馭還是一個國際性的難題,尤其是計算性能的提升,如是否能隨核數的增多而達到線性的增長。這其中需要各個廠商在多核硬件的基礎上作大量的原創性設計,包括重構操作系統、多核之間的業務調度、檢測效率提升和計算性能挖掘等。與此同時,一旦對多核技術駕馭不理想,如對多核運用得不夠平滑或兼容性不夠,那么由于核數的增加會帶來軟件核心設計的不斷變化,這就意味著需要為不同核數的SoC 處理器設計不同的軟件系統和驅動,由此將極有可能導致相互不兼容,4核、8 核、16 核、32 核等與軟件的不兼容。可以想象,如果技術上突破能力有限,而導致陷入如此尷尬境地,我們不難想象這對產品研發和供應者來說是個多大的災難。
駕馭多核 高效低碳 決勝信息網絡安全的未來
話說回來,如果能成功駕馭多核,那么我們能帶給信息安全產業的將是一種革新。
首先,從功能上來講,SoC多核處理器不失x86 處理器的靈活性,便于快速響應信息安全的應用層檢測需求;其次,SoC 多核處理器通過協處理器的概念將“軟件特性硬件化”處理,在設計上奠定了多核平臺的高性能基礎。更為重要的是,計算性能隨核數的線性增長將完全突破信息安全產品發展的性能瓶頸,隨著核數的倍增,多核的計算性能也將成倍數增長,計算能力的提升是支撐安全產業發展的基礎。
第二,多核架構在支撐高性能的同時,帶來的另一個卓有成效的經濟效益就是低碳、節能。
對信息安全產品而言,減排、低功耗是實現“低碳經濟”最主要的節能目標。多核架構的主要優勢為一顆芯片上集成了多個核,核與核之間可以協同工作,同時在各個核周邊還集成了豐富的安全協處理硬件,如硬件加密、正則匹配和應用加速等,以及高集成度的特點簡化了整體硬件板卡的復雜度和能耗。同樣的應用,對于X86 通用硬件平臺,需要1顆甚至多顆高頻率CPU,同時需要南北橋芯片組、通過PCI 擴展的硬件加速板卡或應用加速卡等,一系列配套芯片設計使能耗遠遠高于同檔次多核SoC 專用硬件平臺。
在高效能、低碳排放的同時,多核架構帶給信息安全產業的另一個附帶優勢為高質量。高度集成的SoC 處理器降低了硬件平臺的整體復雜度,硬件的簡化促使故障率可以降低到1%以下(x86平臺故障率通常為5%以上),達到電信級標準。
中國多核安全產品起航
如前所述,毫無疑問,運用多核提升計算處理能力已經成為安全產品的必由之路,那么目前業內對于多核的應用和產業化程度如何呢?
據了解,全球可提供全系列多核的芯片廠商主要有兩家,分別為CAVIUM 和RMI(2009 年6月被NetLogic 收購)。CAVIUM的優勢在于核數多(目前最高16核)、并行性好,同時協處理特性(安全特性的硬件加速)支持得非常完美,這更有利于提升應用層的計算能力;RMI 的優勢在于芯片主頻高,內部總線和分布式內存結構更優化,更有利于提升網絡層計算能力。在國外,多核發展的腳步比國內領先1-2 年,像Cisco、Juniper、CheckPoint、SonicWall 等主流安全廠商已基本完成了多核駕馭的技術積累并開始向多核計算時代邁進。
在我們國內信息安全領域,2008 年5 月, 啟明星辰最早發布了其基于CAVIUM 16 核的萬兆一體化安全網關USG-10000E,成就了國內第一臺真正意義的萬兆UTM 產品,其中防火墻性能可達到25G,IPS 性能可達到11.7G。緊接著的幾個月后,Netscreen 創業者之一在國內成立的信息安全廠商山石網科(Hillstone)和聯想網域也先后推出基于CAVIUM、RMI 方案的多核萬兆級安全網關,實現了高性能的防火墻特性。據悉天融信也在多核領域積極投入,不過目前尚未看到基于多核的產品推出。
在國內,這種萬兆應用層檢測性能的實現,預示著中國信息安全廠商已突破重重難題,具備了成功駕馭多核計算的能力。無論是老牌廠商還是后起之秀,均在多核領域發力,眾多廠商的紛紛參與,將不斷促進國內信息安全領域向多核時代遷移,國內多核計算應用的產業化開始形成。
至此, 有專家稱, 預計到2012 年,國內信息安全領域多核計算應用的產業化將完全形成,并與世界接軌。在信息化飛速發展的今天,國內信息安全領域究竟誰能最終駕馭多核計算,決勝安全未來,讓我們共同拭目以待。
京公網安備 11010502049343號