整個互聯網市場以及互聯設備正在以極快的速度演進,各種各樣的病毒、網站漏洞、垃圾郵件、釣魚網站等網絡安全問題也在不斷涌現,用戶的網絡系統正在面臨著復合型的網絡安全威脅,防護需求也從傳統的四層發展到七層。不僅如此,數據處理的流量和流程也在增加。互聯網已經從過去的千兆、萬兆發展到了如今的40G甚至100G,不斷挑戰網絡安全設備的處理能力。另外,要實現全七層防護,就必須實現對數據的深度檢測和還原,只有這樣才能有效檢測數據中的病毒、木馬等應用層威脅。
因此網絡安全行業需要考慮通過新的方式來解決安全和性能問題。對于用戶來說,網絡安全產品一定是既可以保證檢出率又可以保證性能的,而在安全解決方案提供商方面,如果輸出的網絡安全設備能夠有出色的基礎架構作為支撐,那么滿足用戶的一切需求都不在話下。
中央處理器作為硬件架構的核心單元,在整個基礎架構中扮演著舉足輕重的地位。網絡安全設備之所以會出現性能瓶頸,很大程度上是由于CPU單元的表現力不足,導致占用率居高不下。縱觀整個芯片市場,Intel無疑是當之無愧的霸主,尤其是在服務器領域。但是在網絡安全設備市場,眾多領軍企業卻基本都將Intel架構的處理器作為應用處理和整體調度的核心,而少有廠商將其作為網絡數據包轉發的核心使用。在這其中,即有廠商船大難掉頭的原因,也有Intel方面的問題。但是最近筆者卻發現Intel不但通過風河大力推廣Intel DPDK(Intel數據平面開發套件),而且還在緊鑼密鼓地與眾多網絡和安全廠商進行合作,在網絡市場不斷推出新產品。然而,筆者卻更加關心Intel在網絡安全硬件市場以怎樣的手段來籠絡眾多安全廠商的心。為此,筆者采訪了Intel通信和存儲基礎架構事業部部門經理Bob Ghaffari以及Intel通信和存儲基礎架構事業部首席工程師和架構師Praveenn Mosur,與二位專家對于Intel在網絡安全領域能做的事情展開了深入到探討。
應用、控制、數據轉發平臺需要三合一
Ghaffari談到:“研究當今網絡基礎架構面臨的挑戰會發現,我們使用的物理設備紛繁復雜。例如,防火墻、入侵檢測、路由器、負載均衡器、基本的 Web 應用防火墻等網絡中的各類設備。我們面臨的挑戰在于:在網速不斷提升的同時如何創建高性能的環境,以及如何在提高網絡相應速度的同時確保其安全性,以及擺脫小眾化,這是因為對小眾化網絡進行編程是一件很困難的事情。你一定希望輕松、高效地解決這些威脅。”
事實上,網絡安全技術基本可分為三個層面,即應用層面、控制層面和數據轉發層面。如果能有一種可無縫解決當前所有挑戰的架構,對于眾多安全廠商來說豈不樂哉。從過往表現來看,應用層面和控制層面的處理是Intel架構芯片的看家本領。因此業界需要解決的一大問題是如何加快數據層面處理速度。一直以來,業界都希望使用網絡處理器或專用芯片來加快數據包處理速度,但是這樣其實還是數據轉發層面獨立在應用和控制之外,不能達到完全整合。若是Intel芯片也可以做到快速的數據包處理,那么眾多安全廠商還有什么可猶豫的呢?
Ghaffari向筆者解釋道:“只需使用一種架構,便可有效處理應用、控制和數據層面的任務是有很大益處的。首先,它更容易編程,可幫助安全企業更輕松地提供 IT 人員或電信人員需要的解決方案,并獲得速度和安全保障。處理速度的加快意味著性能將會非常出色,并能幫助您提升網絡性能。大家都希望一面有效地對網絡進行保護,另一方面又不希望網絡運行太慢。我認為重要的是有一款產品能夠高效處理應用、控制和數據層面的任務。Intel的不凡之處在于解決了如何利用單一架構完成這一系列任務的問題。Intel過去針對應用和控制使用內部架構,而網絡處理器用于 IXP 產品線的數據層面處理。但是幾年前Intel就已經能夠在一個架構上處理所有任務。我們在Intel架構數據包處理方面進行了大量的投入,將Intel DPDK打造為重要基礎,使Intel架構比數據層面應用的網絡處理器運行更快。因此,快速的數據層面處理,加上用于應用和控制處理的強大Intel架構,這款出色的技術解決方案可解決網絡挑戰。”
Intel DPDK提供160GB DPI性能
過去業界在使用Intel架構時遇到了數據包處理性能的問題。那么Intel到底采取了怎樣的措施能夠讓Intel有如今的“底氣”呢?據了解,Intel幾年前就已改進了微架構及處理器的功能,集成了內存控制器,還在早期版本的Intel DPDK 上進行了投資。2009 年,Intel使用了Nehalem 架構使性能獲得大幅的提升。在隨后的2010年和2011年Intel又取得了重大進展,將 PCI Express控制器集成到處理器中,并將Intel DPDK 庫升級到版本 1.1。又在去年(2012年)升級到了新版的Intel DPDK,進一步大幅提升了數據包處理性能。Intel通信和存儲基礎架構事業部首席工程師和架構師Praveenn Mosur進一步解釋道:“英特爾架構和 DPDK 具備出色的性能,基于 Sandy Bridge 架構可在標準英特爾平臺上獲得 160GB 深度數據包檢測(DPI) 的吞吐量。因此,網絡安全設備可以快速地進行數據包處理,特別是快速進行 DPI,這對于以DPI為主的上網行為管理以及下一代防火墻來說簡直是最大的福音,可以輕松解決性能不足的問題。”
Ghaffari繼續談到:“Intel的優勢在于制造能力及新產品推出的連續性,Intel每年都會推出全新的芯片產品。我們會定期發布新版軟件,以確保及時增強 DPDK 庫。而且我們每年都會根據著名的 Tick-Tock 開發模式推出新的產品。目前來說,高性能數據處理都源于 22納米Sandy Bridge 架構。不久,我們將升級至下一代 Tick —Ivy Bridge。在 Tick- Tock 開發模式下,我們將提供基于老一代制程技術的新功能、新微架構,或提供基于新制程技術的相同微架構。因此,在 Sandy Bridge 升級至 Ivy Bridge 的過程中,我們將保留相同的微架構,在微架構中增加一些增強特性,但更重要的是,我們會借助新的制程技術進行升級,以幫您提升性能、降低功耗和改進功能。在利用 Tick-Tock 功能方面,任何廠商都不能與我們相媲美。”
隨著Intel DPDK的發展,被稱為Crystal Forest的下一代平臺也從幕后走到臺前。除了上面描述過的對于數據轉發的大幅提升外,在這個新平臺中還有一個非常重要的新特性,即QuickAssist 技術。QuickAssist 技術為業界提供了一種軟件編程模式,可利用英特爾在微處理器領域的特性及功能,從而提高加密、解密、壓縮、解壓縮等操作的速度。 Cave Creek芯片組基于Xeon協處理芯片,它可幫助卸載處理器上的內容,去掉特定的外設并添加新的單元,是帶有加密、壓縮和固定字符串和正則表達式模式匹配的硬件加速器。能夠大幅提升 SSL或 IPSec的處理速度或者處理大量壓縮-解壓縮任務及提升網絡帶寬的使用效率。筆者認為,Cave Creek 作為加速器在中端市場可以用來替代目前比較主流的Cavium Octeon。
在當前的發展過程中,部署通用架構已經成為一種趨勢,整個業界都渴望使用該架構高效處理應用、控制、數據層面的任務。尤其是當數據中心等地部署虛擬化防火墻時,若是出口安全網關和服務器內部虛擬防火墻都采用相同的架構,對于安全的運維和管理其實是百利而無一害的。Intel多年來悉心打造的生態系統已經非常龐大,提供從高性能到低性能的不同產品,基于高性能的至強處理器以及基于低價、低功耗的凌動處理器的解決方案。Intel可提供各種解決方案來滿足用戶不同的需求。基礎架構解決方案必須提供所需的重要安全功能。不論物理設備還是虛擬設備,英特爾都能提供卓越的性能和非凡的功能,特別是對于企業中的虛擬設備用途,或是軟件定義網絡 (SDN)、部署可快速運行的網絡安全和虛擬設備功能和解決方案,都是英特爾能夠提供的重要功能。
雖然網絡安全行業的眾多領導廠商可能并未在其產品上全面采用Intel架構,依然是一些“多核”家族的忠實擁簇者,但是卻無法回避性能日趨飽和,產品更新速度慢的現狀。不論是否對x86依然抱有激情,Intel都憑借強大的資源實力以及深厚的技術積累,攜最新的Intel DPDK、Crystal Forest平臺以及22nm/14nm的Ivy Bridge/Haswell 架構處理器,在網絡安全市場殺了一記漂亮的回馬槍。
京公網安備 11010502049343號