隨著信息化應(yīng)用的不斷深入和網(wǎng)絡(luò)時(shí)代的不斷演進(jìn),海量信息的遠(yuǎn)距離傳輸需求更加凸顯出眾多IT 產(chǎn)品對(duì)兼?zhèn)涠喙δ芎透咝阅軆煞矫娴脑V求。網(wǎng)絡(luò)安全產(chǎn)品也是如此。
早在2008 年5 月,國(guó)內(nèi)知名的網(wǎng)絡(luò)安全廠商啟明星辰公布,成功駕馭CAVIUM 16 核MIPS多核處理器為核心的萬兆高性能平臺(tái),使其安全產(chǎn)品性能提升10倍。此舉也實(shí)現(xiàn)了國(guó)內(nèi)真正意義上萬兆UTM 產(chǎn)品零的突破,達(dá)到國(guó)際領(lǐng)先水平。隨后,國(guó)內(nèi)山石網(wǎng)科、聯(lián)想網(wǎng)御等安全廠家也陸續(xù)推出了自己的高性能多核平臺(tái),掀起了多核計(jì)算在國(guó)內(nèi)信息安全領(lǐng)域性能提升技術(shù)革新的層層波瀾。MIPS 多核2 年前的這項(xiàng)突破性技術(shù),如今已進(jìn)入規(guī)模商用的階段。這種MIPS 多核技術(shù)與高性能的突破,促使信息安全擁有了更廣闊的應(yīng)用空間。
那么,究竟傳統(tǒng)的很多安全產(chǎn)品都在面臨哪些性能挑戰(zhàn)?為何用MIPS 多核來取代十多年以來安全產(chǎn)品更通用的x86 計(jì)算平臺(tái)滿足更大的發(fā)展需要?以及國(guó)內(nèi)目前對(duì)MIPS 多核計(jì)算的運(yùn)用和產(chǎn)業(yè)化進(jìn)入了什么樣的發(fā)展階段?如此種種,就讓我們一起來了解和分享以下內(nèi)容:
大幅提升性能 信息安全必然發(fā)展趨勢(shì)
我們知道,任何安全技術(shù)與應(yīng)用的發(fā)展都離不開對(duì)計(jì)算資源的占用。那么,從這個(gè)角度來說,網(wǎng)絡(luò)病毒檢測(cè)、入侵檢測(cè)、入侵防御以及信息數(shù)據(jù)安全等很多環(huán)節(jié),都離不開對(duì)網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容的分析。而除了我們通常所了解的算法優(yōu)化能帶來高效的計(jì)算外,對(duì)硬件計(jì)算資源的消耗正在隨著網(wǎng)絡(luò)容量、信息傳送量的增加而高速膨脹,以至于當(dāng)前絕大多數(shù)安全設(shè)備所引用的x86 通用計(jì)算平臺(tái)在不借助其他加速組件的方式下,幾乎無法滿足高性能的內(nèi)容運(yùn)算,并且性能和效率也都難以達(dá)到每秒超過2G 以上在線數(shù)據(jù)運(yùn)算量。在網(wǎng)絡(luò)帶寬和信息量高速膨脹的今天,這樣的運(yùn)算效率僅僅只能滿足局部應(yīng)用需求。
那么,在這樣的一個(gè)非?,F(xiàn)實(shí)的發(fā)展趨勢(shì)下,如想持續(xù)地保障信息內(nèi)容的安全,就會(huì)發(fā)現(xiàn),各類安全設(shè)備及設(shè)施現(xiàn)有X86 通用計(jì)算平臺(tái)的計(jì)算能力都遠(yuǎn)遠(yuǎn)跟不上這一發(fā)展趨勢(shì),而未來也必然會(huì)面對(duì)越來越巨大的性能瓶頸和安全應(yīng)用需求所帶來的挑戰(zhàn)。
因此,性能的大幅提升是信息安全未來發(fā)展的必然趨勢(shì)。
兩大因素制約傳統(tǒng)性能提升
通常來講,以往在為數(shù)不多的面對(duì)大容量計(jì)算需要時(shí),我們常會(huì)采取分流分布式計(jì)算來解決,也就是將一個(gè)較大的網(wǎng)絡(luò)流量分流為若干個(gè)小流量,采取分而治之的方式來完成對(duì)數(shù)據(jù)內(nèi)容進(jìn)行各類安全性檢查,并進(jìn)行必要分析與實(shí)時(shí)運(yùn)算。
顯然,在運(yùn)算性能不具備的條件下,分布式計(jì)算方式是無奈之舉,但是它帶來了較大的管理成本和維護(hù)壓力。更重要的是大多數(shù)企業(yè)用戶根本無法接受這樣的應(yīng)用方式,更多的企業(yè)級(jí)用戶,在面對(duì)大流量下的安全需求時(shí),更多是選擇了“等待”,等待著更快、更安全的產(chǎn)品出現(xiàn)和成熟。
那么,一個(gè)很顯然的問題就出現(xiàn)了——信息安全設(shè)備為什么不能像網(wǎng)絡(luò)通信設(shè)備那樣,引用高性能的網(wǎng)絡(luò)處理器或ASIC 達(dá)到與網(wǎng)絡(luò)速度類似的處理效率呢?簡(jiǎn)單分析一下會(huì)發(fā)現(xiàn),這其中最根本原因主要有兩方面:
一方面,是客觀技術(shù)的制約,相比僅僅處理網(wǎng)絡(luò)局部信息(大多數(shù)是頭信息)、而不分析數(shù)據(jù)內(nèi)容的網(wǎng)絡(luò)通信設(shè)施而言,信息安全設(shè)備對(duì)信息內(nèi)容的分析深度、廣度比網(wǎng)絡(luò)通信設(shè)備要復(fù)雜得多,甚至還要分析數(shù)據(jù)內(nèi)容之間的關(guān)聯(lián)性。同理,對(duì)數(shù)據(jù)內(nèi)容進(jìn)行安全檢查的計(jì)算,永遠(yuǎn)比網(wǎng)絡(luò)數(shù)據(jù)傳送的計(jì)算要復(fù)雜得多,因?yàn)榫W(wǎng)絡(luò)中每個(gè)數(shù)據(jù)包的信息數(shù)據(jù)內(nèi)容往往是信息頭的10 倍~ 70 倍。
另一方面,是各類導(dǎo)致安全威脅的病毒、入侵行為都在利用計(jì)算機(jī)高級(jí)語言不斷更新以突破某種防護(hù),是因?yàn)檫@樣的效率更高,也因此每天都會(huì)有新的威脅誕生,而這種動(dòng)態(tài)性和不確定性的存在,使得幾乎所有關(guān)注分析信息和數(shù)據(jù)內(nèi)容的信息安全設(shè)備也必須在開放的運(yùn)算平臺(tái)上基于高級(jí)語言搭建的運(yùn)算系統(tǒng)來工作,是因?yàn)橹挥羞@樣構(gòu)建的安全系統(tǒng)才有靈活的升級(jí)能力,從而也才能與安全的動(dòng)態(tài)性和不確定性進(jìn)行對(duì)抗。因此,大多數(shù)關(guān)注信息內(nèi)容的信息安全產(chǎn)品( 如UTM、IDS、IPS、審計(jì)等),必須利用高級(jí)的語言和開放的硬件運(yùn)算平臺(tái)才能完成對(duì)各類信息內(nèi)容的檢索和各類安全性檢查。
所以,要滿足未來信息安全產(chǎn)品適應(yīng)當(dāng)下信息高速膨脹的發(fā)展趨勢(shì),提升開放平臺(tái)的硬件性能,既是必然趨勢(shì)也是滿足未來應(yīng)用需求的關(guān)鍵要素。也就是在這樣一個(gè)開放性平臺(tái)應(yīng)用需求的驅(qū)動(dòng)力下,多核技術(shù)應(yīng)運(yùn)而生。
超越x86 選擇多核SoC
需要說明的是, 剛才所說的多核并不是基于X86 的2 核、4 核這樣的CPU, 而是在網(wǎng)絡(luò)、安全設(shè)備上最新使用的基于MIPS64 的多核SoC(System onChip)處理器,此類多核SoC 處理器目前可支持到16 核,并還在隨著安全計(jì)算需求的不斷增加而繼續(xù)提升。
相比x86、NP、ASIC 硬件平臺(tái),SoC 多核平臺(tái)的最大優(yōu)勢(shì)是保留了x86 平臺(tái)的高靈活性(這一點(diǎn)對(duì)于安全設(shè)備的應(yīng)用層檢測(cè)非常關(guān)鍵),并且具備與ASIC平臺(tái)相當(dāng)?shù)母咛幚硇阅?。同時(shí),SoC 通過增加核數(shù),使線性提升硬件計(jì)算能力成為了可能,更重要的是功耗也隨之得到了控制。
惟一具有挑戰(zhàn)性的是,傳統(tǒng)的X86 平臺(tái)屬于通用硬件平臺(tái),具有開發(fā)難度小的優(yōu)勢(shì),而SoC多核平臺(tái)屬于專用硬件平臺(tái),駕馭難度相當(dāng)高??梢哉f,全球范圍內(nèi)能自如駕馭多核技術(shù)的廠家不足10 家,而且多為國(guó)際性技術(shù)領(lǐng)先的大廠家,國(guó)內(nèi)一直到啟明星辰2008 年成功駕馭多核并發(fā)布自主研發(fā)的基于16 核的萬兆UTM 時(shí)才填補(bǔ)了這塊空白。
這的確是一個(gè)痛處。因?yàn)?,?duì)于很多廠家而言,實(shí)現(xiàn)對(duì)多核系統(tǒng)真正意義上的駕馭還是一個(gè)國(guó)際性的難題,尤其是計(jì)算性能的提升,如是否能隨核數(shù)的增多而達(dá)到線性的增長(zhǎng)。這其中需要各個(gè)廠商在多核硬件的基礎(chǔ)上作大量的原創(chuàng)性設(shè)計(jì),包括重構(gòu)操作系統(tǒng)、多核之間的業(yè)務(wù)調(diào)度、檢測(cè)效率提升和計(jì)算性能挖掘等。與此同時(shí),一旦對(duì)多核技術(shù)駕馭不理想,如對(duì)多核運(yùn)用得不夠平滑或兼容性不夠,那么由于核數(shù)的增加會(huì)帶來軟件核心設(shè)計(jì)的不斷變化,這就意味著需要為不同核數(shù)的SoC 處理器設(shè)計(jì)不同的軟件系統(tǒng)和驅(qū)動(dòng),由此將極有可能導(dǎo)致相互不兼容,4核、8 核、16 核、32 核等與軟件的不兼容??梢韵胂螅绻夹g(shù)上突破能力有限,而導(dǎo)致陷入如此尷尬境地,我們不難想象這對(duì)產(chǎn)品研發(fā)和供應(yīng)者來說是個(gè)多大的災(zāi)難。
駕馭多核 高效低碳 決勝信息網(wǎng)絡(luò)安全的未來
話說回來,如果能成功駕馭多核,那么我們能帶給信息安全產(chǎn)業(yè)的將是一種革新。
首先,從功能上來講,SoC多核處理器不失x86 處理器的靈活性,便于快速響應(yīng)信息安全的應(yīng)用層檢測(cè)需求;其次,SoC 多核處理器通過協(xié)處理器的概念將“軟件特性硬件化”處理,在設(shè)計(jì)上奠定了多核平臺(tái)的高性能基礎(chǔ)。更為重要的是,計(jì)算性能隨核數(shù)的線性增長(zhǎng)將完全突破信息安全產(chǎn)品發(fā)展的性能瓶頸,隨著核數(shù)的倍增,多核的計(jì)算性能也將成倍數(shù)增長(zhǎng),計(jì)算能力的提升是支撐安全產(chǎn)業(yè)發(fā)展的基礎(chǔ)。
第二,多核架構(gòu)在支撐高性能的同時(shí),帶來的另一個(gè)卓有成效的經(jīng)濟(jì)效益就是低碳、節(jié)能。
對(duì)信息安全產(chǎn)品而言,減排、低功耗是實(shí)現(xiàn)“低碳經(jīng)濟(jì)”最主要的節(jié)能目標(biāo)。多核架構(gòu)的主要優(yōu)勢(shì)為一顆芯片上集成了多個(gè)核,核與核之間可以協(xié)同工作,同時(shí)在各個(gè)核周邊還集成了豐富的安全協(xié)處理硬件,如硬件加密、正則匹配和應(yīng)用加速等,以及高集成度的特點(diǎn)簡(jiǎn)化了整體硬件板卡的復(fù)雜度和能耗。同樣的應(yīng)用,對(duì)于X86 通用硬件平臺(tái),需要1顆甚至多顆高頻率CPU,同時(shí)需要南北橋芯片組、通過PCI 擴(kuò)展的硬件加速板卡或應(yīng)用加速卡等,一系列配套芯片設(shè)計(jì)使能耗遠(yuǎn)遠(yuǎn)高于同檔次多核SoC 專用硬件平臺(tái)。
在高效能、低碳排放的同時(shí),多核架構(gòu)帶給信息安全產(chǎn)業(yè)的另一個(gè)附帶優(yōu)勢(shì)為高質(zhì)量。高度集成的SoC 處理器降低了硬件平臺(tái)的整體復(fù)雜度,硬件的簡(jiǎn)化促使故障率可以降低到1%以下(x86平臺(tái)故障率通常為5%以上),達(dá)到電信級(jí)標(biāo)準(zhǔn)。
中國(guó)多核安全產(chǎn)品起航
如前所述,毫無疑問,運(yùn)用多核提升計(jì)算處理能力已經(jīng)成為安全產(chǎn)品的必由之路,那么目前業(yè)內(nèi)對(duì)于多核的應(yīng)用和產(chǎn)業(yè)化程度如何呢?
據(jù)了解,全球可提供全系列多核的芯片廠商主要有兩家,分別為CAVIUM 和RMI(2009 年6月被NetLogic 收購)。CAVIUM的優(yōu)勢(shì)在于核數(shù)多(目前最高16核)、并行性好,同時(shí)協(xié)處理特性(安全特性的硬件加速)支持得非常完美,這更有利于提升應(yīng)用層的計(jì)算能力;RMI 的優(yōu)勢(shì)在于芯片主頻高,內(nèi)部總線和分布式內(nèi)存結(jié)構(gòu)更優(yōu)化,更有利于提升網(wǎng)絡(luò)層計(jì)算能力。在國(guó)外,多核發(fā)展的腳步比國(guó)內(nèi)領(lǐng)先1-2 年,像Cisco、Juniper、CheckPoint、SonicWall 等主流安全廠商已基本完成了多核駕馭的技術(shù)積累并開始向多核計(jì)算時(shí)代邁進(jìn)。
在我們國(guó)內(nèi)信息安全領(lǐng)域,2008 年5 月, 啟明星辰最早發(fā)布了其基于CAVIUM 16 核的萬兆一體化安全網(wǎng)關(guān)USG-10000E,成就了國(guó)內(nèi)第一臺(tái)真正意義的萬兆UTM 產(chǎn)品,其中防火墻性能可達(dá)到25G,IPS 性能可達(dá)到11.7G。緊接著的幾個(gè)月后,Netscreen 創(chuàng)業(yè)者之一在國(guó)內(nèi)成立的信息安全廠商山石網(wǎng)科(Hillstone)和聯(lián)想網(wǎng)域也先后推出基于CAVIUM、RMI 方案的多核萬兆級(jí)安全網(wǎng)關(guān),實(shí)現(xiàn)了高性能的防火墻特性。據(jù)悉天融信也在多核領(lǐng)域積極投入,不過目前尚未看到基于多核的產(chǎn)品推出。
在國(guó)內(nèi),這種萬兆應(yīng)用層檢測(cè)性能的實(shí)現(xiàn),預(yù)示著中國(guó)信息安全廠商已突破重重難題,具備了成功駕馭多核計(jì)算的能力。無論是老牌廠商還是后起之秀,均在多核領(lǐng)域發(fā)力,眾多廠商的紛紛參與,將不斷促進(jìn)國(guó)內(nèi)信息安全領(lǐng)域向多核時(shí)代遷移,國(guó)內(nèi)多核計(jì)算應(yīng)用的產(chǎn)業(yè)化開始形成。
至此, 有專家稱, 預(yù)計(jì)到2012 年,國(guó)內(nèi)信息安全領(lǐng)域多核計(jì)算應(yīng)用的產(chǎn)業(yè)化將完全形成,并與世界接軌。在信息化飛速發(fā)展的今天,國(guó)內(nèi)信息安全領(lǐng)域究竟誰能最終駕馭多核計(jì)算,決勝安全未來,讓我們共同拭目以待。