圖1 云計算環(huán)境下虛擬化資源池示意圖
3) 高端用戶對高性能安全產品的現(xiàn)實需求
部分網絡承載的用戶數(shù)目比較大��,應用種類比較豐富����、用戶對服務器訪問的帶寬也比較充足����,存在周期性高突發(fā)流量���、應用系統(tǒng)要求低延時等����,需要有高性能的防火墻等安全產品進行支撐。
典型如部分電信運營商���,其在自身網絡安全加固及數(shù)據(jù)中心增值業(yè)務建設過程中需要部署高端的防火墻����,尤其是未來在大型的內容服務提供商(如網絡游戲等)可能進入IDC,將導致IDC的出口帶寬大幅增加到100G的級別�,此時為了給租戶提供更好的網絡環(huán)境,杜絕更多的非法訪問和可能的安全攻擊���,具備上百G性能及高密度10GE接口能力的高端安全產品如防火墻成為了必然選擇�����。
在金融行業(yè)���,按照數(shù)據(jù)大集中的要求,各大銀行紛紛開始按照兩地三中心的模式建設高性能高可靠的數(shù)據(jù)中心網絡���,此時為了確保數(shù)據(jù)中心的安全訪問�����,對高性能的安全產品尤其是防火墻產品提出了額明確的需求�����。
在教育行業(yè)���,部分高校用戶的學生規(guī)模擴張到數(shù)萬人以上����,學生PC終端擁有量上升���,這將產生大流量的數(shù)據(jù)訪問����,包括很多針對校內應用資源諸(如視頻會議��、多媒體網絡教學�、VOD點播���、數(shù)字圖書館及科研等)的訪問��,在建設萬兆以太網進行業(yè)務承載的同時�����,校園的安全防護也需要有高性能的防火墻進行保障�����。
歸結起來���,單設備超高性能的安全產品如100G防火墻�����,相比較分散的中低端性能的安全產品�,可以有效降低網絡部署的復雜度��,減少網絡可管理的節(jié)點數(shù)目�,保證用戶的網絡快速安全和可靠。
(二) 100G安全產品實現(xiàn)的關鍵點
1) 分布式設計模型下的關鍵模塊構成
對于超高性能的防火墻等安全產品而言��,單純的集中處理模式已經難以滿足性能設計的要求�����,分布式架構成為大勢所趨����,尤其是對于需要進行報文深度檢測的產品如 IPS入侵防御設備等����?;谶@種分布式的架構,獨立的雙主控單元���、高性能的業(yè)務處理引擎單元�、多種規(guī)格的GE/10GE接口模塊���,高性能的分流模塊是其關鍵的組成部分����。
在雙主控實現(xiàn)方面���,現(xiàn)有的高端安全產品(現(xiàn)階段主要是防火墻產品)對于可靠性的要求是保持轉發(fā)層面的不中斷�,要求實現(xiàn)兩臺設備之間的會話信息和配置信息的同步����,設備的任何故障包括主控模塊的處理故障都將觸發(fā)這種雙機的切換����。但是在100G防火墻產品級別�����,主控模塊的價值體現(xiàn)在控制協(xié)議的學習����,路由表項的學習下發(fā)�����,各業(yè)務模塊之間的流量均衡調度和設備的統(tǒng)一管理等���,其本身的功能也有較高的本地可靠性保障的需求�,因此本機雙主控模塊將進一步增強系統(tǒng)內部的故障備份���,配合已有的雙機熱備技術���,可以提升系統(tǒng)的可靠性水平。
同時�����,高效的I/O接口模塊或者是高性能的分流模塊,也是其區(qū)別中低端防火墻的重要差別�。尤其是在大規(guī)模的流量到達設備后,需要通過靈活的分流策略�,將報文均衡調度到不同的安全業(yè)務模塊,才能保證分布式的報文處理效率�����。為此��,這些I/O接口模塊或者是專業(yè)的分流模塊�,需要支持針對IP多元組的預配置分流策略,或者是自動的分流分配機制���,確保流量分配的均衡性����,以及該流量往返路徑的一致性���。只有這樣����,每個業(yè)務處理引擎單元才能檢測到單條流的完整會話過程�,從而根據(jù)該條流的首個報文建立起正確的會話表項,為后續(xù)的轉發(fā)奠定基礎�。
最后,對于高端的安全設備而言��,安全業(yè)務處理引擎的性能和表現(xiàn)����,對于整機是否能達到設計的性能和功能目標起著直接的決定作用,無論是防火墻產品還是入侵檢測等產品的核心處理環(huán)節(jié)都需要依賴該業(yè)務處理模塊��。對于防火墻和IPS入侵防御等產品�����,在進行該業(yè)務單元設計時��,需要考慮他們的業(yè)務處理流程上的差異����,合理的選擇該業(yè)務單元的關鍵器件,并將不同的業(yè)務環(huán)節(jié)劃分到不同的邏輯電路�,才能保證設計目標的實現(xiàn)。
2) 安全業(yè)務模塊的硬件選擇
如前所述���,安全業(yè)務模塊是產品的核心模塊����,其不但要承擔整個安全業(yè)務處理的各個環(huán)節(jié),還需要考慮到系統(tǒng)的性能設計目標��,也就是說����,該模塊不但要完整核心的軟件功能,還必須考慮做到超高的性能����,該單元的處理能力,直接決定了整機的性能�����。
基于系統(tǒng)的高性能的設計目標���,在對該硬件模塊進行電路設計時�����,需要結合當前的硬件技術的發(fā)展水平����,并結合當前可選的功能器件如NP處理器、ASIC器件�、FPGA邏輯電路����、多核處理器、通用CPU處理器�����、內容加速處理器的方案差異���,合理選擇適合的硬件設計方案�����。
目前較常用的方式是多核處理器和FPGA邏輯的配合�,隨著多核技術的迅猛發(fā)展���,無論是芯片內部“處理器核”的數(shù)量還是主頻都在不斷提高��,這為其高性能的業(yè)務處理能力提供了保障�����,同時由于多核產品對多業(yè)務流程處理的靈活性�����、功能的可擴展性和易用性(通用的C語言編程)����,因此成了中高端安全產品的首選。在高端防火墻和IPS等產品的設計過程中��,可以利用多核CPU充當安全處理引擎單元的慢路徑關鍵處理器�,承擔防火墻和IPS等產品的首包分析的工作,實現(xiàn)對會話的狀態(tài)檢測和表項下刷;而FPGA可以作為快路徑的主要處理單元����,在慢路徑將會話和轉發(fā)表現(xiàn)下發(fā)后,完成對報文的快速匹配和轉發(fā)���。從另外一個角度����,對于 IPS等深度報文檢測的產品而言�����,考慮到其需要提取報文的payload負載并進行大容量的特征庫匹配,為了做到高性能需要考慮配套專用的內容加速芯片�����,實現(xiàn)對特征庫基于正則表達式等形式的高速查找���。
因此可見多核、FPGA邏輯轉發(fā)以及專用的內容加速固定特征庫匹配器件��,是未來超高性能安全產品的重要選擇;
3) 業(yè)務處理引擎對于報文處理流程的層次化設計
作為系統(tǒng)的核心處理單元����,設備的安全業(yè)務處理引擎要想達到更高的性能,就必須不要純粹基于通用處理器進行轉發(fā)和處理流量��,而是要考慮將流量合理的卸載到其他的協(xié)處理器(諸如FPGA等器件)����,實現(xiàn)報文的硬件加速。
基于整個報文處理流程���,高端安全產品軟件設計可以劃分為軟件慢路徑�����、軟件快速路徑����、硬件加速三個層面。無論是對于防火墻產品還是IPS入侵檢測產品而言�,其本身的業(yè)務處理流程中,都存在可以利用硬件加速提升性能的處理環(huán)節(jié)�,典型如防火墻的會話快速轉發(fā)環(huán)節(jié),如IPS入侵防御產品的固有特征庫的快速查找匹配環(huán)節(jié)等����。對于這些可以直接通過硬件快速路徑處理后轉發(fā),對于已經明確處理策略的數(shù)據(jù)流通過軟件快速路徑進行加速處理���,剩余的其它數(shù)據(jù)流由軟件慢路徑進行深度解析處理����。
基于這種分層的設計思路����,不僅可以充分發(fā)揮專用硬件芯片的處理性能優(yōu)勢,也減輕了通用處理器的處理負擔���,使通用處理器可以有更多的資源來實現(xiàn)對關鍵流程如會話建立的處理效率����,保證業(yè)務模塊的性能均衡而高效。
(三) 100G安全產品的衡量標準
對于高端防火墻和IPS入侵防御等產品而言��,其超高的性能���、出色的可靠性和穩(wěn)定性�,靈活的組網能力和擴展性���、以及設備的綠色環(huán)保等方面,無疑是衡量其是否出色的重要指標;而基礎的性能指標參數(shù)����,以及關鍵特性的實現(xiàn)程度,無疑是對高端安全產品實現(xiàn)程度的最直接反映����,
1) 系統(tǒng)關鍵性能指標
系統(tǒng)的性能是對安全產品能力和網絡定位的最直接的反映。
對于防火墻產品而言��,常見的性能指標包括網絡的處理時延�,不同字節(jié)情況下設備的吞吐量指標�,以及單板或設備的應用層性能指標典型如每秒新建連接數(shù)和最大并發(fā)連接數(shù)等等�����。對于IPS產品而言�,除了上述參數(shù)之外,還應該包括特征庫的容量以及定期更新特征庫的能力����。基于現(xiàn)有的經驗數(shù)據(jù)���,性能出色的防火墻和IPS 等設備����,其網絡處理的延時平均值要控制在30us以內�,以保證快速處理諸如視頻語音等時延敏感型業(yè)務。
對于新一代防火墻產品�����,根據(jù)RFC的測試規(guī)范�����,在64bytes字節(jié)長度時,每單板的處理性能要求達到20Gbps吞吐量的水平���。對于那些宣稱大包 20Gbps性能的產品�,由于實際網絡中的流量不可能是全部由大包構成��,因此其在實際部署時會大打折扣���,并不能真正做到對20G實際流量的處理;對于 IPS產品而言�,在模擬真實環(huán)境���、保證對攻擊特征的高識別率的情況下的系統(tǒng)性能是否可以達到10Gbps的設計要求;在系統(tǒng)部署了多塊業(yè)務模塊的情況下�,整機的性能要求做到線性的增長�����,以實現(xiàn)對性能的平滑擴容���。同時,對于并發(fā)連接數(shù)/每秒新建連接數(shù)�,應用層吞吐量(HTTP、FTP�����、SMTP等業(yè)務)以及混合業(yè)務吞吐量等應用層信息指標,應該也有明確的要求���,這些應用層的性能指標可以作為系統(tǒng)在真實情況下的處理能力的最直接的參考��。
2) 關鍵特性的實現(xiàn)程度
除了性能指標之外�,高端防火墻和IPS等安全產品的關鍵特性的處理能力和實現(xiàn)程度�����,也是衡量設備是否成功的重要標準�。
如虛擬化的實現(xiàn),根據(jù)其典型的應用場合����,在數(shù)據(jù)中心多租戶共享的情況下,防火墻和IPS等安全設備的虛擬化能力是非常重要的指標���。要想做到真正的虛擬化并實現(xiàn)對設備資源的靈活分配和調整����,需要從以下幾個方面來進行衡量:設備可以支持的虛擬化數(shù)目,每個虛擬化實例的CPU的資源任意分配指定�、內存資源劃分定義、設備新建連接數(shù)目和并發(fā)連接數(shù)可以根據(jù)用戶的需求配置�、以及在每個虛擬實例下,各種安全策略的數(shù)目分配���、安全域的數(shù)目分配�、NAT資源的分配等等;對于IPS產品�,各虛擬實例的license特征庫可以單獨激活或升級。同時�,還需要考慮到針對各個虛擬設備進行獨立的配置管理的需要,需要考慮對各個虛擬設備的安全事件獨立分析和監(jiān)控的需要����。如果設備的虛擬化實現(xiàn)非常完整,才可以真正實現(xiàn)對設備資源的靈活調整;
(四) 結束語
現(xiàn)階段的高端安全產品如防火墻和IPS走向100G,應該還是在初期的階段����,市場的用戶需求還需要繼續(xù)挖掘和培育,產品的功能�����、性能和穩(wěn)定性等方面也還需要繼續(xù)完善和提升���,尤其是對IPS產品而言����,因為其本身在深度報文處理環(huán)節(jié)上的復雜性�����,相對防火墻還有更長的路要走�。隨著用戶需求的逐步成熟,產品技術的不斷進步����,安全產品的100G時代終將到來。
