防火墙产品经过十多年的发展,不同品牌的产品在满足实际应用的功能上差别越来越小,但是随着网络带宽的发展,网络上应用数据的急速增加,尤其是音频、视频、P2P应用、远程协作等数据的大量涌现对防火墙产品尤其是高端防火墙产品在低延迟、大并发、高转发能力、系统可靠性方面提出了更高的要求。本文重点分析高端防火墙产品面临的挑战以及不同技术实现方案应对当前挑战的优缺点。
为了保障网络出口的高可用性,很多单位,尤其是高校、政府、大型企业、行业单位等都大型企事业网络会在广域网络出口部署多条线路,以便提供高可靠性的网络访问和对不同网络资源访问的速度,这在状态包过滤的基础上进一步对防火墙提出了策略路由、NAT等网络层面的功能要求。
数据集中是当前大型企事业网络IT应用系统发展的热点和趋势,集中的不仅仅是业务数据还包括大量的E-learning、邮件、文件、视频资料等,这些业务对于网络的时延非常敏感;同样对时延敏感的业务还有VoIP系统,尽管大的行业、企业部署VoIP系统的速度并不像之前预期的那么热烈,但是各种IM系统提供的语音功能正在成为很多职场中人沟通的有效手段。
数据集中,企业IT系统建设,Internet上丰富的数据资源,基于web的各种应用的流行,比如网络相册、网络硬盘、Blog等都导致了任何一个网络在每天都有一段时间出现集中的大量访问的状况,最典型的就是高校,在下课、饭后的时间点上,几乎每一台电脑都在利用网络浏览页面、游戏、看电影、联系朋友,企业里面则是每天上班的一段时间,每个人的MSN, QQ, Gtalk等开始登录,浏览新闻。这种应用特点对防火墙带来的要求就是快速的建链速度和高并发连接容量,以及基于内容的访问控制以避免P2P等应用对带宽的占用。
总结来看,高端应用对防火墙提出的应用要求就是更高、更快、更强,100万并发连接,几个千兆的线速转发,2万新建连接,微妙级延迟已经是常见规格要求。面对如此高要求,业界各厂商也提出了各种不同的技术产品解决方案,现在常见的包括一下四种方案:基于X86系统、基于NP+CPU、基于多核系统、基于ASIC+CPU。
传统的防火墙厂商大多基于X86系统和软件来构建目前流行的硬件防火墙系统,这种系统的特点是软件功能丰富,通过扩大内存也能提供百万级别的并发连接数量,强劲的CPU和精巧的软件设计也能实现很好的功能规格和新建连接速度,但是这种产品受其体系结构的影响,线速转发尤其是小包千兆线速转发和低延迟方面是其弱项。
基于NP+CPU的架构更像是一种网络转发解决方案,能够提供较好的延迟和转发性能,但是对于规则众多的防火墙应用其紧缺的微码资源是最大的限制,CPU与NP之间的通信对于新建连接速度也有一定的影响。
本文所指多核平台特指以Cavium为代表的芯片厂商极力推动的多核网络安全平台方案,这种系统大多对加密处理提供了专门的处理器,因此在VPN应用性能上有较好的表现,他们也针对网络安全应用为设备生产商提供定制的操作系统软件平台,但是专业的网络安全厂商的软件向多核平台移植的风险和成本以及平台本身的成熟度是要考虑的因素。网络安全应用中相对密集的计算对多核系统中相对较低的主频和处理能力是需要验证的一个关键技术。从目前来看,在不同大小IP包的转发性能上的巨大落差是其技术特性导致的一个最大的弱点。
ASIC+CPU这种架构已经被Netscreen的系列防火墙产品的成功验证,但是如前所述,网络应用的发展对防火墙产品提出了更多的要求,如何设计新的ASIC满足网络安全需求的发展是当前此种架构面临的主要问题。
针对高端防火墙产品面临的挑战,凹凸科技研发了新一代的网络安全ASIC芯片――Sentinel系列,该芯片系列最高具备5G的各种大小IP包的线速转发能力,可以在芯片中提供150万并发连接、策略路由、NAT、IPsec等网络和安全功能且不影响系统的转发性能,而且能够提供5-13微妙的业内最低级别延迟。这些特性是之前的ASIC方案所不能提供的,优秀的功能和性能特性使Sentinel能够轻松应对网络应用对低延迟、大并发、快速建链和高转发能力的需求。
凹凸科技基于自主知识产权的Sentinel系列芯片设计了SifoWorks系统防火墙系统(SifoWorks M526/M326/E800/E600/E400/D300/D200/D100),并在中国、东南亚、台湾、美国等地取得了广泛的应用,其在中国一些高校的核心网络和出口的安全防护应用证明了芯片指标的真实有效性和系统的稳定性。可见,Sentinel系列ASIC芯片代表了当前网络安全业界在ASIC+CPU解决方案上的国际领先水准,基于其研发的防火墙系统能够轻松满足大型企业、高校、电子政务网络等大型网络的网络安全防护要求,保障业务应用安全顺畅的开展。
