编者按 曾经一段时间，UTM倍受产品功能多样性与性能矛盾的困扰，而今年5月底，国内信息安全企业启明星辰却在京宣布推出万兆多核UTM平台。此次产品的推出无疑具有标志性意义，它预示着国内厂商已经有能力解决困扰UTM发展的矛盾；也预示着启明星辰等国内安全厂商在多核UTM研发方面达到了国际领先水平。

    目前，启明星辰万兆多核UTM平台已经实现了防火墙和IPS功能，最高防火墙性能为25.45Gbps，最高IPS性能为11.74Gbps，均达到了万兆的水平，尤其是IPS万兆处理能力，代表了国内的最高水平，同时也是全球第二家达到此水平的厂商，进入了国际领导者行列。据介绍，该平台是基于Cavium多核技术开发的。经验丰富的专用产品开发团队，十余年入侵检测技术方面的积累，多年的UTM产品开发经验，使得启明星辰能够轻松驾驭多核平台。

    万兆UTM需求在哪里？

    2007年是中国UTM市场爆炸式增长的一年，增长率超过80%，下半年同比增长速度甚至超过了100%，用户对UTM产品的认知度和美誉度在不断攀升，UTM产品已经成为解决网络边界安全的首选产品。 

    作为国内的UTM领头羊企业，启明星辰从4年前进入UTM领域，一直把用户价值放在首位，致力于UTM产业的推进。2005年发布了第一代“叠加式”的UTM产品，2007年发布了 “一体化”的UTM产品，在传统x86平台上实现了较高的UTM性能，能够满足政府、中小企业用户的网络边界安全防护需求。启明星辰注意到，在高校、大企业、电信运营商等行业，用户对UTM也非常感兴趣，从功能的专业性而言完全可以满足这些行业用户的需求，但采购不踊跃，根本原因还是在于性能不足。例如对于高校用户，校园园区网之间往往是多个千兆甚至10G的链路，实际带宽通常是几个G，很大部分是P2P下载、病毒等流量，需要病毒、P2P控制等高级安全功能，但由于以前的设备不具备如此高的性能，用户只能放弃采用。

    早在2006年研发“一体化”UTM的时候，启明星辰就清晰地看到了这块需求，也就是从那个时候，开始对高端UTM产品的性能问题进行预研。经过近半年的预研，有了初步的结论：在目前现存的CPU、NP、ASIC、Multi-Core等硬件平台中，CPU性能低，NP性能适中开发难度大有些象鸡肋，ASIC难以实现应用层安全功能，而灵活性和性能兼备的多核成为最适合高端UTM产品的技术；同时经过对芯片厂商、技术路线、关键点等方面的分析，确认在多核上实现高性能UTM是完全可行的。

    多核UTM存在的技术难题

    可行，并不意味着一帆风顺。在国外，2005年就有厂商在多核上开始研发高性能的UTM产品，但进展缓慢。这是因为多核技术本身比较复杂，全面的驾驭多核存在很多难题。

    首先，由于多核芯片内存在多个处理器，传统的操作系统根本无法运行，必须对操作系统进行重新构架和开发，其中包括内存管理，定时器管理，文件管理等诸多操作系统功能，这本身就是很大难题。

    其次，在多核上实现UTM的业务调度是重大难题。业务处理一般有并行和并行两种模式：并行方式下，普通处理方式在多流多核分配时，无法保证唯一性，这需要实现智能业务并行化调度，在多核平台上保证唯一性，同时实现对多个内核资源的充分挖掘和利用；如下图所示：

    串行方式下，需要根据各个功能模块占用系统资源不同进行相应的分配，以保证没有性能瓶颈，这样当功能模块或平台发生变化时，牵一而动百，软件业务流程需要做相应开发调整，调理不当，就会出现性能多核处理器内的性能瓶颈。例如，在16Core的多核平台上开发UTM，其中有两个Core用于FW功能，3个Core用于IPS功能，6个Core用于AV并能，5个Core用于其他业务，使得每个部分的性能都一致，以确保整体性能较高；但当迁移到8Core多核平台上时，问题就出现了，由于核数的减少，必须对资源进行重新的分配，这就需要对软件架构和流程进行重新调整。同理，迁移到4Core、32Core平台上时也会存在这样的问题。如下图所示：

    可以看出来，不管是采用并行处理方式还是串行处理方式，都会存在业务调度方面的难题。

    再次，在采用并行化处理方式时，面临应用层检测效率难题。软件架构要求每个核均能实现所有的功能，包括防火墙、入侵防御、防病毒、内容过滤、P2P控制等，对应用层数据的分别检测非常耗费系统资源，这会导致单核产生性能瓶颈产生；应用层检测过程中，占用资源最多的是模式匹配环节，通常占用50%；如果对病毒、入侵、内容、P2P等进行多次独立的检测，就会存在多个“50%”的模式匹配，导致系统资源浪费，效率降低。如图所示：

    为了避免单核瓶颈，需要尽量提高应用层检测效率，而这需要深厚的检测技术积累作为支撑。

    最后，驾驭了多核之后，通过软件设计和实现，充分挖掘多核的性能也是世界级难题。这个可以从较宏观的角度看下，全球范围内，2005年就有部分安全厂商投入研发基于多核平台的UTM产品；截止到2008年5月，据不完全统计，全球发布基于多核高端产品的厂商9家；其中绝大多数实现了防火墙性能达到万兆；但仅有1家真正完成了多核UTM产品的开发，达到商用的水平，研发历时2年半；这充分说明在多核处理器上实现全功能、高性能是一个世界级的难题。

    充分认识和评估这些难题后，从2007年5月开始，启明星辰组建了一支素质过硬的队伍，这个队伍具备超过10年的专用硬件平台开发经验，成功研发各类基于NP、ASIC、FPGA、TCAM等专用硬件平台的高端路由器、交换机、防火墙产品，完全具备驾驭多核平台的能力。同时，启明星辰选定了Cavium作为多核技术的合作伙伴，在后续的一年中投入2000万元，连续攻克操作系统重构多个难题，突破业务并行调度难题，突破单核故障自动恢复难题，实现了对多核处理器的全面驾驭。

    经过一年半的大力投入，启明星辰目前已经攻克了全部可预见难题，相信不久的将来，国内第一款真正意义上的万兆UTM就将问世，而阻碍UTM进一步发展的性能问题也将得到有效解决。