网络安全 频道

多核与2维矩阵ASIC打造防火墙小包王

    【IT168 专稿】2009年10月16日,网御神州在长城脚下发布了基于多核AC架构的泰山红日系列小包王产品,旨在打造业界安全产品性能至尊,构建网络社会的信息安全长城,捍卫我们在网络社会中的“制高点”。让我们通过对其领先的架构设计的深入剖析,来理解“小包王”的优势。

    新的互联网应用层出不穷,安全威胁向应用层转移,独立的ASIC、NP渐行渐远。

    随着互联网的发展,新的互联网应用层出不穷,安全威胁向应用层转移,需要安全设备能够进行深度的包检测和模式匹配, 独立的ASIC、NP架构运算能力不足、无法完成应用层深度数据处理的弊端,使得ASIC、NP正在逐渐失去传统的千兆级别市场。

    而多核凭借其在运算性能上的优势,能够实现IPS/AV/深度协议分析等DPI功能,在新的安全形势下得到了广泛的应用。

    网络全面升级、小包应用升温,独立的多核架构力不从心,传统ASIC瓶颈凸现

    近几年,企业、单位网络正在逐步从百兆升级为千兆,而政府/金融核心网络、电信运营商数据中心都已经升级为多路千兆。同时,P2P、迅雷、MSN/QQ、在线视频等应用日益广泛,而这些应用都以小包为主。

    独立的多核架构在小包处理上的不足显现,而且其在网络层数据上占用过多的处理资源,势必会影响其在应用层的安全处理,无法实现大流量下的深度安全与实时管理。 而传统的ASIC虽然能够实现较高的小包处理性能,但由于在ASIC容量上的不足,不能实现多路ASIC并行处理,同时由于传统ASIC在搜索逻辑上的设计缺陷,导致其状态检测等表项搜索的效率较低。从而无法实现多路千兆的并行处理,影响了其在政府/金融核心网络、电信运营商数据中心等多路千兆环境的应用。

    多核与2维矩阵ASIC双剑合璧,打造防火墙小包王

    网神多核AC架构,通过多核并行安全操作系统SecOS的智能调度,有效整合了多核与2维矩阵ASIC,很好的发挥了多核与2维矩阵ASIC各自的优势。

     多核AC架构中,多核处理器计算性能优越、在应用层处理能力上的优势得到了很好的应用。 而多核负载均衡技术,解决了传统多核架构下由于没有高效的调度技术导致多核的并行处理效能无法得到充分释放的难题,多核之间并行处理,能同时开启IPS/AV/应用协议识别与控制等深度安全检测(DPI)功能,而且IPS/AV性能可轻松超过千兆,如此优越的应用层处理性能,无疑让用户业务更安全。

    二维矩阵ASIC,一方面多路ASIC并行处理,另外一方面采用2维矩阵搜索算法、大幅提升搜素效率, 突破了传统ASIC在网络处理上的极限。

    多路ASIC并行处理

    2维矩阵搜索算法,大幅提升搜索效率。

    A、传统的单树型搜索算法树形结构

    优点:设计简单。
    缺点:对于表项较多的情况,树的规模大,查找效率低。

    适用于表项较少的搜索,一般在65535以下。

    B、优化过的增加HASH算法的树型搜索算法树形结构(业界主流都采用此结构)

    优点:相对单树结构,树的个数增加,规模减小,可以大幅提升查找效率。
    缺点:对于表项规模更大的情况,树的规模大,查找效率相对较低。

    适用于表项较少的搜索,一般在50万以下的表项规模。

    C、网神专有的基于二维矩阵的树型搜索算法树形结构

    优点:树的个数成指数增加,树的规模减小,可以大幅提升查找效率,相对增加HASH算法的树型搜索算法树形结构,搜索效率提升10倍以上。
    缺点:逻辑设计复杂,硬件实现难度大。

    适用于表项规模更大的搜索,一般在50万以上的表项规模设计。

    编者按:

    通过以上不难看出,基于多核、2维矩阵ASIC和SecOS智能调度的多核AC架构,彻底解决了新形势下传统独立架构在小包处理性能与应用层深度安全上的不足。

    多核与多核负载均衡技术可以确保用户能够同时开启IPS/AV/深度协议检测等DPI功能,用户网络安全更加有保障; 2维矩阵ASIC的引入,使得泰山红日“小包王”产品在小包处理性能得到大幅提升,相对传统ASIC产品有了一次质的飞跃。泰山红日“小包王”产品的成功发布与大规模应用,势必会带动整个信息安全行业产品架构的升级换代。

 

0
相关文章