【IT168 评论】整个互联网市场以及互联设备正在以极快的速度演进,各种各样的病毒、网站漏洞、垃圾邮件、钓鱼网站等网络安全问题也在不断涌现,用户的网络系统正在面临着复合型的网络安全威胁,防护需求也从传统的四层发展到七层。不仅如此,数据处理的流量和流程也在增加。互联网已经从过去的千兆、万兆发展到了如今的40G甚至100G,不断挑战网络安全设备的处理能力。另外,要实现全七层防护,就必须实现对数据的深度检测和还原,只有这样才能有效检测数据中的病毒、木马等应用层威胁。
因此网络安全行业需要考虑通过新的方式来解决安全和性能问题。对于用户来说,网络安全产品一定是既可以保证检出率又可以保证性能的,而在安全解决方案提供商方面,如果输出的网络安全设备能够有出色的基础架构作为支撑,那么满足用户的一切需求都不在话下。
中央处理器作为硬件架构的核心单元,在整个基础架构中扮演着举足轻重的地位。网络安全设备之所以会出现性能瓶颈,很大程度上是由于CPU单元的实力不足,导致占用率居高不下。纵观整个芯片市场,英特尔无疑是当之无愧的霸主,尤其是在个人电脑和服务器领域。但是在网络安全设备市场,众多领军企业却基本都将英特尔® 架构的处理器作为应用处理和整体调度的核心,而少有厂商将其作为网络数据包转发的核心使用。在这其中,即有厂商船大难掉头的原因,也有英特尔方面的问题。但是最近笔者却发现英特尔不但通过大力推广Intel® Data Plane Development Kit (Intel® DPDK)(英特尔® 数据面开发工具包),而且还在紧锣密鼓地与众多网络和安全厂商进行深入合作,在网络市场不断推出新产品。然而,笔者却更加关心英特尔在网络安全硬件市场以怎样的手段来笼络众多安全厂商的心。为此,笔者采访了英特尔通信和存储基础设施事业部市场经理Bob Ghaffari以及英特尔通信和存储基础设施事业部首席工程师和架构师Praveenn Mosur,与二位专家对于英特尔在网络安全领域能做的事情展开了深入到探讨。
应用、控制、数据转发平台需要三合一
Ghaffari谈到:“研究当今网络基础架构面临的挑战会发现,我们使用的物理设备纷繁复杂。例如,防火墙、入侵检测、路由器、负载均衡器、基本的 Web 应用防火墙等网络中的各类设备。我们面临的挑战在于:在网速不断提升的同时如何创建高性能的环境,以及如何在提高网络响应速度的同时确保其安全性,以及摆脱小众化平台方案,这是因为对小众化平台方案进行编程是一件很困难的事情。你一定希望轻松、高效地解决这些威胁。”
事实上,网络安全技术基本可分为三个层面,即应用层面、控制层面和数据转发层面。如果能有一种可无缝解决当前所有挑战的架构,对于众多安全厂商来说岂不乐哉。从过往表现来看,应用层面和控制层面的处理是英特尔架构芯片的看家本领。因此业界需要解决的一大问题是如何加快数据层面处理速度。一直以来,业界都希望使用网络处理器或专用芯片来加快数据包处理速度,但是这样其实还是数据转发层面独立在应用和控制之外,不能达到完全整合。若是英特尔® 芯片也可以做到快速的数据包处理,那么众多安全厂商还有什么可犹豫的呢?
Ghaffari向笔者解释道:“只需使用一种架构,便可有效处理应用、控制和数据层面的任务是有很大益处的。首先,它更容易编程,可帮助安全企业更轻松地提供 IT 人员或电信人员需要的解决方案,并获得速度和安全保障。处理速度的加快意味着性能将会非常出色,并能帮助您提升网络性能。大家都希望一面有效地对网络进行保护,另一方面又不希望网络运行太慢。我认为重要的是有一款产品能够高效处理应用、控制和数据层面的任务。英特尔的不凡之处在于解决了如何利用单一架构完成这一系列任务的问题。英特尔过去针对应用和控制使用英特尔架构,而网络处理器 IXP 产品线则用于数据层面处理。但是几年前英特尔就已经开始考虑在一个架构上处理所有任务。我们在英特尔架构数据包处理方面进行了大量的投入,将Intel® Data Plane Development Kit 打造为重要基础,使英特尔架构比数据层面应用通常所采用的网络处理器运行更快。因此,快速的数据层面处理,加上用于应用和控制处理的强大英特尔架构,这款出色的技术解决方案可解决网络挑战。”
英特尔® 多核处理器平台提供160GB DPI性能的关键
过去业界在使用英特尔架构时遇到了数据包处理性能的问题。那么英特尔到底采取了怎样的措施能够让英特尔有如今的“底气”呢?据了解,英特尔几年前就已改进了微架构及处理器的功能,集成了内存控制器,还在早期版本的Intel DPDK 上进行了投资。2009 年,英特尔使用了英特尔® 微架构(代号:Nehalem)使性能获得大幅的提升。在随后的2010年和2011年英特尔又取得了重大进展,将 PCI Express* 控制器集成到处理器中,并将Intel DPDK 库升级到版本 1.1。又在去年(2012年)升级到了新版的Intel DPDK R1.3,进一步大幅提升了数据包处理性能。英特尔通信和存储基础架构事业部首席工程师和架构师Praveenn Mosur进一步解释道:“英特尔® 架构和Intel® Data Plane Development Kit 具备出色的性能,基于英特尔® 微架构(代号:Sandy Bridge)可在标准英特尔平台上获得 160GB 深度数据包检测(DPI) 的吞吐量。因此,网络安全设备可以快速地进行数据包处理,特别是快速进行 DPI,这对于以DPI为主的上网行为管理以及下一代防火墙来说简直是最大的福音,可以轻松解决性能不足的问题。”
Ghaffari继续谈到:“英特尔的优势在于处理器芯片制造能力及新产品推出的连续性,英特尔每年都会推出全新的处理器产品。我们会定期发布新版软件,以确保及时增强Intel® Data Plane Development Kit 库。而且我们每年都会根据著名的 Tick-Tock 开发模式推出新的产品。目前来说,高性能数据处理都源于 22纳米英特尔® 微架构(代号:Sandy Bridge)。不久,我们将升级至下一代 Tick — 英特尔® 微架构(代号:Ivy Bridge)。在 Tick- Tock 产品步进模式下,我们或者提供基于前一代制程技术但具有新功能、新微架构的处理器,或提供基于新制程技术但是相同微架构的处理器。因此,在 Sandy Bridge 升级至 Ivy Bridge 的过程中,我们将保留相同的微架构,在微架构中增加一些增强特性,但更重要的是,我们会借助新的制程技术进行升级,以帮您提升性能、降低功耗和改进功能。在采用 Tick-Tock 模式推出新产品的步伐方面,任何厂商都不能与我们相媲美。”
随着英特尔® 处理器微架构和Intel DPDK的发展,代号为Crystal Forest的英特尔新一代通信平台也从幕后走到台前。除了上面描述过的对于数据转发的大幅提升外,在这个新平台中还有一个非常重要的新特性,即Intel® QuickAssist Technology。Intel QuickAssist Technology为业界提供了一种软件编程模式,可利用英特尔在微处理器领域的特性及功能,提高加密、解密、压缩、解压缩等操作的速度。 新一代通信英特尔® 89xx系列通信芯片组集成Intel QuickAssist Technology,可做为英特尔® 至强™ 处理器的芯片组和英特尔® 至强融核™ 协处理器芯片,它可帮助卸载处理器上的负载,,集成的加密、压缩和正则表达式模式匹配的硬件加速器,能够大幅提升 SSL或 IPSec的处理速度或者处理大量压缩-解压缩任务及提升网络带宽的使用效率。笔者认为,英特尔 89xx系列通信芯片组 作为加速器在中端市场可以用来替代目前比较主流的Cavium Octeon。
在当前的发展过程中,部署基于通用架构的设备已经成为一种趋势,整个业界都渴望使用该架构高效处理应用、控制、数据层面的任务。尤其是当数据中心等地部署虚拟化防火墙时,若是出口安全网关和服务器内部虚拟防火墙都采用相同的架构,对于安全的运维和管理其实是百利而无一害的。英特尔多年来悉心打造的生态系统已经非常庞大,提从基于高性能的至强处理器到基于低价、低功耗的凌动处理器的解决方案,按需部署,灵活扩展。英特尔可提供各种解决方案来满足用户不同的需求。基础架构解决方案所需的重要安全功能,不论物理设备还是虚拟设备,英特尔都能提供卓越的性能和非凡的功能,特别是对于企业的虚拟设备,或是软件定义网络 (SDN)、部署可快速运行的网络安全和虚拟设备功能和解决方案,都是英特尔架构的优势所在。
虽然网络安全行业的众多领导厂商可能并未在其产品上全面采用英特尔架构,依然是其它“多核”处理器家族的忠实拥簇者,但是却无法回避性能日趋饱和,产品更新速度慢的现状。不论是否对x86依然抱有激情,英特尔都凭借强大的资源实力以及深厚的技术积累,携最新的Intel DPDK、Crystal Forest新一代通信平台以及22nm/14nm的英特尔® 微架构(代号:Ivy Bridge/Haswell)多核处理器,在网络安全市场杀了一记漂亮的回马枪。
