网络安全 频道

一夫当关万夫莫开 Intel袭网络安全市场

        【IT168 评论】整个互联网市场以及互联设备正在以极快的速度演进,各种各样的病毒、网站漏洞、垃圾邮件、钓鱼网站等网络安全问题也在不断涌现,用户的网络系统正在面临着复合型的网络安全威胁,防护需求也从传统的四层发展到七层。不仅如此,数据处理的流量和流程也在增加。互联网已经从过去的千兆、万兆发展到了如今的40G甚至100G,不断挑战网络安全设备的处理能力。另外,要实现全七层防护,就必须实现对数据的深度检测和还原,只有这样才能有效检测数据中的病毒、木马等应用层威胁。

  因此网络安全行业需要考虑通过新的方式来解决安全和性能问题。对于用户来说,网络安全产品一定是既可以保证检出率又可以保证性能的,而在安全解决方案提供商方面,如果输出的网络安全设备能够有出色的基础架构作为支撑,那么满足用户的一切需求都不在话下。

  中央处理器作为硬件架构的核心单元,在整个基础架构中扮演着举足轻重的地位。网络安全设备之所以会出现性能瓶颈,很大程度上是由于CPU单元的实力不足,导致占用率居高不下。纵观整个芯片市场,英特尔无疑是当之无愧的霸主,尤其是在个人电脑和服务器领域。但是在网络安全设备市场,众多领军企业却基本都将英特尔® 架构的处理器作为应用处理和整体调度的核心,而少有厂商将其作为网络数据包转发的核心使用。在这其中,即有厂商船大难掉头的原因,也有英特尔方面的问题。但是最近笔者却发现英特尔不但通过大力推广Intel® Data Plane Development Kit (Intel® DPDK)(英特尔® 数据面开发工具包),而且还在紧锣密鼓地与众多网络和安全厂商进行深入合作,在网络市场不断推出新产品。然而,笔者却更加关心英特尔在网络安全硬件市场以怎样的手段来笼络众多安全厂商的心。为此,笔者采访了英特尔通信和存储基础设施事业部市场经理Bob Ghaffari以及英特尔通信和存储基础设施事业部首席工程师和架构师Praveenn Mosur,与二位专家对于英特尔在网络安全领域能做的事情展开了深入到探讨。

  应用、控制、数据转发平台需要三合一

  Ghaffari谈到:“研究当今网络基础架构面临的挑战会发现,我们使用的物理设备纷繁复杂。例如,防火墙、入侵检测、路由器、负载均衡器、基本的 Web 应用防火墙等网络中的各类设备。我们面临的挑战在于:在网速不断提升的同时如何创建高性能的环境,以及如何在提高网络响应速度的同时确保其安全性,以及摆脱小众化平台方案,这是因为对小众化平台方案进行编程是一件很困难的事情。你一定希望轻松、高效地解决这些威胁。”

  事实上,网络安全技术基本可分为三个层面,即应用层面、控制层面和数据转发层面。如果能有一种可无缝解决当前所有挑战的架构,对于众多安全厂商来说岂不乐哉。从过往表现来看,应用层面和控制层面的处理是英特尔架构芯片的看家本领。因此业界需要解决的一大问题是如何加快数据层面处理速度。一直以来,业界都希望使用网络处理器或专用芯片来加快数据包处理速度,但是这样其实还是数据转发层面独立在应用和控制之外,不能达到完全整合。若是英特尔® 芯片也可以做到快速的数据包处理,那么众多安全厂商还有什么可犹豫的呢?

  Ghaffari向笔者解释道:“只需使用一种架构,便可有效处理应用、控制和数据层面的任务是有很大益处的。首先,它更容易编程,可帮助安全企业更轻松地提供 IT 人员或电信人员需要的解决方案,并获得速度和安全保障。处理速度的加快意味着性能将会非常出色,并能帮助您提升网络性能。大家都希望一面有效地对网络进行保护,另一方面又不希望网络运行太慢。我认为重要的是有一款产品能够高效处理应用、控制和数据层面的任务。英特尔的不凡之处在于解决了如何利用单一架构完成这一系列任务的问题。英特尔过去针对应用和控制使用英特尔架构,而网络处理器 IXP 产品线则用于数据层面处理。但是几年前英特尔就已经开始考虑在一个架构上处理所有任务。我们在英特尔架构数据包处理方面进行了大量的投入,将Intel® Data Plane Development Kit 打造为重要基础,使英特尔架构比数据层面应用通常所采用的网络处理器运行更快。因此,快速的数据层面处理,加上用于应用和控制处理的强大英特尔架构,这款出色的技术解决方案可解决网络挑战。”

0
相关文章