|
防火墻的未來是向著高性能,強(qiáng)大的QoS保證能力和深度防御三個(gè)方向發(fā)展。政府,金融電力等關(guān)鍵行業(yè)的數(shù)據(jù)中心、大型電信運(yùn)營商的網(wǎng)絡(luò)流量巨大,業(yè)務(wù)復(fù)雜。多業(yè)務(wù)下的流量劇增不僅對(duì)帶寬提出了很高的要求,而且對(duì)防火墻多業(yè)務(wù)支持的功能和性能方面也提出了很高的要求。 因此,典型的千兆高端防火墻的技術(shù)特征是具有4G到10G線速處理和能力;在承受海量業(yè)務(wù)流突發(fā)的情況下保證流媒體,視頻,語音等時(shí)延敏感應(yīng)用的穩(wěn)定運(yùn)行的能力。高端用戶往往采用高性能服務(wù)器對(duì)外提供特定的網(wǎng)絡(luò)服務(wù),例如WWW或電子郵件服務(wù)。由于訪問者、時(shí)間、地點(diǎn)復(fù)雜,并且一些網(wǎng)站需要提供商業(yè)用途,所以對(duì)安全性的要求也很高,這就需要防火墻對(duì)數(shù)據(jù)包進(jìn)行深層次的檢查,進(jìn)行惡意代碼、SQL注入等多種攻擊行為的檢測(cè),同時(shí)有效防范DDOS攻擊,保障諸如網(wǎng)上銀行等關(guān)鍵應(yīng)用的穩(wěn)定運(yùn)行,防范各類攻擊入侵。 FPGA(Field-Programmable Gate Array,現(xiàn)場(chǎng)可編程門陣列)在現(xiàn)代數(shù)字電路設(shè)計(jì)中發(fā)揮著越來越重要的作用。從設(shè)計(jì)簡單的接口電路到設(shè)計(jì)復(fù)雜的狀態(tài)機(jī),甚至設(shè)計(jì)“System On Chip”(片上系統(tǒng)),F(xiàn)PGA所扮演的角色已經(jīng)不容忽視。因?yàn)镕PGA硬件可重新配置且可用性、精密度不斷提高,可以輕易配合系統(tǒng)規(guī)格隨時(shí)改變的要求,為用戶帶來充足的靈活性。 FPGA體系結(jié)構(gòu)能夠保證4- 10G路由和安全訪問控制的線速處理能力,包括各類多媒體業(yè)務(wù)、實(shí)時(shí)或非實(shí)時(shí)業(yè)務(wù)、連接或非連接業(yè)務(wù)等。同時(shí),以FPGA作為處理和交換架構(gòu)的基礎(chǔ),還可以通過FPGA良好的可編程性對(duì)數(shù)據(jù)包和協(xié)議進(jìn)行深層次的檢查和過濾,而且投資規(guī)模小,開發(fā)周期短,是一種非常理想的高性能防火墻硬件平臺(tái)架構(gòu)。 與FPGA技術(shù)相比,ASIC技術(shù)將指令或計(jì)算邏輯固化到了硬件中,缺乏靈活性,不便于修改和升級(jí);其次,深層次包分析(L4+)增加ASIC的復(fù)雜度,不能滿足防火墻產(chǎn)品對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行二到七層處理的需求;第三、ASIC的開發(fā)周期長,設(shè)計(jì)費(fèi)用昂貴且風(fēng)險(xiǎn)較大。建立一個(gè)基本的ASIC研發(fā)環(huán)境就需要投資上千萬元,從設(shè)計(jì),驗(yàn)證,流片,到最終量產(chǎn)投資額往往要達(dá)到數(shù)千萬元。這樣無疑會(huì)造成投資回報(bào)期過長,大大增加了產(chǎn)品和項(xiàng)目的資金風(fēng)險(xiǎn)。最后,采用ASIC技術(shù)的防火墻最大的問題在于缺乏可編程性,對(duì)新功能的實(shí)施周期長,很不靈活,使得它難以跟上當(dāng)今防火墻功能的快速發(fā)展。在日益猖獗的黑客攻擊面前,特別是針對(duì)在應(yīng)用層攻擊(如Slammer、沖擊波病毒)等面前顯得無能為力。 采用FPGA技術(shù)可以節(jié)省ASIC設(shè)計(jì)所需要的設(shè)施和平臺(tái)的巨大投入。對(duì)于單臺(tái)防火墻設(shè)備,F(xiàn)PGA芯片的成本占總成本的比重很低,而且采用FPGA架構(gòu)可以通過配置和添加基本軟件來實(shí)現(xiàn)定制,從而不斷提升產(chǎn)品的性價(jià)比。 FPGA的技術(shù)優(yōu)勢(shì)主要體現(xiàn)在: 1. 縮短產(chǎn)品開發(fā)周期。產(chǎn)品上市時(shí)間是推動(dòng)網(wǎng)絡(luò)處理可編程解決方案發(fā)展的主要?jiǎng)恿χ唬現(xiàn)PGA不僅可以通過縮短開發(fā)周期,還能通過縮短調(diào)試周期以加快產(chǎn)品上市時(shí)間。 2. 實(shí)現(xiàn)復(fù)雜分類查詢。像VPN(虛擬專用網(wǎng))和IPSec這樣的業(yè)務(wù)需要復(fù)雜查詢功能。查詢和分類可通過復(fù)雜的迭代算法實(shí)現(xiàn),F(xiàn)PGA能在邏輯電路的狀態(tài)機(jī)內(nèi)實(shí)現(xiàn)查詢。從而縮短了查詢的周期,提升了系統(tǒng)整體的性能。 3. 提供良好升級(jí)性能。FPGA具有較強(qiáng)的軟件升級(jí)功能,利用業(yè)界標(biāo)準(zhǔn)的HDL和C代碼,以及FPGA制造商提供的基于平臺(tái)和工具集方法的工具,可以很方便地實(shí)現(xiàn)軟件在各代FPGA中的無縫移植。在硬件升級(jí)方面,F(xiàn)PGA顧名思義就是現(xiàn)場(chǎng)可編程,因而能輕松升級(jí),很好地滿足需求變化,延長了產(chǎn)品壽命,有助于網(wǎng)絡(luò)安全設(shè)備跟蹤標(biāo)準(zhǔn)和協(xié)議的持續(xù)變化。同時(shí)FPGA往往有一定的預(yù)留性,比如一個(gè)常見的800萬門的FPGA芯片,一般實(shí)際使用僅為200萬門左右,預(yù)留的部分就是為了安全設(shè)備日后升級(jí)所用。 4. 優(yōu)化系統(tǒng)整體性能。安全設(shè)備的器件數(shù)目和期望性能之間存在一個(gè)平衡點(diǎn),而將所有器件堆積在一個(gè)設(shè)備中將破壞整體性能。例如,如果能在主分組處理器件上實(shí)現(xiàn)安全處理功能,不僅能減少器件數(shù)目,還可從增加的性能中受益。FPGA的性能可以隨著規(guī)格效率方便的擴(kuò)展,某些需要查詢和密集控制的應(yīng)用可通過采用協(xié)處理器/嵌入式處理器來更好地實(shí)現(xiàn)。 5. 提供高抗擾能力。FPGA的串行連接技術(shù)可以減少引腳數(shù)量、減小接頭尺寸、降低電磁干擾輻射(EMI)、提高信號(hào)完整性和更好地抵抗噪聲,從而大大提高升了系統(tǒng)的抗干擾能力,非常適用于對(duì)電磁輻射安全有特殊要求的應(yīng)用環(huán)境。 交換結(jié)構(gòu)是基于FPGA防火墻產(chǎn)品的關(guān)鍵部分,是解決高速報(bào)文轉(zhuǎn)發(fā)及處理的主要方式,它的性能直接決定了防火墻性能。交換架構(gòu)采用共享內(nèi)存機(jī)制,具有很高的吞吐率,而且實(shí)現(xiàn)簡單,架構(gòu)可擴(kuò)展性強(qiáng),可以很容易地進(jìn)行視頻處理、VPN等功能擴(kuò)展。 在防火墻產(chǎn)品的開發(fā)中,為了在類似的傳輸流中區(qū)分不同的優(yōu)先級(jí),需要三層甚至四到七層中進(jìn)行更深層的分組處理。而FPGA僅僅需要一塊芯片就可以更深入地處理這些分組,不僅降低了軟件的復(fù)雜度,而且降低了功耗。這是因?yàn)镕PGA中的硬件并行處理完全可以同RISC的處理方法相媲美。 在深度防御方面,因?yàn)閱蝹(gè)可疑特征不一定就是攻擊行為,因此防火墻必須抓到大量的可疑特征,以便判斷是否為攻擊。但在這個(gè)過程中抓取可疑特征的速度一定要快,否則就會(huì)導(dǎo)致漏報(bào)。利用FPGA的高速度幫助進(jìn)行基層篩選,然后通過高速總線交由具備多核處理能力的CPU確認(rèn),就可以最大限度地確保防火墻架構(gòu)的優(yōu)化。對(duì)于防御DDoS攻擊,F(xiàn)PGA具備很強(qiáng)的性能優(yōu)勢(shì)。 FPGA架構(gòu)的采用對(duì)于保證高端防火墻在復(fù)雜的網(wǎng)絡(luò)環(huán)境中的性能非常關(guān)鍵。以虛擬防火墻為例,這一功能是高端防火墻產(chǎn)品的最重要特性之一。如果應(yīng)用中用戶將一臺(tái)物理防火墻劃分成256個(gè)虛擬防火墻(對(duì)于IDC的應(yīng)用環(huán)境可能會(huì)更多),以一臺(tái)虛擬防火墻配置50條規(guī)則計(jì)算,一臺(tái)防火墻配置的規(guī)則數(shù)會(huì)超過1萬,如果要用串行處理機(jī)制,對(duì)性能會(huì)形成很大的制約,而采用FPAG架構(gòu)的并行處理就可以輕易解決這一性能瓶頸。通過將安全規(guī)則轉(zhuǎn)化成邏輯,F(xiàn)PGA防火墻在實(shí)現(xiàn)過程中能夠同時(shí)匹配上萬條規(guī)則。 從目前的情況來看,主流千兆防火墻產(chǎn)品還有很多采用的是ASIC技術(shù),然而,全定制數(shù)字ASIC的前景已經(jīng)經(jīng)開始出現(xiàn)陰影。現(xiàn)場(chǎng)可編程門陣列(FPGA)正在接管許多一度被認(rèn)為是全定制芯片專屬領(lǐng)域的應(yīng)用。自從FPGA在約二十年前出現(xiàn)以來,它已經(jīng)通過將門數(shù)提高了三個(gè)數(shù)量級(jí)而侵占了ASIC的主導(dǎo)地位。FPGA在網(wǎng)絡(luò)通訊領(lǐng)域(如光網(wǎng)絡(luò),光纖存儲(chǔ)等等)和網(wǎng)絡(luò)安全(防火墻,IPS,UTM)領(lǐng)域逐步得到了廣泛應(yīng)用,思科,JUNIPER,3COM等國際廠商己經(jīng)在相關(guān)領(lǐng)域獲得了眾多的專利授權(quán)并在產(chǎn)品中廣泛采用。作為國內(nèi)領(lǐng)先的安全廠商,東軟一直不懈努力,通過持續(xù)的技術(shù)創(chuàng)新為用戶不斷提供更高性價(jià)比的網(wǎng)絡(luò)安全產(chǎn)品。東軟在基于FPGA的防火墻技術(shù)領(lǐng)域進(jìn)行了多年的前瞻性技術(shù)研究和儲(chǔ)備,并承擔(dān)此課題的國家級(jí)科研和產(chǎn)業(yè)化項(xiàng)目,突破了一系列關(guān)鍵技術(shù)難題,取得了豐碩的技術(shù)成果。隨著市場(chǎng)的發(fā)展和技術(shù)的進(jìn)步,具有更好可編程性和更高性能的FPGA技術(shù)必將是有實(shí)力網(wǎng)絡(luò)安全廠商的首選,而用戶也會(huì)有更加穩(wěn)定、成熟、高性能的千兆防火墻產(chǎn)品可以選擇。 |
