防火墙:多核,指引安全未来

安全
防火墙:多核,指引安全未来。随着Web2.0、移动互联网等IT新技术的飞速发展,网络正在改变着人们的生活。同时,对网络安全产品提出了更高的要求和更大的挑战,其中最突出的有两点:

更高的要求,更大的挑战

随着Web2.0、移动互联网等IT新技术的飞速发展,网络正在改变着人们的生活。同时,对网络安全产品提出了更高的要求和更大的挑战,其中最突出的有两点:

1. 更高的IO吞吐性能。性能是个永恒的话题,随着越来越多的视频、语音等多媒体数据在网络上传输,越来越多的P2P、IM应用的广泛开展,如今的信息量和传统的文本形式相比呈现指数级增长,网络带宽一扩再扩。新的形势,要求安全设备具备更高的IO吞吐性能。

2. 更强的应用层数据处理能力。随着网络应用的日益复杂化和多样化,层出不穷的网络攻击逐步由网络层和传输层向应用层转变,由固定端口协议向非固定端口协议转变,由协议固定报头向深度协议报文转变。新的形势,要求安全产品具备更强的应用层数据处理能力。

[[4321]]

2004年,告别Pentium时代,Intel推出Core 2双核处理器

2005年,Cavium、RMI相继推出商用的MIPS多核处理器

2007年,Checkpoint率先发布基于x86多核的Power系列产品

2008年,Cisco、Juniper相继发布多核系列安全产品

应对这些要求和挑战,传统架构的安全产品准备好了吗?

架构之争,多核指引未来

从本质上来说,网络设备主要解决两个问题:IO能力和数据包处理能力。传统架构在这两个方面面临着不可调和的矛盾:

1. 大部分安全产品是采用单核x86 CPU来构建的,高度稳定、灵活的x86尽管很好的解决了数据包处理的问题。但是受限于南北桥结构和PCI总线能力,在IO能力上表现不尽如人意。同时,基于摩尔定律快速发展的传统CPU技术面临着以平方关系急剧增长的能耗问题,以及由此衍生的散热问题的巨大挑战和困扰。

2. NP和ASIC技术广泛应用于交换机和路由器产品,通过对数据包的快速转发而解决了网络设备的IO问题。但是NP和ASIC架构面对应用层的数据包处理时,不够灵活的弱点暴露无疑,完全无法适用应用趋势的发展,因此,纯粹的NP和ASIC架构的安全产品势必会被淘汰。

面对困境,多核技术应运而生,目前的多核技术主要包含x86多核和MIPS多核两种。

x86多核产品一出来即引起广泛关注,也被业界一致看好,主要原因如下:

1. 最新的PCI-E总线是直接从北桥接出来的独占式总线,相比以前通过南桥—>北桥—>FSB—>CPU的共享式PCI总线,IO效率大大提高

2. PCI-E总线单条通道的单向带宽达到2Gbps,现在做得多的可达16通道,双向可达到64Gbps的吞吐量,从根本上解决了IO性能问题

3. 具备30多年PC经验的x86架构,具备高度的功能灵活性,在复杂数据处理方面具备独天厚地的优势,在强调应用层数据处理能力的今天尤为合适

4. x86多核通过分布式方式,有效解决了单核CPU面临的能耗问题和散热问题

5. 2007年,Intel发布Tolapai低功耗处理器,全面进军嵌入式和网络通信市场,网络安全作为网络通信的主要市场,受到Intel的高度关注

6. Intel技术实力强大,产品商用化程度极高,成熟可靠

7. 网络安全的关键在于软件,众多软件厂商已经在x86多核的开发上具备强大的实力和丰富的经验

MIPS多核自2005年以来获得了快速发展,代表的公司有Cavium和RMI两家,主要特点有

1. MIPS多核基于精简指令集,IO效率高,功耗低

2. MIPS多核也可以采用PCI-E总线,不存在南北桥结构,吞吐能力强

3. MIPS多核扩展能力强,Cavium公司已经推出16核CPU,每个核600Mhz,总的处理能力可达9.6Ghz;而RMI公司也推出了8核CPU,每个核1.2Ghz,总的处理能力也达到了9.6Ghz

4. MIPS多核在交换机、路由器上有广泛应用,但是网络安全产品方面缺乏足够的经验,产品的成熟度还有待市场的考验。

5. MIPS多核在固定数据处理方面效率很高,面对7层复杂数据的查找和处理效率大大降低。

6. 无论是Cavium公司,还是RMI公司,整体技术实力和Intel还有相当的差距。

全新平台,应用安全

在技术发展最前沿,把握客户应用趋势,率先推出了融合高性能、深度安全检测、易扩展升级的下一代多核防火墙RG-WALL1600系列。通过实现CPU核任务调度的动态分配技术、并行设计算法、核间系统开销最小等关键技术,合理地划分了任务,大大减少了核间通信,有效地降低串行执行比例和降低交互开销,实现了多核的有效调度,双核的处理性能即可较单核提升40%-60%,八核架构则达到万兆线速。

同时,多核架构还为每一个核提供了额外的协处理器,使每个单独的核在芯片上具有额外的安全性硬件加速能力。多核平台的集成可以明显提高分析处理性能,使得防火墙的性能得到了极大的提升。
不仅突破性能瓶颈,锐捷网络新一代防火墙还在功能上取得了巨大的突破,全面诠释应用安全:

1. 通过万兆光模块,配合万兆交换机和路由器等基础网络平台,帮助客户构建真正的无瓶颈全万兆安全网络。

2. 支持高可用的SSL VPN解决方案,继PPTP、L2TP、IPSec VPN之外,为用户提供的全面的VPN解决方案。

3. 全面支持硬件模块化和软件模块化,不仅稳定可靠,而且灵活易扩展,很好地保护用户投资。

4. 内置安全助手,可以主动扫描网络活动主机,开放端口,操作系统版本和服务器版本,并添加到安全策略中去,为网络安全管理提供关键信息。

5. 高可靠性的业务监控,不仅可以提供CPU、内存、用户连接数等信息监控,而且可提供链路级、VPN隧道和应用业务(如HTTP等)层面的状态检测,能实现自动负载均衡和故障切换。

6. 可选支持Bypass,保证网络始终可用,彻底解决用户关心的单点故障问题。

 

 

责任编辑:Oo小孩儿 来源: cnw.com.cn
相关推荐

2022-09-20 16:38:08

数据安全数据泄露安全

2009-12-25 12:21:56

2009-08-28 18:12:26

防火墙规则测试

2019-07-18 11:26:13

防火墙网络安全软件

2010-12-21 18:04:26

2009-12-23 17:37:09

Linux防火墙

2011-04-20 15:54:38

2015-04-21 09:21:32

2011-08-15 13:13:26

2009-10-12 15:07:11

2010-09-14 10:19:39

2010-09-14 13:08:52

2010-12-08 09:29:27

下一代防火墙

2011-06-29 10:29:55

2011-06-27 13:31:21

2010-05-24 17:49:56

2009-01-20 10:43:00

2010-08-13 13:40:34

2012-08-01 10:17:10

2009-12-16 15:29:06

点赞
收藏

51CTO技术栈公众号