在信息安全領(lǐng)域，“多核”是個(gè)相當(dāng)熱門的詞匯。面對(duì)不斷增長(zhǎng)的帶寬和愈發(fā)多樣化的安全需求，新一代安全產(chǎn)品必須構(gòu)建在處理能力更強(qiáng)大的硬件平臺(tái)之上。而從工程化的角度看，在單顆內(nèi)核處理能力提升緩慢的情況下，多核系統(tǒng)無(wú)疑是個(gè)很好的選擇?？v觀近幾年國(guó)內(nèi)外安全廠商發(fā)布的產(chǎn)品，硬件解決方案也基本以其為主，堪稱市場(chǎng)主流。

但性能與業(yè)務(wù)復(fù)雜度天生就是一對(duì)矛盾體，在一些要求較高的應(yīng)用場(chǎng)合，就算是多核系統(tǒng)平臺(tái)也很難做到功能、性能兩全。對(duì)于這種現(xiàn)狀，網(wǎng)御神州科技有限公司(以下簡(jiǎn)稱“網(wǎng)御神州”)顯然有著深刻的認(rèn)識(shí)。繼去年發(fā)布全線多核戰(zhàn)略，將旗下中高端產(chǎn)品遷移至多核平臺(tái)后，該公司又于近日發(fā)布了全新的泰山紅日系列產(chǎn)品。這一系列產(chǎn)品基于為多核平臺(tái)加速的設(shè)計(jì)理念，引入了可編程ASIC加速引擎，使系統(tǒng)整體處理能力達(dá)到一個(gè)新的高度。經(jīng)過(guò)努力，我們有幸趕在正式發(fā)布前對(duì)型號(hào)為G60-76AA的產(chǎn)品進(jìn)行了詳細(xì)的測(cè)試分析，在此與讀者朋友們分享。

全功能安全堡壘

泰山紅日G60-76AA采用2U規(guī)格設(shè)計(jì)，內(nèi)置10個(gè)千兆電口與10個(gè)千兆SFP接口，接入能力十分強(qiáng)大。由于該產(chǎn)品定位于對(duì)性能、可靠性要求較高的應(yīng)用環(huán)境，標(biāo)配雙電源也是順理成章的事情。充裕的機(jī)身空間使其具備良好的擴(kuò)展性，用戶可以根據(jù)需要選配硬盤，在本地保存日志及審計(jì)信息。產(chǎn)品功耗也并未因內(nèi)置硬件加速引擎而出現(xiàn)顯著增長(zhǎng)，實(shí)測(cè)空載97W、滿載120W的結(jié)果在2U規(guī)格的安全網(wǎng)關(guān)設(shè)備中表現(xiàn)尚可。

嚴(yán)格的管理方式是泰山紅日系列產(chǎn)品的亮點(diǎn)之一。該產(chǎn)品支持Telnet、SSH1/SSH2、基于HTTPS的WebUI與本地串口管理，但默認(rèn)只開(kāi)啟了后兩者，而且在登錄到WebUI前，必須在本地控制臺(tái)中導(dǎo)入設(shè)備附帶的管理員證書。泰山紅日使用這種雙向驗(yàn)證建立SSL隧道的方式，有效屏蔽了密碼泄露導(dǎo)致的安全威脅。該產(chǎn)品也支持證書導(dǎo)入，可以無(wú)縫融入政府、金融等大型用戶已部署的證書管理體系中。

隨著安全網(wǎng)關(guān)逐漸成為市場(chǎng)主流，網(wǎng)御神州也順應(yīng)平臺(tái)化的大潮，在泰山紅日系列產(chǎn)品中集成了多種實(shí)用的安全功能。除防火墻、IPSec VPN、SSL VPN、病毒過(guò)濾、入侵防御等常見(jiàn)功能外，該產(chǎn)品還內(nèi)置了囊括57大類、超過(guò)1200萬(wàn)個(gè)URL信息的綠色上網(wǎng)、針對(duì)應(yīng)用的控制及基于Web或客戶端的用戶認(rèn)證等行為管理類組件，提供了由被動(dòng)到主動(dòng)的立體防御措施。這種模式的優(yōu)點(diǎn)顯而易見(jiàn)，用戶可以根據(jù)自身需求選擇相應(yīng)的功能模塊，并且在未來(lái)安全需求發(fā)生變化時(shí)，保持快速升級(jí)的能力。

　　

動(dòng)力源：多核AC架構(gòu)

泰山紅日系列產(chǎn)品采用了多核x86處理器搭配可編程ASIC加速引擎的硬件解決方案，網(wǎng)御神州稱之為“多核AC架構(gòu)”。該方案解決了多核架構(gòu)在網(wǎng)絡(luò)層處理能力上的不足，使其在狀態(tài)與應(yīng)用層業(yè)務(wù)處理方面的優(yōu)勢(shì)得到很好的發(fā)揮，與傳統(tǒng)ASIC架構(gòu)相比有著截然不同的存在意義。

如今，技術(shù)領(lǐng)域發(fā)生了翻天覆地的革命。多核x86處理器憑借強(qiáng)大的計(jì)算能力與突飛猛進(jìn)的I/O性能，越來(lái)越多地出現(xiàn)在安全產(chǎn)品中，承載起各類復(fù)雜的業(yè)務(wù);ASIC也在形態(tài)、成本、性能等方面找到合理的平衡點(diǎn)，為整體處理能力的提升提供了易于實(shí)現(xiàn)的基礎(chǔ)，而不僅僅表現(xiàn)為“傻快傻快”的防火墻。最重要的變化還是來(lái)自需求方面，安全業(yè)務(wù)的不斷拓展使得病毒過(guò)濾、入侵防御乃至應(yīng)用控制等功能逐漸成為與防火墻同樣重要的關(guān)注焦點(diǎn)，這恰恰是多核AC架構(gòu)的用武之地。經(jīng)過(guò)可編程ASIC加速引擎的卸載，多核x86處理器可以專注于應(yīng)用層業(yè)務(wù)的處理，使之盡可能少地成為系統(tǒng)性能的短板。這一點(diǎn)，在測(cè)試中有比較明顯的體現(xiàn)。

與新的硬件架構(gòu)相對(duì)應(yīng)，改進(jìn)過(guò)的網(wǎng)御神州SecOS并行安全操作系統(tǒng)將負(fù)擔(dān)起更多的調(diào)度協(xié)調(diào)工作，使多核平臺(tái)與可編程ASIC加速引擎盡可能地融為一體。對(duì)于不同硬件平臺(tái)之間的資源差異，也可以利用系統(tǒng)內(nèi)置的CPU核任務(wù)調(diào)度負(fù)載均衡技術(shù)實(shí)現(xiàn)任務(wù)的統(tǒng)一分配，最大限度地利用多核x86處理器進(jìn)行應(yīng)用層業(yè)務(wù)的處理。這種并行化的運(yùn)作方式，可以確保每個(gè)內(nèi)核都能在資源允許的范圍內(nèi)實(shí)現(xiàn)處理能力的最大化，也是提高產(chǎn)品穩(wěn)定性與平滑升級(jí)的先決條件。

性能：理論決定實(shí)際

架構(gòu)上的優(yōu)勢(shì)可以通過(guò)理論分析得出，產(chǎn)品化后的真實(shí)性能如何，還得通過(guò)測(cè)試來(lái)驗(yàn)證。我們首先按照RFC2544規(guī)范的要求，使用思博倫通信提供的SmartBits 600測(cè)試儀考察了泰山紅日G60-76AA在1條全通策略與199條阻斷/1條全通策略配置下防火墻的吞吐量與平均延遲。為保證結(jié)果的準(zhǔn)確性，測(cè)試分別在路由、透明及NAT模式下進(jìn)行3次，取穩(wěn)定值作為最終結(jié)果。

我們得到了一組整齊劃一的測(cè)試數(shù)據(jù)。無(wú)論是路由、透明還是NAT模式，泰山紅日G60-76AA在7種幀長(zhǎng)下都保持了100%的線速吞吐。延遲方面的表現(xiàn)也頗具亮點(diǎn)，64、128Byte幀長(zhǎng)時(shí)小于7微秒的平均延遲將設(shè)備對(duì)視頻會(huì)議等時(shí)延敏感型應(yīng)用的影響減少到最小。需要說(shuō)明的是，因?yàn)闇y(cè)試儀端口數(shù)量的限制，本次只使用了8個(gè)千兆口進(jìn)行測(cè)試。如此看來(lái)，8Gbps線速絕非該產(chǎn)品的極限性能，也許我們應(yīng)該使用更多的端口進(jìn)行復(fù)測(cè)。

對(duì)于狀態(tài)檢測(cè)防火墻來(lái)說(shuō)，必須還要有足夠優(yōu)秀的連接建立、維護(hù)能力，才能讓吞吐量的數(shù)值具有實(shí)際意義。我們按照RFC3511的規(guī)范要求，使用思博倫通信提供的Avalanche 2900應(yīng)用層性能測(cè)試儀對(duì)泰山紅日G60-76AA進(jìn)行了測(cè)試。在路由模式、加載200條防火墻策略的情況下，該產(chǎn)品的每秒HTTP新建連接數(shù)超過(guò)6萬(wàn)5千，并可保持最大200萬(wàn)個(gè)并發(fā)連接。結(jié)合之前網(wǎng)絡(luò)層測(cè)試結(jié)果看，如果用戶需要的是一臺(tái)高性能千兆防火墻，這款產(chǎn)品無(wú)疑是個(gè)不錯(cuò)的選擇。

多核AC架構(gòu)支撐下的多業(yè)務(wù)綜合性能，是泰山紅日系列產(chǎn)品另一個(gè)值得關(guān)注的重點(diǎn)。我們?cè)诼酚赡Ｊ?、防火墻加載200條策略的基礎(chǔ)上，打開(kāi)病毒過(guò)濾與入侵防御模塊進(jìn)行了測(cè)試。此時(shí)G60-76AA的HTTP可用帶寬達(dá)到1280Mbps，每秒HTTP新建連接數(shù)為13766，最大并發(fā)連接數(shù)依舊保持在200萬(wàn)。對(duì)比純x86多核平臺(tái)的產(chǎn)品，這個(gè)結(jié)果確實(shí)有一定的優(yōu)勢(shì)。而從未來(lái)前景考慮，x86多核處理器的高速更新?lián)Q代幾乎是必然結(jié)果，這也意味著泰山紅日系列產(chǎn)品在網(wǎng)絡(luò)層性能保持領(lǐng)先的同時(shí)，應(yīng)用層性能還有著廣闊的提升空間。