【51CTO.com綜合報道】在IT技術(shù)和互聯(lián)網(wǎng)快速發(fā)展的過程中，信息安全防護(hù)起著極其重要的作用，正是在"道高一尺、魔高一丈"的博弈過程中，信息安全技術(shù)才得以在橫向和縱向兩個方面不斷發(fā)展：橫向發(fā)展方面，互聯(lián)網(wǎng)上的安全威脅的日益多樣性，催生了諸如IPS入侵防御和WEB安全網(wǎng)關(guān)等聚焦應(yīng)用層安全防護(hù)的產(chǎn)品，其與傳統(tǒng)的防火墻產(chǎn)品協(xié)同配合形成覆蓋L2-L7層的安全防護(hù)網(wǎng)絡(luò)；縱向方面，以防火墻和IPS為代表的安全產(chǎn)品，在特性完善和性能提升方面有了很大的進(jìn)步，在性能方面也在從百兆千兆萬兆甚至到100G的方向演變，成為安全產(chǎn)品發(fā)展的旗幟和標(biāo)桿。

(一) 100G性能--安全產(chǎn)品發(fā)展的必然趨勢

1） 互聯(lián)網(wǎng)應(yīng)用的極大豐富，將導(dǎo)致網(wǎng)絡(luò)流量快速上升數(shù)倍

當(dāng)前的互聯(lián)網(wǎng)業(yè)務(wù)類型相比互聯(lián)網(wǎng)初期已經(jīng)有了革命性的變化，多種新型的互聯(lián)網(wǎng)應(yīng)用迅速吸引了大量的網(wǎng)民，如最為典型的微博，國內(nèi)某微博服務(wù)商宣稱其用戶數(shù)目已達(dá)到或超過1億。隨著這些用戶活躍程度繼續(xù)上升，互聯(lián)網(wǎng)流量將急劇上升。與此同時，諸如網(wǎng)絡(luò)視頻類業(yè)務(wù)也將成為未來的殺手級業(yè)務(wù)，且智能終端的大量出現(xiàn)，未來基于這種便利的上網(wǎng)行為將并且已成為潮流，這些新興業(yè)務(wù)應(yīng)用將將是未來互聯(lián)網(wǎng)的流量增長的重要推動力。有資料顯示，未來3年內(nèi)，全球網(wǎng)民的用戶數(shù)將突破30億的規(guī)模，整個互聯(lián)網(wǎng)的流量將增長4倍以上，由此引發(fā)的包括防火墻、IPS和應(yīng)用層網(wǎng)關(guān)等在內(nèi)的互聯(lián)網(wǎng)設(shè)備都需要考慮有足夠的處理能力和帶寬資源；尤其是防火墻產(chǎn)品，作為互聯(lián)網(wǎng)安全訪問的第一道屏障，升級跨向100G的級別將勢在必行。

2） 云計(jì)算環(huán)境下，分布式部署的安全產(chǎn)品向集中的資源池部署轉(zhuǎn)移，由此必然對設(shè)備性能提出了要求

現(xiàn)階段云數(shù)據(jù)中心的建設(shè)正在成為一種潮流，為了得到更高效的處理效率，更好的可靠性保證已經(jīng)更加簡易化的資源調(diào)配和部署，云數(shù)據(jù)中心的基礎(chǔ)架構(gòu)也必然要進(jìn)行升級演化。如圖1所示，傳統(tǒng)的數(shù)據(jù)中心的建設(shè)過程中，網(wǎng)絡(luò)層次分明，安全的邊界相對比較明確且分散，在進(jìn)行防火墻和IPS等產(chǎn)品部署時對性能沒有嚴(yán)格的要求，屬于分布式的部署模型。而在新一代云計(jì)算數(shù)據(jù)中心建設(shè)過程中，網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和服務(wù)器存儲資源等等都進(jìn)行了資源池化處理，網(wǎng)絡(luò)層次之間的互聯(lián)更多的是多條10GE鏈路的捆綁上行，并且已經(jīng)找不到明顯的安全邊界。在這種情況下，安全設(shè)備要想成功部署，一方面需要有高密度的GE/10GE的端口密度，另一方面要有超高的處理能力，以確保防火墻等安全產(chǎn)品不會成為用戶訪問的瓶頸；此時，超高性能的安全網(wǎng)關(guān)將因?yàn)槠浔旧淼奶幚砟芰?、方便的單一設(shè)備管理等因素成為高端用戶安全防護(hù)的優(yōu)先選擇；

圖1 云計(jì)算環(huán)境下虛擬化資源池示意圖

3） 高端用戶對高性能安全產(chǎn)品的現(xiàn)實(shí)需求

部分網(wǎng)絡(luò)承載的用戶數(shù)目比較大，應(yīng)用種類比較豐富、用戶對服務(wù)器訪問的帶寬也比較充足，存在周期性高突發(fā)流量、應(yīng)用系統(tǒng)要求低延時等，需要有高性能的防火墻等安全產(chǎn)品進(jìn)行支撐。

典型如部分電信運(yùn)營商，其在自身網(wǎng)絡(luò)安全加固及數(shù)據(jù)中心增值業(yè)務(wù)建設(shè)過程中需要部署高端的防火墻，尤其是未來在大型的內(nèi)容服務(wù)提供商（如網(wǎng)絡(luò)游戲等）可能進(jìn)入IDC，將導(dǎo)致IDC的出口帶寬大幅增加到100G的級別，此時為了給租戶提供更好的網(wǎng)絡(luò)環(huán)境，杜絕更多的非法訪問和可能的安全攻擊，具備上百G性能及高密度10GE接口能力的高端安全產(chǎn)品如防火墻成為了必然選擇。

在金融行業(yè)，按照數(shù)據(jù)大集中的要求，各大銀行紛紛開始按照兩地三中心的模式建設(shè)高性能高可靠的數(shù)據(jù)中心網(wǎng)絡(luò)，此時為了確保數(shù)據(jù)中心的安全訪問，對高性能的安全產(chǎn)品尤其是防火墻產(chǎn)品提出了額明確的需求。

在教育行業(yè)，部分高校用戶的學(xué)生規(guī)模擴(kuò)張到數(shù)萬人以上，學(xué)生PC終端擁有量上升，這將產(chǎn)生大流量的數(shù)據(jù)訪問，包括很多針對校內(nèi)應(yīng)用資源諸（如視頻會議、多媒體網(wǎng)絡(luò)教學(xué)、VOD點(diǎn)播、數(shù)字圖書館及科研等）的訪問，在建設(shè)萬兆以太網(wǎng)進(jìn)行業(yè)務(wù)承載的同時，校園的安全防護(hù)也需要有高性能的防火墻進(jìn)行保障。

歸結(jié)起來，單設(shè)備超高性能的安全產(chǎn)品如100G防火墻，相比較分散的中低端性能的安全產(chǎn)品，可以有效降低網(wǎng)絡(luò)部署的復(fù)雜度，減少網(wǎng)絡(luò)可管理的節(jié)點(diǎn)數(shù)目，保證用戶的網(wǎng)絡(luò)快速安全和可靠。

(二) 100G安全產(chǎn)品實(shí)現(xiàn)的關(guān)鍵點(diǎn)

1） 分布式設(shè)計(jì)模型下的關(guān)鍵模塊構(gòu)成

對于超高性能的防火墻等安全產(chǎn)品而言，單純的集中處理模式已經(jīng)難以滿足性能設(shè)計(jì)的要求，分布式架構(gòu)成為大勢所趨，尤其是對于需要進(jìn)行報文深度檢測的產(chǎn)品如IPS入侵防御設(shè)備等。基于這種分布式的架構(gòu)，獨(dú)立的雙主控單元、高性能的業(yè)務(wù)處理引擎單元、多種規(guī)格的GE/10GE接口模塊，高性能的分流模塊是其關(guān)鍵的組成部分。

在雙主控實(shí)現(xiàn)方面，現(xiàn)有的高端安全產(chǎn)品（現(xiàn)階段主要是防火墻產(chǎn)品）對于可靠性的要求是保持轉(zhuǎn)發(fā)層面的不中斷，要求實(shí)現(xiàn)兩臺設(shè)備之間的會話信息和配置信息的同步，設(shè)備的任何故障包括主控模塊的處理故障都將觸發(fā)這種雙機(jī)的切換。但是在100G防火墻產(chǎn)品級別，主控模塊的價值體現(xiàn)在控制協(xié)議的學(xué)習(xí)，路由表項(xiàng)的學(xué)習(xí)下發(fā)，各業(yè)務(wù)模塊之間的流量均衡調(diào)度和設(shè)備的統(tǒng)一管理等，其本身的功能也有較高的本地可靠性保障的需求，因此本機(jī)雙主控模塊將進(jìn)一步增強(qiáng)系統(tǒng)內(nèi)部的故障備份，配合已有的雙機(jī)熱備技術(shù)，可以提升系統(tǒng)的可靠性水平。

同時，高效的I/O接口模塊或者是高性能的分流模塊，也是其區(qū)別中低端防火墻的重要差別。尤其是在大規(guī)模的流量到達(dá)設(shè)備后，需要通過靈活的分流策略，將報文均衡調(diào)度到不同的安全業(yè)務(wù)模塊，才能保證分布式的報文處理效率。為此，這些I/O接口模塊或者是專業(yè)的分流模塊，需要支持針對IP多元組的預(yù)配置分流策略，或者是自動的分流分配機(jī)制，確保流量分配的均衡性，以及該流量往返路徑的一致性。只有這樣，每個業(yè)務(wù)處理引擎單元才能檢測到單條流的完整會話過程，從而根據(jù)該條流的首個報文建立起正確的會話表項(xiàng)，為后續(xù)的轉(zhuǎn)發(fā)奠定基礎(chǔ)。

最后，對于高端的安全設(shè)備而言，安全業(yè)務(wù)處理引擎的性能和表現(xiàn)，對于整機(jī)是否能達(dá)到設(shè)計(jì)的性能和功能目標(biāo)起著直接的決定作用，無論是防火墻產(chǎn)品還是入侵檢測等產(chǎn)品的核心處理環(huán)節(jié)都需要依賴該業(yè)務(wù)處理模塊。對于防火墻和IPS入侵防御等產(chǎn)品，在進(jìn)行該業(yè)務(wù)單元設(shè)計(jì)時，需要考慮他們的業(yè)務(wù)處理流程上的差異，合理的選擇該業(yè)務(wù)單元的關(guān)鍵器件，并將不同的業(yè)務(wù)環(huán)節(jié)劃分到不同的邏輯電路，才能保證設(shè)計(jì)目標(biāo)的實(shí)現(xiàn)。

2） 安全業(yè)務(wù)模塊的硬件選擇

如前所述，安全業(yè)務(wù)模塊是產(chǎn)品的核心模塊，其不但要承擔(dān)整個安全業(yè)務(wù)處理的各個環(huán)節(jié)，還需要考慮到系統(tǒng)的性能設(shè)計(jì)目標(biāo)，也就是說，該模塊不但要完整核心的軟件功能，還必須考慮做到超高的性能，該單元的處理能力，直接決定了整機(jī)的性能。

基于系統(tǒng)的高性能的設(shè)計(jì)目標(biāo)，在對該硬件模塊進(jìn)行電路設(shè)計(jì)時，需要結(jié)合當(dāng)前的硬件技術(shù)的發(fā)展水平，并結(jié)合當(dāng)前可選的功能器件如NP處理器、ASIC器件、FPGA邏輯電路、多核處理器、通用CPU處理器、內(nèi)容加速處理器的方案差異，合理選擇適合的硬件設(shè)計(jì)方案。

目前較常用的方式是多核處理器和FPGA邏輯的配合，隨著多核技術(shù)的迅猛發(fā)展，無論是芯片內(nèi)部"處理器核"的數(shù)量還是主頻都在不斷提高，這為其高性能的業(yè)務(wù)處理能力提供了保障，同時由于多核產(chǎn)品對多業(yè)務(wù)流程處理的靈活性、功能的可擴(kuò)展性和易用性（通用的C語言編程），因此成了中高端安全產(chǎn)品的首選。在高端防火墻和IPS等產(chǎn)品的設(shè)計(jì)過程中，可以利用多核CPU充當(dāng)安全處理引擎單元的慢路徑關(guān)鍵處理器，承擔(dān)防火墻和IPS等產(chǎn)品的首包分析的工作，實(shí)現(xiàn)對會話的狀態(tài)檢測和表項(xiàng)下刷；而FPGA可以作為快路徑的主要處理單元，在慢路徑將會話和轉(zhuǎn)發(fā)表現(xiàn)下發(fā)后，完成對報文的快速匹配和轉(zhuǎn)發(fā)。從另外一個角度，對于IPS等深度報文檢測的產(chǎn)品而言，考慮到其需要提取報文的payload負(fù)載并進(jìn)行大容量的特征庫匹配，為了做到高性能需要考慮配套專用的內(nèi)容加速芯片，實(shí)現(xiàn)對特征庫基于正則表達(dá)式等形式的高速查找。

因此可見多核、FPGA邏輯轉(zhuǎn)發(fā)以及專用的內(nèi)容加速固定特征庫匹配器件，是未來超高性能安全產(chǎn)品的重要選擇；

3） 業(yè)務(wù)處理引擎對于報文處理流程的層次化設(shè)計(jì)

作為系統(tǒng)的核心處理單元，設(shè)備的安全業(yè)務(wù)處理引擎要想達(dá)到更高的性能，就必須不要純粹基于通用處理器進(jìn)行轉(zhuǎn)發(fā)和處理流量，而是要考慮將流量合理的卸載到其他的協(xié)處理器（諸如FPGA等器件），實(shí)現(xiàn)報文的硬件加速。

基于整個報文處理流程，高端安全產(chǎn)品軟件設(shè)計(jì)可以劃分為軟件慢路徑、軟件快速路徑、硬件加速三個層面。無論是對于防火墻產(chǎn)品還是IPS入侵檢測產(chǎn)品而言，其本身的業(yè)務(wù)處理流程中，都存在可以利用硬件加速提升性能的處理環(huán)節(jié)，典型如防火墻的會話快速轉(zhuǎn)發(fā)環(huán)節(jié)，如IPS入侵防御產(chǎn)品的固有特征庫的快速查找匹配環(huán)節(jié)等。對于這些可以直接通過硬件快速路徑處理后轉(zhuǎn)發(fā)，對于已經(jīng)明確處理策略的數(shù)據(jù)流通過軟件快速路徑進(jìn)行加速處理，剩余的其它數(shù)據(jù)流由軟件慢路徑進(jìn)行深度解析處理。

基于這種分層的設(shè)計(jì)思路，不僅可以充分發(fā)揮專用硬件芯片的處理性能優(yōu)勢，也減輕了通用處理器的處理負(fù)擔(dān)，使通用處理器可以有更多的資源來實(shí)現(xiàn)對關(guān)鍵流程如會話建立的處理效率，保證業(yè)務(wù)模塊的性能均衡而高效。

(三) 100G安全產(chǎn)品的衡量標(biāo)準(zhǔn)

對于高端防火墻和IPS入侵防御等產(chǎn)品而言，其超高的性能、出色的可靠性和穩(wěn)定性，靈活的組網(wǎng)能力和擴(kuò)展性、以及設(shè)備的綠色環(huán)保等方面，無疑是衡量其是否出色的重要指標(biāo)；而基礎(chǔ)的性能指標(biāo)參數(shù)，以及關(guān)鍵特性的實(shí)現(xiàn)程度，無疑是對高端安全產(chǎn)品實(shí)現(xiàn)程度的最直接反映，

1） 系統(tǒng)關(guān)鍵性能指標(biāo)

系統(tǒng)的性能是對安全產(chǎn)品能力和網(wǎng)絡(luò)定位的最直接的反映。

對于防火墻產(chǎn)品而言，常見的性能指標(biāo)包括網(wǎng)絡(luò)的處理時延，不同字節(jié)情況下設(shè)備的吞吐量指標(biāo)，以及單板或設(shè)備的應(yīng)用層性能指標(biāo)典型如每秒新建連接數(shù)和最大并發(fā)連接數(shù)等等。對于IPS產(chǎn)品而言，除了上述參數(shù)之外，還應(yīng)該包括特征庫的容量以及定期更新特征庫的能力?；诂F(xiàn)有的經(jīng)驗(yàn)數(shù)據(jù)，性能出色的防火墻和IPS等設(shè)備，其網(wǎng)絡(luò)處理的延時平均值要控制在30us以內(nèi)，以保證快速處理諸如視頻語音等時延敏感型業(yè)務(wù)。

對于新一代防火墻產(chǎn)品，根據(jù)RFC的測試規(guī)范，在64bytes字節(jié)長度時，每單板的處理性能要求達(dá)到20Gbps吞吐量的水平。對于那些宣稱大包20Gbps性能的產(chǎn)品，由于實(shí)際網(wǎng)絡(luò)中的流量不可能是全部由大包構(gòu)成，因此其在實(shí)際部署時會大打折扣，并不能真正做到對20G實(shí)際流量的處理；對于IPS產(chǎn)品而言，在模擬真實(shí)環(huán)境、保證對攻擊特征的高識別率的情況下的系統(tǒng)性能是否可以達(dá)到10Gbps的設(shè)計(jì)要求；在系統(tǒng)部署了多塊業(yè)務(wù)模塊的情況下，整機(jī)的性能要求做到線性的增長，以實(shí)現(xiàn)對性能的平滑擴(kuò)容。同時，對于并發(fā)連接數(shù)/每秒新建連接數(shù)，應(yīng)用層吞吐量（HTTP、FTP、SMTP等業(yè)務(wù)）以及混合業(yè)務(wù)吞吐量等應(yīng)用層信息指標(biāo)，應(yīng)該也有明確的要求，這些應(yīng)用層的性能指標(biāo)可以作為系統(tǒng)在真實(shí)情況下的處理能力的最直接的參考。

2） 關(guān)鍵特性的實(shí)現(xiàn)程度

除了性能指標(biāo)之外，高端防火墻和IPS等安全產(chǎn)品的關(guān)鍵特性的處理能力和實(shí)現(xiàn)程度，也是衡量設(shè)備是否成功的重要標(biāo)準(zhǔn)。

如虛擬化的實(shí)現(xiàn)，根據(jù)其典型的應(yīng)用場合，在數(shù)據(jù)中心多租戶共享的情況下，防火墻和IPS等安全設(shè)備的虛擬化能力是非常重要的指標(biāo)。要想做到真正的虛擬化并實(shí)現(xiàn)對設(shè)備資源的靈活分配和調(diào)整，需要從以下幾個方面來進(jìn)行衡量：設(shè)備可以支持的虛擬化數(shù)目，每個虛擬化實(shí)例的CPU的資源任意分配指定、內(nèi)存資源劃分定義、設(shè)備新建連接數(shù)目和并發(fā)連接數(shù)可以根據(jù)用戶的需求配置、以及在每個虛擬實(shí)例下，各種安全策略的數(shù)目分配、安全域的數(shù)目分配、NAT資源的分配等等；對于IPS產(chǎn)品，各虛擬實(shí)例的license特征庫可以單獨(dú)激活或升級。同時，還需要考慮到針對各個虛擬設(shè)備進(jìn)行獨(dú)立的配置管理的需要，需要考慮對各個虛擬設(shè)備的安全事件獨(dú)立分析和監(jiān)控的需要。如果設(shè)備的虛擬化實(shí)現(xiàn)非常完整，才可以真正實(shí)現(xiàn)對設(shè)備資源的靈活調(diào)整；

現(xiàn)階段的高端安全產(chǎn)品如防火墻和IPS走向100G，應(yīng)該還是在初期的階段，市場的用戶需求還需要繼續(xù)挖掘和培育，產(chǎn)品的功能、性能和穩(wěn)定性等方面也還需要繼續(xù)完善和提升，尤其是對IPS產(chǎn)品而言，因?yàn)槠浔旧碓谏疃葓笪奶幚憝h(huán)節(jié)上的復(fù)雜性，相對防火墻還有更長的路要走。隨著用戶需求的逐步成熟，產(chǎn)品技術(shù)的不斷進(jìn)步，安全產(chǎn)品的100G時代終將到來。