Hillstone新一代安全应用架构
——多核CPU+ASIC+高速总线+专用操作系统
1 介绍
随着网络应用的快速发展和更多内、外部威胁的出现,我们不得不面临这样的问题:在达到高带宽要求的同时怎样确保网络不受侵害?在各种应用安全防护(例如QoS 、IDP 、网络AV 、反垃圾邮件以及内容过滤等)不断出现的同时,用户仍在寻求更高安全级别的设备。
当前的设备不能解决上述问题,因为它们没有足够的CPU 处理能力,不能在进行千兆数据处理的同时执行安全检测。
Hillstone 的创新解决方案集先进的软硬件技术于一身,创造了一个全新的安全平台,完全能够应对我们当前面临的问题。
2 防火墙技术的发展
1995 年,CheckPoint 推出了第一代防火墙产品:基于软件的防火墙。它是状态检测防火墙,在当时是技术性的突破。然而,问题很快就出现了:软件解决方案会产生性能变异,且问题很难控制,因而这种方案不能适用于需要提供吞吐量保证和低延迟的网络。
在1996 到1997 年,出现了第二代防火墙:基于x86 架构的防火墙。x86 架构又被称为通用CPU 架构,具有开发、设计门槛低,技术成熟等优点,曾经以其高灵活性和扩展性在百兆防火墙上获得过巨大成功。但是缺陷也是显而易见的:在X86 平台,所有通过防火墙的数据包都要通过CPU 去处理,由于x86 架构的硬件并非为了网络数据传输而设计,它对数据包的转发性能相对较弱,内部交换总线则成了处理能力的瓶颈,无法适应日益增长的网络性能要求。
图1:基于X86 的防火墙结构
——多核CPU+ASIC+高速总线+专用操作系统
1 介绍
随着网络应用的快速发展和更多内、外部威胁的出现,我们不得不面临这样的问题:在达到高带宽要求的同时怎样确保网络不受侵害?在各种应用安全防护(例如QoS 、IDP 、网络AV 、反垃圾邮件以及内容过滤等)不断出现的同时,用户仍在寻求更高安全级别的设备。
当前的设备不能解决上述问题,因为它们没有足够的CPU 处理能力,不能在进行千兆数据处理的同时执行安全检测。
Hillstone 的创新解决方案集先进的软硬件技术于一身,创造了一个全新的安全平台,完全能够应对我们当前面临的问题。
2 防火墙技术的发展
1995 年,CheckPoint 推出了第一代防火墙产品:基于软件的防火墙。它是状态检测防火墙,在当时是技术性的突破。然而,问题很快就出现了:软件解决方案会产生性能变异,且问题很难控制,因而这种方案不能适用于需要提供吞吐量保证和低延迟的网络。
在1996 到1997 年,出现了第二代防火墙:基于x86 架构的防火墙。x86 架构又被称为通用CPU 架构,具有开发、设计门槛低,技术成熟等优点,曾经以其高灵活性和扩展性在百兆防火墙上获得过巨大成功。但是缺陷也是显而易见的:在X86 平台,所有通过防火墙的数据包都要通过CPU 去处理,由于x86 架构的硬件并非为了网络数据传输而设计,它对数据包的转发性能相对较弱,内部交换总线则成了处理能力的瓶颈,无法适应日益增长的网络性能要求。
图1:基于X86 的防火墙结构
1997 年,NetScreen 成功研发了ASIC 防火墙。这种定制的ASIC 防火墙与软件解决方案相比,安全规则匹配速度和数据流查询速度提升了几十倍。NetScreen 防火墙是第一个在网络层安全上达到千兆速率并且提供优异性能的防火墙。
图2:ASIC 防火墙结构
从此,防火墙技术发生了巨大的变化。ASIC 防火墙优于传统防火墙,例如在处理NAT 和快速数据流查询方面。但是,在集成了应用层安全功能后,CPU 就没有足够的处理能力了。对于当前的安全设备,一旦开启应用安全功能,性能通常都会大大下降。
近几年,一些公司开始为应用层安全尝试使用网络处理器(NP)结构。虽然NP 在可扩展性上优于ASIC,但是它仍然不能及时响应今天安全需求的快速变化。由于缺乏可扩展性和可维护性,NP 结构已经逐渐被淘汰。
随着应用层网络功能集成的快速发展,例如QoS,需要大量的CPU 处理,而现今的安全设备却不能很好的支持这一功能。
3 创新一代安全架构
3.1 硬件平台
ASIC 能够做到的是高速执行简单的预定义操作,已被证实能够实现的技术包括规则查询、会话匹配、数据包交换/路由和QoS 队列管理等。许多网络层的安全
功能都可以在ASIC 内部得到实现。
与通用处理器相比,ASIC 的缺点在于它的不可改变性和低扩展性,尤其缺乏用户自定义特性。现在的大部分应用安全逻辑都或多或少需要一定程度的CPU 干预处理,这也就是多核CPU 的主要优势所在。
Hillstone 安全平台使用ASIC 来实现网络级安全,使用多核CPU 加速应用层安全,再使用高速交换总线加速各个模块之间的通信。
图3:Hillstone 安全平台硬件架构
StoneASIC——Hillstone ASIC 解决方案主要用于网络和安全加速,在硬件平台上结合了最新的网络安全处理技术和攻击防护功能。当设备需要快速转发数据包并防护来自僵尸网络(botnet) 的各种类型的攻击时,StoneASIC 可以提供卓越的性能保证。这样就能够释放更多处理器性能来运行其它更需要CPU 计算的功能。并且,StoneASIC 的硬件管道能够为数据流提供稳定的、低延迟的高带宽总线,不需要其它安全处理。
多核CPU——Hillstone 利用高性能CPU 使对网络数据包的处理达到最优。CPU 固定在硬件的包转发引擎中,用来处理包保序和不同核之间的分发。在针对多核并行处理而专门开发的StoneOS 操作系统支持下,基于数据包的细粒度并行调度技术确保每个核都能高负荷运行,从而使整个系统性能达到最优。智能的数据包跟踪技术确保数据包经不同核处理后能按照输入顺序被输出。并行工作的多核CPU 能够在网络和安全处理中提供可升级的、高可靠的性能。并且,它能够提供最大限度的灵活适应性来处理现今安全设备
所面临的各种复杂需求。
高速交换总线模块——这种交换总线通过端口把多核CPU 和StoneASIC 连接起来,并且保证所有模块之间快速的无阻碍通信。市场中的大量安全设备都是依靠低速总线进行CPU 通信的,存在内部数据交换瓶颈。而Hillstone 通过使用高速交换总线避免了这一缺陷。
Hillstone 平台还集成了IPSec 、SSL 、加解密运算、压缩解压缩以及DFA 功能的硬件加速芯片。IPSec ××× 支持DES 、3DES 、AES 、AES192 、AES256 、NULL 和SCB2 等加密算法,哈希算法包括SHA1 、MD5 和NULL 等。对于DES 、3DES 、AES 、AES192 和AES256 采用OCTEON 的芯片加密引擎进行硬件加速,SCB2 国密算法采用了单独的加速芯片进行加速。通过硬件加速,实现了数据的快速加解密,提高了数据的吞吐量,减少了数据处理的延时,从而保证了用户应用的快速处理。
3.2 软件
StoneOS 是Hillstone 自主研发的64 位实时并行操作系统。它支持专有的并行多核处理器控制技术和ASIC 控制技术。StoneOS 为网络和应用安全功能提供了可升级、高可靠的系统平台。
StoneOS 由完全独立的控制平面和数据平面组成。这种分离机制保证了控制平面的可靠性、稳定性和数据平面的卓越性能。StoneOS 数据包转发引擎– 可升级安全引擎(SSE) 是完全用户化定制且经过安全加固,可实现安全和网络处理的高度并行,能够充分利用多核和ASIC 结构的各自优势,同时能够保证数据包的保序质量,为用户营造高性能、高可信赖的网络。
图4:StoneOS 软件架构
StoneOS SSE 结合了网络数据包分类、攻击防护、安全规则匹配、QoS 、转发、路由和××× 处理等功能,并且将它们并行化,从而在多核处理器上高效运行。Hillstone 的多核控制技术能够在最小化多核协调花费的同时允许每个核的单独运行。
对于那些不能通过ASIC 完成的、需要安全处理的数据流,将由多核CPU 和StoneOS 进行处理,且并行工作的多核CPU 的处理速度能够与ASIC 的包处理速率相匹配。这样,Hillstone 解决了传统纯ASIC 系统的CPU 瓶颈问题。
Hillstone 安全平台采用模块化设计,能够方便的进行软件模块的嵌入集成或者硬件模块的外部扩展,以此来支持更多的网络和安全功能。
4 结论
现在,防火墙技术的发展正在超越传统的ASIC 解决方案,进入一个全新的时代。安全和网络市场的结合要求更高处理能力的设备,Hillstone 安全网络设备正在以创新的安全应用架构来引领这一发展趋势。
Hillstone 解决方案能够为用户提供:
一流的攻击防护能力,能够防御各种DoS 和DDoS 攻击
超过目前市场同类产品5到10 倍的新建会话能力
处理各种数据包以及××× 流量时的卓越性能
进行应用安全处理时的卓越性能
杰出的QoS 性能,支持上万用户的细粒度QoS 和会话控制
