安全产品架构分析

安全产品架构分析安全产品架构分析 安全 的网络 离不开安全产品 而高端的安全产品则更是焦点 万兆 性能和深度报文处理已成为高端产品的基本需求 能否从设计上就既保证强大 的性能和丰富的功能 同时又最大限度的降低和保护用户投资 构建一个 弹 性 的产品平台 成为高端安全产品架构设计的精髓 安全产品的基本架构安全产品如同其他数据通信产品一样 其系统架构设 计也有着基本原则和定式 即使是面临新的挑战 这些基本的设计框架依然得 到了延续 但在具体的方案和实现上 却有着不同的优化和改进 最基本的一 个设计框架就是安全产品基本上都基于 快速路径 慢速路径 的设计原则 图 1 这是由安全产品的技术特点决定的 快速路径用来完成基本的数据转发和 交换 尤其是数据流的后续报文 特点是流量大 而慢速路径进行深度的协 议处理 不但包括数据流的首包处理 还包括对 payload 的复杂处理 特点是 处理复杂 从具体实现上看 业界主流厂商安全产品大致可以分为如下几类 1 ASSP 通用处理器平台 X86 Server 嵌入式系统 2 FPGA ASIC 多核处理器 通用 X86 处理器 3 多核处理器 通用 X86 处理器 4 NP 多核处理器 5 FPGA ASIC NP 多核处理器 通用 X86 处理器 从架构上看 1 是一种架构 所有功能都依赖于通用的 CPU 处理平台 图 2 而 2 3 4 5 的产品架构比较类似 可以统一归纳为一种架构 图 3 这两 种架构最大的区别就在于其是否有专门的部件或模块 来独立完成快速路径的 处理 这里 我们把第一种架构 即完全基于通用处理器来完成所有报文处理 的架构称为 纯软件的设计架构 架构 A 而把有专门部件或模块进行快 速路径处理的架构称为 基于硬件加速的架构 架构 B 需要注意的是 对于纯软件的架构设计 处理器平台其实也有不同的选择 比 如可以是 X86 架构的通用处理器 也可以是单核的嵌入式处理器如 PowerPC 还可以是最新的多核处理器 相对于 X86 处理器和嵌入式处理器 多核处理器 由于其在单颗芯片内集成了更多的 CPU 处理单元 因此其在处理能力上比前两 者更高 辅助于优秀的软件系统设计 是目前通用处理器上较好的选择 当然 考虑到其也是靠软件编程来实现各种功能的 在下文中针对通用处理器平台就 不再分开讨论了 纯软件的架构设计 是最常见的一种安全产品设计方案 也是一种通用的安全 产品架构设计 可以称之为 万能 设计 对于安全领域的各种产品形态 都 完全可以采用架构 A 的方案进行设计 在这种架构上面 产品的所有特性和功 能都是通过编写软件代码来实现的 可以最大限度的实现灵活性 复杂性和扩 展性 另外 从技术难度和成本来讲 架构 A 也是很有优势的 但是 架构 A 的缺点也显而易见 性能比较差 即使是使用目前业界最高端的 CPU 来实现 在复杂业务处理的情况下也很难达到 2G 以上的吞吐性能 这不仅仅因为在架构 A 中所有的功能都用软件完成 本身对处理器而言就是很沉重的负载 而且 通用处理器 包括多核处理器 在外围接口上 往往因为其考虑了更多的通用 性而造成不能够达到很高的带宽 所以 在业界的安全厂家中 架构 A 在中低 端安全产品中采用的比较多 设计的产品往往都具有较好的性价比 对于高端的安全产品 为了达到更高的性能目标 则必须采用基于硬件加速的 产品架构设计 即架构 B 架构 B 有什么优势呢 首先 把处理相对比较简单 但是流量很大的 快速路径 从处理器上 卸载 Offload 下来 把 宝贵 的处理器资源留给复杂的协议处理和报文的深度检测 另一方面 因为专用芯 片如 FPGA ASIC NPU 等本身又具有很高带宽的外部接口 如多个 DDR RAM SRAM TCAM 接口等 具有很强的报文处理能力 让这些芯片去承担大 吞吐量的快速路径处理 恰恰充分发挥了它的特点 这样的系统设计就达到了 很好的平衡 物尽其用 让每颗芯片都去完成其最擅长的功能 充分发 挥其硬件加速的特点 高端安全产品的架构设计 基于硬件加速的架构 图 3 其慢速路径的通用处理器单元可以基于多 核处理器来实现 这种选择相对于基于 X86 的处理器和嵌入式处理器在处理能 力上更有优势 灵活性也很强 是目前主流的实现方式 在快速路径的设计上 根据前面的描述 也有各种各样的实现方案 如实现方式 2 3 4 5 这些 不同的实现方案采用了不同的芯片如 FPGA ASIC NPU 及多核处理器等 面对这 些组合 该如何看待其方案的差异性呢 在分析这个问题之前 先来看看高端安全产品的一个设计理念 从处理器上 卸载更多的业务 安全产品因为其业务处理的复杂性和多变性 导致不可能完 全采用 ASIC 来完成所有的业务处理 这一点在本文前面已经有所讨论 所以 通用处理器在安全产品中是必不可少的一个部件 但是 通用处理器的性能差 也是无法避免的 因此 要想达到更高的性能 就必须尽可能的让更多的流量 不通过通用处理器进行转发和处理 哪个设计能够从通用处理器上卸载更多的 业务和流量 哪个产品就能够达到更高的性能 这是高端产品架构设计的关键 之处 也是安全产品提升性能的关键之处 乃 兵家必争之地 弄清楚了这 一点 就很容易对高端产品的架构进行甄别 从而找到最优的设计方案 现在再回到刚才的那个问题 在快速路径的设计上 采用 FPGA ASIC NPU 和多核处理器究竟有什么区别 首先对比一下这三类器件的技术特征 表 1 包括性能 功能复杂性 报文 深度处理能力和扩展性 性能就是报文在快速路径的处理和转发性能 包括对 报文解析 查表和内容修改的操作 功能复杂性关注的是芯片能否完成复杂的 协议解析和处理 这很大程度上取决于芯片本身的架构 所谓报文深度处理是 安全产品对报文处理的特点 需要对报文的 payload 进行分析和处理 在某些 业务中甚至要对 payload 的每个字节进行处理 如 IPS IDS anti virus 等 而扩展性 则是考虑到安全产品的特性必须能够很方便的进行功能扩展和升级 以适应不断发展变化的安全新应用 从上面的对比可以看出 NPU 因为其芯片架构更多的是针对 2 3 层的数据转发 路由器应用 所以在安全应用上就有很大的限制 对报文 4 7 层的处理很 难实现 同时 NPU 也是通过微码来实现功能的 所以随着特性的增加 性能 下降非常明显 这样一来 如果用 NPU 来做安全产品的快速路径 所能卸载的 功能就很少 加速的作用很有限 其表现就是在简单业务的配置下 能够达到 较高的性能 但是在复杂功能配置下 性能急剧下降 再考虑到 NPU 本身都 比较昂贵 成本上也不占优 因此 用 NPU 来构建高性能的安全平台 并不是 最佳的方案 再来看看 ASIC 的方案 缺点是显而易见的 使用 ASIC 很难应对纷繁复杂的安 全特性 一旦出现 ASIC 所不支持的规格 就无法起到加速的作用 同时 ASIC 的开发周期又很长 1 年以上 NRE 费用高 所以 基于 ASIC 的平台很难适 应快速发展的安全特性 也不是最佳选择 采用 FPGA 还是多核处理器 在业界有不同的观点 多核技术发展迅猛 无论是 芯片内部 处理器核 的数量 还是主频都在不断提高 这的确在一定程度上 缓解了性能不足的缺点 同时由于其无比的灵活性 扩展性和易用性 通用的 C 语音编程 成为不少国内外厂家中高端安全产品的硬件平台之选 但相比 之下 采用 FPGA 来完成安全产品的硬件加速则由于以下原因而更胜一筹 其一 安全产品 尤其是高端安全产品 越来越多的要求提供多个 GE 和 10GE 接口 因此 能否达到 10G 的处理性能 成为一个很现实的问题 而多核处理 器 由于其本质还是通过代码来实现功能 只要增加代码 性能就一定会 下降 所以当业务比较复杂 数据通路上的代码比较冗长时 性能就明显 下降 很难达到 10G 的处理能力 但对于 FPGA 而言 其芯片的内部架构决定了 在一定范围内 主要受到芯片内部的资源限制 特性的增加不会造成性能的 下降 这在很大程度上有效保证了产品的性能 同时又使得产品特性有相当的 弹性 可以不断增强 其二 FPGA 的技术发展也为 FPGA 的应用提供了更多的支撑 这不仅体现在随 着芯片工艺的飞速发展 FPGA 的规模和片内资源已经有了很大提升 完全能够 支持复杂功能的实现 而且 FPGA 在芯片内部集成了越来越丰富的硬核资源 主要是各种高速接口和一些算法单元 这也使得 FPGA 的开发难度和资源利 用率大为改善 在这些因素的共同推动下 利用 FPGA 来完成安全产品快速路径 的处理 就能够从通用处理器上卸载越来越多的业务到