什么是ASIC架构-精华文章

1、周报全文ASIC芯片驱动综合安全作者：网络世界记者边歆综合安全防护包括防病毒、防垃圾邮件、Web内容过滤等功能，对安全设备的性能提出了很高的要求，而经过改进的ASIC芯片开始承担这些重任。ASIC（专用集成电路）通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而具有性能优势，被广泛应用于各种安全产品中。但ASIC的缺点也同样明显，它的灵活性和扩展性不够、开发费用高、开发周期长（一般耗时接近2年）。由于ASIC存在的缺点，在UTM这种集成多种功能的设备中很少看到ASIC的身影。不过这种情况在2006年发生了变化。ASIC扛起性能大旗目前在市场上有一种观点，认为ASIC架构不能把网关杀毒

2、、垃圾邮件过滤、网络监控等功能做到芯片一级，因此ASIC架构不是UTM的理想选择，x86架构才是UTM的方向。对此，凹凸科技公司系统经理房立财表示，“不能把杀毒、邮件过滤等功能全部放到芯片一级”的说法是对的，但这不能说明ASIC架构的UTM就无法提供高速杀毒、垃圾邮件过滤、内容过滤等功能。这种说法的论据是正确的，但结论有失偏颇。ASIC架构不能缺少CPU在探讨x86和ASIC架构之前，首先要搞清楚这两种架构的概念。其实，关于UTM的ASIC架构和x86架构的概念是较模糊的，是不是全部采用ASIC芯片才是ASIC架构，全部采用x86芯片才是x86架构？实际情况不是这样的。房立财说：“UTM的AS

3、IC架构体现在两个方面。一方面，UTM的平台是基于ASIC芯片；另一方面，在内容处理时采用ASIC芯片作为加速器。凹凸科技认为，如果UTM的平台是基于ASIC芯片的，则称其为ASIC架构。如果UTM的平台基于x86，则是x86架构。不过在ASIC架构的UTM中，依然有通用CPU存在。”CPU在ASIC架构UTM中是必不可少的。CPU所发挥的作用是：很复杂的应用层逻辑，要用CPU处理。例如有新的P2P协议需要编入ASIC芯片，就需要CPU进行处理。UTM在性能方面使用ASIC硬件加速，智能方面借助于CPU。卫士通公司的中华卫士UTM也采用了CPU+ASIC的架构，有10%的数据流由CPU处理。为

4、了使UTM产品能够适用于各种使用环境，ASIC架构UTM出现了UTM整机和UTM功能插卡模块两种产品架构。架构一采用CPU板卡加专用ASIC芯片研制的UTM/通用网关模块的形式，由于网络层数据直接汇总至ASIC芯片处理，因此大幅度的提升了UTM性能（见图1）。其mw昱益亂USB）卄速以太附口架构二直接整合网络接口插卡和UTM专用ASIC芯片，使得UTM功能完全整合在一个专用的模块化插卡当中，不但实现了性能的高速提升，还能够按照用户需求，提供不同类型、不同接口、不同性能的UTM模块。插上UTM模块，设备就成为了一台高性能UTM网关，取下模块，该设备依旧是一台高性能的防火墙/IPS产品。（见图2）

5、使用这种架构，也充分体现了模块化的设计理念，为UTM产品的未来发展提供了一个新的思路。在架构二的基础之上，系统可以千兆线速对数据包进行全包过滤（Web页过滤、URL过滤、关键字过滤、病毒特征过滤等）。周报全文ASIC芯片驱动综合安全作者：网络世界记者边歆摆脱性能桎梏采用ASIC芯片最大的好处，就是利用其硬件加速的能力，加快对内容的处理。ASIC芯片是高性能的27层网络内容全面检查、分流的专用ASIC芯片。它的核心特点是网络全包内容特征的高速查找。ASIC芯片具有软件无法比拟的并行高速检查能力，能够在千兆线速下进行全包内容的检测及过滤，并通过全硬件查找，并行处理查找单元实现千兆字节流量过滤及模式

6、匹配。以深度内容保护和报文检测、智能模式识别技术为例，在进行深度内容保护和报文检测时，利用ASIC芯片进行网络数据包的Data部分的检测和过滤，把网络层的数据还原至应用层进行分析。这种技术实际就是网络数据分析软件所具有的功能（在网络中接收到数据包之后进行内容还原）。由于使用专门的ASIC芯片进行数据还原工作，因此能够大幅度提高数据的处理分析速度，从基础上保证了能够实现千兆流量环境下的内容过滤功能。智能模式识别的核心技术则在于对专用ASIC芯片设计与高速查找算法的技术实现。通过特殊设计的高速查询算法和模式匹配技术，然后将该算法加载至ASIC芯片，从而实现每秒检查上百万个数据包，核对每个包是否匹配

7、上万条安全特征规则。ASIC芯片集网络包处理和内容处理为一身，芯片首先完成流重组，然后直接在网络层匹配规则，并执行动作处理安全事件，需要进一步分析的才送CPU。网络中90%以上的数据在ASIC芯片中直接完成处理。ASIC架构UTM实现了硬件会话处理。通过在平台上采用SynCookie、SynProxy算法，实现了硬件防DDoS攻击。而且，ASIC芯片平台天然支持多端口、高性能。通过对ASIC加速器进行优化，处理性能有大幅的提升。据卫士通安全产品营销事业部副总经理张卓介绍，卫士通的ASIC架构UTM,以硬件方式实现千兆线速下数据包的全包检查和分流，其主要应用在网关查毒、邮件检查、传输文件内容检查

8、、URL检查、IPS系统等。由于芯片中内置了路由表、VLAN表、TCP/UDP/ICMP状态包，在任意数量的规则下，在持续并发200万连接的情况下，中华卫士UTM产品可以达到所有包长的数据包全线速。通过外加的插卡模块，可以在千兆线速下完成病毒检测、P2P和IM软件的流量控制管理、细粒度的访问控制、关键字过滤等功能，并支持用户自定义安全特性检查。房立财表示，只有采用ASIC平台，才能实现高性能，有一部分内容（例如解压缩和特征匹配等）是非常适合让ASIC硬件处理的。凹凸科技将深层内容检测和智能分类都放入ASIC芯片中。当数据流经过UTM时，首先由一个ASIC芯片进行处理，做精细分流（利用专利技术，

9、凹凸科技的ASIC芯片可以看到前128个字节中的任意内容，从而进行智能、精确的分类和分流）。经过分流的数据来到内容处理板，内容处理板上包括CPU和以ASIC加速器为核心的协处理器卡。凹凸科技在平台的ASIC芯片中采用了交换架构,数据和管理平面都基于交换（SwitchFabric）,ASIC直接支持交换接口。因为UTM的模块多，对命令通道的要求更严格，而传统的基于总线的方式由于带宽不够，冲突比较多，所以采用交换方式。而中华卫士UTM的数据平面采用流水线和并行处理技术，在流水线操作中每个数据包会根据不同处理需求使用不同的模块。实际上，一个连接的存在是因为这个连接的数据包得到某一条规则的允许，否则也

10、没有必要建立连接。因此在连接表中并不需要存放数据包的IP地址或端口资料，因为这些资料可以在规则里找到。经过上述分析，中华卫士UTM采用了Hash和片上RAM（片上RAM分片内RAM和片外RAM，运算量大、常用的应用放入片内，不常用的应用则放在片外。通过Hash链表判断是在片内查找还是在片外查找）等技术，具备高速查找的能力，使其能在较小的存储空间存储最大200万的并发连接。不管是检测一个连接还是两百万个连接的信息，数据包都能在预知的固定时间内得到处理。这也是中华卫士UTM在任何应用情况下都能保持千兆线速处理能力的一个重要因素。通过充分利用新一代ASIC芯片的性能优势，ASIC架构UTM在同时打开

11、防垃圾邮件、防病毒、入侵检测和防御（IDP）、Web过滤、P2P过滤功能时，依然保持了高性能。这一点对定位在超大型、大型网络应用环境的ASIC架构UTM来说十分重要。比如在电信机房的环境中，由于其中托管了大量的各个企业的服务器，而各个企业的安全需求不尽相同，所以UTM的所有功能都可能满负荷，此时必须保证各种防护功能的性能不能有明显的下降。这一点对高端UTM来说十分重要。在大型企业中，用户可能对某些功能没有太高的性能要求。而在电信机房的环境中，由于其中托管了大量的各个企业的服务器，而各个企业的安全需求不尽相同，所以UTM的所有功能都可能满负荷，千兆线速是必须的。一些ASIC架构UTM还具备动态调

12、整的特性，就是在产品运行过程中可以对某些功能进行调整。例如用户在某个时间段对防垃圾邮件的性能要求降低，即可适当调低产品在这方面的性能。有些厂商采用上一代ASIC芯片（3、4年前的技术）拼凑UTM,而上一代ASIC芯片是专门用于防火墙的，其核心是状态包过滤，它的防攻击和内容检测能力是不足以满足UTM应用的。这样堆叠的UTM,无法集中管理，因为没有足够的背板交换容量，板和板之间无法转发数据，在性能上肯定是不行的。现在专门用于UTM的ASIC芯片，在各种性能指标方面都做了大幅的改变和提升，比如在会话建立速率（Sessionbuildrate）这个指标上，新的ASIC芯片是每秒10万个，而上一代ASI

13、C芯片只有2万个3万个。ASIC和x86各走各路关于x86架构和ASIC架构之间的竞争，张卓的观点是：在x86或者NP平台下实现UTM产品功能是完全可行的，业内也有厂商在研发和推出这样的产品，卫士通对于这种架构的产品也有一套成熟的体系。但是卫士通坚持认为，这种架构的产品只能用于中低端市场，无法满足目前和将来高性能网络综合安全防护需求。房立财认为，x86架构性能表现不佳有两个原因：1、中断问题：小包导致的中断很频繁，而中断会耗费大量的系统资源。2、即使有加速器（x86+协处理器），由于小包往加速器中塞的速度慢，导致加速器“喂不饱”。由此可见，x86架构的UTM无法满足高端市场的性能需求，但对低端

14、用户具有吸引力，因为这些用户的网络带宽比较低，对性能的要求也不是很严格。高性能还需可管理房立财特别强调，评价ASIC架构UTM,不能光看性能，还要注意系统的可管理性。现在有些UTM在受到攻击时，管理员只能采用拔网线的方式进行阻止，这种UTM不能称为可管理的UTM。可管理的UTM应该具备精细QoS管理的能力，时刻保证管理流以最高优先级获得相关资源，这一点至关重要。中华卫士UTM的管理是通过和芯片完全隔离的端口来访问，由于管理功能和数据处理功能分开，提高了安全性。在网络大负载的情况下也可以及时修改和调整策略，增加了设备的稳定性。性能之路不平坦采用ASIC架构的UTM在实现了高性能的同时，也必须面对

15、一些不可忽视的劣势。张卓说：“ASIC架构UTM的缺点是成本高，硬件和软件的研发成本都很高。卫士通研发了两年多才将产品市场化。另外，ASIC架构UTM的性能虽然有明显的提升，但功能不如x86架构UTM完善。”房立财也表达了类似的观点。他认为，ASIC遭人批评的地方主要有两点：一次性投入费用(NoneRecurringEngineering，NRE)昂贵和不够灵活。但是，这些问题在不同的厂商看来难度是不一样的。编看编想架构的繁荣时代UTM设备存在着三大硬件架构，分别是x86架构、NP架构和ASIC架构。目前市场上的UTM产品多采用了x86架构和NP架构，而ASIC架构UTM则在今年异军突起，让本已不平静的UTM市场变得更加热闹。至于各种架构的优劣，则是公说公有理，婆说婆有理，莫衷一是，缺乏一个普遍认同的衡量标准。架构的繁荣，一方面反映了厂商对UTM未来的认可，另一方面也体现出市场的些许混乱。或许正是这种混乱、这些多样的概念让用户有些无所适从的感觉，进而阻止了UTM市场无法在短时间内快速成长。UTM市场，还需要一段时间去洗清浮躁，明确方向。关于UTM未来的技术走向，已经集多功能于一身的UTM还将更加集中，把所有功能集中在一个芯片上实现。AllinChip是一个终极理想，不管是在x86芯片上，还是在NP芯片上或者是在ASIC芯片上实现，从技术角度讲，在未来几年实现的难度可能都不是