??两年前,以Intel为代表的国际芯片厂商推出了具有革命性意义的网络处理器(NP),但是,无论观察家如何称颂,NP并没有引发出预想中的网络革命,预计70亿美元的市场,至今只实现了区区1亿美元!
??正所谓“有心栽花花不开,无心插柳柳成荫”,这项眼看要变成“明日黄花”的技术,最近却突然在网络安全领域升温,尤其受到中国信息安全厂商的青睐!
??中科网威公司于4月2日宣布推出了国内第一款基于NP技术的千兆防火墙。随后,记者获悉,国内几大信息安全公司,如联想、天融信、东软等等,都在暗中紧锣密鼓地研发相关产品,据悉,下半年,各类基于NP的安全产品将陆续与大众见面。
??有人再次断言,NP技术将是国内网络安全厂商在信息技术更新换代时,在高端领域赶超世界先进水平的一次难得的机会。
迟来的应用
??“NP技术在网络安全领域的应用之所以晚了两年,是因为市场对千兆安全设备的需求直到2002年才进入高峰。”英特尔中国IXA架构研发中心总监杜江凌说。
??从2002年开始,随着网络带宽的增长,尤其是千兆网络在国内的大规模推广应用,使对基于高带宽网络中的安全设备的性能需求上升到一个前所未有的阶段,产品“性能”成为众厂商争夺的焦点。在这种环境下,2002年,各类千兆防火墙、千兆IDS、千兆VPN频频新鲜出炉。
??联想信息安全事业部防火墙产品经理张晋说:“防火墙技术发展趋势有两点,一是千兆线速处理能力,二是基于各种应用协议分析的深度安全检测。目前,国内生产的大多数防火墙,是基于Intel X86架构的硬件防火墙和基于类Unix操作系统的软件防火墙。这些防火墙很好地实现了深度安全检测,但不能实现千兆线速能力。与基于ASIC架构的防火墙相比,它们在性能上相差得太远,许多基于这种架构的号称千兆的防火墙,实际处理能力只能达到50%。”
??北京中科网威信息技术有限公司副总裁兼产品推进本部总经理刘兵认为:“很多开发商对百兆防火墙的开发获得了成功,所以对千兆防火墙的开发也很乐观,认为通过提高CPU主频、扩大内存、用千兆服务器网卡等就能满足千兆需求,但实际情况并非如此,主要问题在无法实现性能。基于X86架构的千兆防火墙采用PCI总线接口,虽然吞吐量理论上接近2Gbps,但实际应用中,尤其是传送小包的情况下,远远达不到该指标;并且,通用CPU处理能力有限,很容易被黑客利用、攻击,尤其是溢出攻击,致使这类设备自身的安全性较低。”
?
??正因为如此,在许多对网络安全性能要求高的领域,比如电信数据网、ISP以及金融骨干网等处的安全设备,多选用以NetScreen公司为代表的国外高端防火墙——均采用ASIC技术。
??国内许多具有自主研发安全产品的著名厂商,包括联想、天融信、东软、方正等,不得不承认,在ASIC技术开发上,国内厂商与国外厂商的差距太大。“国外ASIC技术已经经过了10多年的发展,技术成熟、稳定,应用广泛,而国内ASIC技术的研究多数处于实验室阶段,起步晚,应用少,在ASIC技术方面,国内厂商与国外厂商的研究水平相差至少10年以上。”中科网威的刘兵说。
??在ASIC技术、开发成本以及开发时间方面,国内厂商很难超越国外厂商。那么,在千兆高端防火墙市场,国内厂商是否没有机会?在电子政务、某些信息敏感不能采用国外产品的关键核心部门,安全问题如何解决?
NP vs ASIC
??内安全厂商将目光瞄向了在性能上与ASIC技术媲美,而开发难度、开发周期以及灵活性上相对ASIC有极大优势的NP技术上。
??正如大家的共识,NP相对千兆X86架构的优势不言而喻:后者的带宽虽然提高了,可系统总线、接口、CPU的处理能力不可能相应提高,对于要完成包过滤、代理、NAT、防攻击等多项功能的防火墙来说,这种硬件结构不能满足千兆线速性能需求。
??那么,NP防火墙在性能上,能否与ASIC防火墙真正媲美呢?
首先看看国外的例子。美国的ServerGate首先研制出来NP防火墙,采用多片IXP1200结合高速包分类芯片设计,在进行多路测试情况下吞吐量可达到800Mbps左右,达到了ASIC的性能;由于NP的可编程性,它又弥补了ASIC不灵活、升级困难的缺陷。
??在国内,中科网威开发出的NPFW-1000防火墙,内部总线带宽达到128G,端口间的数据转发达到了1Gbps的线速处理能力,支持100万以上的并发连接。而联想基于NP的防火墙网御2000 FW GL在千兆线速环境下测试,64字节的小包处理速度可以达到74%,在同类产品中是效率最高的。
??东软网络安全产品营销中心副总经理曹斌认为:“对比NP技术,ASIC只做了一件事,即提高计算能力,把关键算法固化成了芯片,但如果采用了ASIC后不能很好地解决通信接口问题,其性能并不会有本质性的提高。比如现有某些百兆级产品,虽然也采用了ASIC芯片,但仍然使用普通的PCI总线作为数据传输通道,其吞吐能力比采用IA架构的产品反而还要差一些,有很多实测数据可证实这一点。”
??联想的张晋说: “NP防火墙可解决基于Intel X86的防火墙在性能上的瓶颈和基于ASIC的防火墙功能贫乏的缺陷,将同时具备ASIC的高性能和X86的快速升级能力。可以认为,NP是新一代防火墙特别是高端防火墙发展的必然趋势。”
??“除此之外,NP的优势主要体现在开发时间和开发成本上。”Intel的杜江凌说。他解释,一般来说,开发一款新的ASIC设备,从设计出原型到送到台基电这样的公司规模生产,总共需要1年半到2年的时间;而对于NP技术,芯片厂商一般都能提供基本的原型,防火墙厂商在此基础上,开发自己的软件功能、算法等,大概只需要花半年到1年的时间。“正是因为开发时间短的原因,2002年千兆防火墙市场热后,许多国内厂商开始投资开发NP技术,才能在最短的时间内,今年年初就能推出与ASIC媲美的应用于高端的NP防火墙。”他说。
??另他还从开发费用做分析:ASIC非常贵,生产0.13微米工艺的ASIC需投资至少100万美元,数量至少在10万片以上,这还不包括研发成本;此外,ASIC的升级非常困难,一般升级必须对硬件进行重新设计,而重新设计至少要花75万美元以上;而NP相对要便宜得多,它的成本为每片150~800美元之间,可单片或小批量采用,开发商不需要大量积压资金。
??此外,与ASIC的“独立”不同的是,开发NP技术有大的芯片厂商,如Intel、IBM、Mortorola在后面支撑与服务,帮助那些专注于防火墙软件功能开发的厂商进行硬件设计,这无疑弥补了软件厂商的不足。
??NP有这么多优势,难怪国内信息安全厂商如获至宝。“中国的防火墙崛起要靠NP!”中科网威的刘兵说
通用的 vs 专用的
??不同的NP在功能、性能以及软件支持方面均有较大差异,开发商的竞争焦点转移至选择哪类NP上。换言之,哪类NP更适合安全产品的开发? PX、IBM的NP4G为代表,分为控制和数据两个平面)和专用NP(以SiByte的Mercurian为代表,基于MIPS CPU设计)两类。
??究竟哪类NP更适合网络安全产品的开发,业界却存在两种对立的声音。
??联想认为通用芯片更适合开发网络安全产品。张晋阐述了四点理由,他说:“首先,通用NP在保证三层快速转发的同时,要求对报文进行更深层次的分析与控制,这与对防火墙的要求相符。其次,黑客攻击技术更新速度极快,通用NP的良好的可编程性可以使开发厂商迅速升级其系统,使防火墙一直保持良好的抗攻击能力。第三,通用NP采用开放式的框架结构,一些芯片厂商提供了很多协处理器(如内容匹配器等),通过这些协处理器与通用NP的配合使用,可使防火墙具有更好的性能和更丰富的功能。第四,由于通用NP的提供者都为大规模企业,其产品的品质可得到保证,这使防火墙设备开发商可以专注于安全功能的开发。”
??而中科网威则偏向使用专用NP芯片,其理由同样充分。刘兵说:“通用NP分为控制和数据两个平面,如Intel的IXP1200,控制平面是一个ARM CORE,负责维护系统信息;处理平面由多个微引擎和其他专用硬件组成,负责利用控制平面下发的微代码和命令,直接处理网络数据。因此,通用NP对数据包进行简单过滤时性能较好,但是由于体系结构限制,尤其是微代码开发相对复杂,导致灵活性较差,难以满足复杂多变的应用需求,一般适合3层以下的网络数据的处理。而专用NP,如SiByte的SB1250,一方面保持了灵活性,另一方面通过SOC(system on chip)的方式消除了传统CPU、总线、设备之间带宽的瓶颈,因此,灵活性强、易于开发、升级和维护,适于构建速度可与专用ASIC相媲美的完全可编程的网络处理平台。从这个角度来看,专用NP更值得考虑。”
??双方均表示,在选择在哪类NP平台上开发防火墙时均进行了大量的调研,自己的选择是准确的。
??两种发展思路代表了不同厂商的选型方向,目前究竟谁能占绝对优势,尚无法分辨。但从防火墙应用而言,可以肯定,谁能将功能与性能实现了完美的和谐统一,谁必将在NP防火墙大战中取胜。
NP的欠缺
??性能的提高只是防火墙的一方面,安全产品软件检测技术的改进才是最重要的。
??虽然NP弥补了IA和ASIC防火墙在性能和功能上的不足,但就像任何事物一样,有得必有失,NP依然不完美,同样有缺陷存在。
东软的曹斌认为,网络安全产品的特征是通过复杂的运算对网络传输的数据进行分析和控制,最关键的是软件,而如果只强调转发性能就忽略了安全产品的本质。对于防火墙这类功能较为复杂的系统,单纯的硬件平台的变化对整个市场不会产生本质性的影响。相反,Check Point公司提出的“状态监测”技术以及东软提出的“流过滤”技术对防火墙的影响要大得多。
他说:“NP技术用于防火墙产品面对的主要难点是主处理器计算能力的缺乏,这个会形成新的系统瓶颈,而为了达到性能指标,系统的功能不得不简化,无法做复杂的安全性分析。另一个方面,使用NP需要专门设计整个硬件系统,软件系统也需要做很大的调整,因此其稳定性会在较长的时间里会令人头疼,而达到稳定的批量生产就需要更长的时间,软件更新速度也会比较慢。”
Intel的杜江凌不否认,NP的缺陷在于很难将数据包进行细粒度分类,在需要分类时,往往计算量巨大,仅靠软件实现将影响系统性能,一般采取的做法是采用其他的协处理器做包分类,它与NP配合就实现了完整的防火墙。
??联想的张晋建议,在开发NP时,为了防止NP或可能支持的软件包中内嵌有不可未知的后门,防火墙开发厂商一定要具有芯片厂家提供的软件包的全部源码。总的来说,用NP技术开发的防火墙会更快更强更稳定,但产品直接成本也会增加,因此只能更多应用于高端防火墙上。
??无论如何,NP防火墙的出现是在现有安全技术水平上前进了一大步。防火墙只是目前需求最旺盛的安全产品,我们相信随着NP技术在防火墙上的应用成熟,它在IDS、VPN等相关安全产品上也一定会得到广泛应用。预计在不久之后,我们将能看见基于NP技术的其他安全产品。
??联想表示,在深入掌握了NP相关技术后,联想会陆续推出基于NP技术的其他安全产品。东软也表示,NP是东软将长期关注的一项技术。
--背景资料--
何谓NP?
??网络处理器(Network Processor)顾名思义即专为网络数据处理而设计的芯片或芯片组,能够直接完成网络数据处理的一般性任务,如TCP/IP数据的校验、计算、包分类、路由查找等。同时,其硬件体系结构的设计弥补了传统IA体系的不足,采用高速接口技术和总线规范,具有较高的I/O能力。因此,基于NP的网络设备的包处理能力得到了很大提升,很多需要高性能的领域如千兆交换机、防火墙、路由器的设计都可以用它实现。
NP具有如下特点:
??1. 完全的可编程能力,可以支持各种网络互连应用;
??2. 简单的编程模型,加快产品进入市场的时间;
??3. 系统灵活性,延长产品的生命周期;
??4. 强大的处理能力,提供高性能和良好的可扩展性;
??5. 功能集成度高,以降低整个系统的成本;
??6. 开放的编程接口,获得更高的可用性;
??7. 开发环境的第三方支持,推动产品不断更新换代。
东软网络安全 微信号:Neusoft_NetEye
