千兆高端防火墙的技术发展趋势


                                     文:徐松泉

  防火墙的未来是向着高性能,强大的QoS保证能力和深度防御三个方向发展。政府,金融电力等关键行业的数据中心、大型电信运营商的网络流量巨大,业务复杂。多业务下的流量剧增不仅对带宽提出了很高的要求,而且对防火墙多业务支持的功能和性能方面也提出了很高的要求。

  因此,典型的千兆高端防火墙的技术特征是具有4G到10G线速处理和能力;在承受海量业务流突发的情况下保证流媒体,视频,语音等时延敏感应用的稳定运行的能力。高端用户往往采用高性能服务器对外提供特定的网络服务,例如WWW或电子邮件服务。由于访问者、时间、地点复杂,并且一些网站需要提供商业用途,所以对安全性的要求也很高,这就需要防火墙对数据包进行深层次的检查,进行恶意代码、SQL注入等多种攻击行为的检测,同时有效防范DDOS攻击,保障诸如网上银行等关键应用的稳定运行,防范各类攻击入侵。

  FPGA(Field-Programmable Gate Array,现场可编程门阵列)在现代数字电路设计中发挥着越来越重要的作用。从设计简单的接口电路到设计复杂的状态机,甚至设计“System On Chip”(片上系统),FPGA所扮演的角色已经不容忽视。因为FPGA硬件可重新配置且可用性、精密度不断提高,可以轻易配合系统规格随时改变的要求,为用户带来充足的灵活性。

  FPGA体系结构能够保证4- 10G路由和安全访问控制的线速处理能力,包括各类多媒体业务、实时或非实时业务、连接或非连接业务等。同时,以FPGA作为处理和交换架构的基础,还可以通过FPGA良好的可编程性对数据包和协议进行深层次的检查和过滤,而且投资规模小,开发周期短,是一种非常理想的高性能防火墙硬件平台架构。

  与FPGA技术相比,ASIC技术将指令或计算逻辑固化到了硬件中,缺乏灵活性,不便于修改和升级;其次,深层次包分析(L4+)增加ASIC的复杂度,不能满足防火墙产品对网络协议进行二到七层处理的需求;第三、ASIC的开发周期长,设计费用昂贵且风险较大。建立一个基本的ASIC研发环境就需要投资上千万元,从设计、验证、流片、到最终量产投资额往往要达到数千万元。这样无疑会造成投资回报期过长,大大增加了产品和项目的资金风险。最后,采用ASIC技术的防火墙最大的问题在于缺乏可编程性,对新功能的实施周期长,很不灵活,使得它难以跟上当今防火墙功能的快速发展。在日益猖獗的黑客攻击面前,特别是针对在应用层攻击(如Slammer、冲击波病毒)等面前显得无能为力。

  采用FPGA技术可以节省ASIC设计所需要的设施和平台的巨大投入。对于单台防火墙设备,FPGA芯片的成本占总成本的比重很低,而且采用FPGA架构可以通过配置和添加基本软件来实现定制,从而不断提升产品的性价比。

  FPGA的技术优势主要体现在:

  1. 缩短产品开发周期。产品上市时间是推动网络处理可编程解决方案发展的主要动力之一,FPGA不仅可以通过缩短开发周期,还能通过缩短调试周期以加快产品上市时间。
  2. 实现复杂分类查询。像VPN(虚拟专用网)和IPSec这样的业务需要复杂查询功能。查询和分类可通过复杂的迭代算法实现,FPGA能在逻辑电路的状态机内实现查询。从而缩短了查询的周期,提升了系统整体的性能。
  3. 提供良好升级性能。FPGA具有较强的软件升级功能,利用业界标准的HDL和C代码,以及FPGA制造商提供的基于平台和工具集方法的工具,可以很方便地实现软件在各代FPGA中的无缝移植。在硬件升级方面,FPGA顾名思义就是现场可编程,因而能轻松升级,很好地满足需求变化,延长了产品寿命,有助于网络安全设备跟踪标准和协议的持续变化。同时FPGA往往有一定的预留性,比如一个常见的800万门的FPGA芯片,一般实际使用仅为200万门左右,预留的部分就是为了安全设备日后升级所用。
  4. 优化系统整体性能。安全设备的器件数目和期望性能之间存在一个平衡点,而将所有器件堆积在一个设备中将破坏整体性能。例如,如果能在主分组处理器件上实现安全处理功能,不仅能减少器件数目,还可从增加的性能中受益。FPGA的性能可以随着规格效率方便的扩展,某些需要查询和密集控制的应用可通过采用协处理器/嵌入式处理器来更好地实现。
  5. 提供高抗扰能力。FPGA的串行连接技术可以减少引脚数量、减小接头尺寸、降低电磁干扰辐射(EMI)、提高信号完整性和更好地抵抗噪声,从而大大提升了系统的抗干扰能力,非常适用于对电磁辐射安全有特殊要求的应用环境。

  交换结构是基于FPGA防火墙产品的关键部分,是解决高速报文转发及处理的主要方式,它的性能直接决定了防火墙性能。交换架构采用共享内存机制,具有很高的吞吐率,而且实现简单,架构可扩展性强,可以很容易地进行视频处理、VPN等功能扩展。

  在防火墙产品的开发中,为了在类似的传输流中区分不同的优先级,需要三层甚至四到七层中进行更深层的分组处理。而FPGA仅仅需要一块芯片就可以更深入地处理这些分组,不仅降低了软件的复杂度,而且降低了功耗。这是因为FPGA中的硬件并行处理完全可以同RISC的处理方法相媲美。

  在深度防御方面,因为单个可疑特征不一定就是攻击行为,因此防火墙必须抓到大量的可疑特征,以便判断是否为攻击。但在这个过程中抓取可疑特征的速度一定要快,否则就会导致漏报。利用FPGA的高速度帮助进行基层筛选,然后通过高速总线交由具备多核处理能力的CPU确认,就可以最大限度地确保防火墙架构的优化。对于防御DDoS攻击,FPGA具备很强的性能优势。

  FPGA架构的采用对于保证高端防火墙在复杂的网络环境中的性能非常关键。以虚拟防火墙为例,这一功能是高端防火墙产品的最重要特性之一。如果应用中用户将一台物理防火墙划分成256个虚拟防火墙(对于IDC的应用环境可能会更多),以一台虚拟防火墙配置50条规则计算,一台防火墙配置的规则数会超过1万,如果要用串行处理机制,对性能会形成很大的制约,而采用FPAG架构的并行处理就可以轻易解决这一性能瓶颈。通过将安全规则转化成逻辑,FPGA防火墙在实现过程中能够同时匹配上万条规则。

  从目前的情况来看,主流千兆防火墙产品还有很多采用的是ASIC技术,然而,全定制数字ASIC的前景已经开始出现阴影。现场可编程门阵列(FPGA)正在接管许多一度被认为是全定制芯片专属领域的应用。自从FPGA在约二十年前出现以来,它已经通过将门数提高了三个数量级而侵占了ASIC的主导地位。FPGA在网络通讯领域(如光网络,光纤存储等等)和网络安全(防火墙,IPS,UTM)领域逐步得到了广泛应用,思科,JUNIPER,3COM等国际厂商己经在相关领域获得了众多的专利授权并在产品中广泛采用。作为国内领先的安全厂商,东软一直不懈努力,通过持续的技术创新为用户不断提供更高性价比的网络安全产品。东软在基于FPGA的防火墙技术领域进行了多年的前瞻性技术研究和储备,并承担此课题的国家级科研和产业化项目,突破了一系列关键技术难题,取得了丰硕的技术成果。随着市场的发展和技术的进步,具有更好可编程性和更高性能的FPGA技术必将是有实力网络安全厂商的首选,而用户也会有更加稳定、成熟、高性能的千兆防火墙产品可以选择。

 

联系我们

欢迎致电4006556789,或通过在线方式与我们联系

close

关闭