随着信息化应用的不断深入和网络时代的不断演进,海量信息的远距离传输需求更加凸显出众多IT 产品对兼备多功能和高性能两方面的诉求。网络安全产品也是如此。
早在2008 年5 月,国内知名的网络安全厂商启明星辰公布,成功驾驭CAVIUM 16 核MIPS多核处理器为核心的万兆高性能平台,使其安全产品性能提升10倍。此举也实现了国内真正意义上万兆UTM 产品零的突破,达到国际领先水平。随后,国内山石网科、联想网御等安全厂家也陆续推出了自己的高性能多核平台,掀起了多核计算在国内信息安全领域性能提升技术革新的层层波澜。MIPS 多核2 年前的这项突破性技术,如今已进入规模商用的阶段。这种MIPS 多核技术与高性能的突破,促使信息安全拥有了更广阔的应用空间。
那么,究竟传统的很多安全产品都在面临哪些性能挑战?为何用MIPS 多核来取代十多年以来安全产品更通用的x86 计算平台满足更大的发展需要?以及国内目前对MIPS 多核计算的运用和产业化进入了什么样的发展阶段?如此种种,就让我们一起来了解和分享以下内容:
大幅提升性能 信息安全必然发展趋势
我们知道,任何安全技术与应用的发展都离不开对计算资源的占用。那么,从这个角度来说,网络病毒检测、入侵检测、入侵防御以及信息数据安全等很多环节,都离不开对网络数据内容的分析。而除了我们通常所了解的算法优化能带来高效的计算外,对硬件计算资源的消耗正在随着网络容量、信息传送量的增加而高速膨胀,以至于当前绝大多数安全设备所引用的x86 通用计算平台在不借助其他加速组件的方式下,几乎无法满足高性能的内容运算,并且性能和效率也都难以达到每秒超过2G 以上在线数据运算量。在网络带宽和信息量高速膨胀的今天,这样的运算效率仅仅只能满足局部应用需求。
那么,在这样的一个非常现实的发展趋势下,如想持续地保障信息内容的安全,就会发现,各类安全设备及设施现有X86 通用计算平台的计算能力都远远跟不上这一发展趋势,而未来也必然会面对越来越巨大的性能瓶颈和安全应用需求所带来的挑战。
因此,性能的大幅提升是信息安全未来发展的必然趋势。
两大因素制约传统性能提升
通常来讲,以往在为数不多的面对大容量计算需要时,我们常会采取分流分布式计算来解决,也就是将一个较大的网络流量分流为若干个小流量,采取分而治之的方式来完成对数据内容进行各类安全性检查,并进行必要分析与实时运算。
显然,在运算性能不具备的条件下,分布式计算方式是无奈之举,但是它带来了较大的管理成本和维护压力。更重要的是大多数企业用户根本无法接受这样的应用方式,更多的企业级用户,在面对大流量下的安全需求时,更多是选择了“等待”,等待着更快、更安全的产品出现和成熟。
那么,一个很显然的问题就出现了——信息安全设备为什么不能像网络通信设备那样,引用高性能的网络处理器或ASIC 达到与网络速度类似的处理效率呢?简单分析一下会发现,这其中最根本原因主要有两方面:
一方面,是客观技术的制约,相比仅仅处理网络局部信息(大多数是头信息)、而不分析数据内容的网络通信设施而言,信息安全设备对信息内容的分析深度、广度比网络通信设备要复杂得多,甚至还要分析数据内容之间的关联性。同理,对数据内容进行安全检查的计算,永远比网络数据传送的计算要复杂得多,因为网络中每个数据包的信息数据内容往往是信息头的10 倍~ 70 倍。
另一方面,是各类导致安全威胁的病毒、入侵行为都在利用计算机高级语言不断更新以突破某种防护,是因为这样的效率更高,也因此每天都会有新的威胁诞生,而这种动态性和不确定性的存在,使得几乎所有关注分析信息和数据内容的信息安全设备也必须在开放的运算平台上基于高级语言搭建的运算系统来工作,是因为只有这样构建的安全系统才有灵活的升级能力,从而也才能与安全的动态性和不确定性进行对抗。因此,大多数关注信息内容的信息安全产品( 如UTM、IDS、IPS、审计等),必须利用高级的语言和开放的硬件运算平台才能完成对各类信息内容的检索和各类安全性检查。
所以,要满足未来信息安全产品适应当下信息高速膨胀的发展趋势,提升开放平台的硬件性能,既是必然趋势也是满足未来应用需求的关键要素。也就是在这样一个开放性平台应用需求的驱动力下,多核技术应运而生。
超越x86 选择多核SoC
需要说明的是, 刚才所说的多核并不是基于X86 的2 核、4 核这样的CPU, 而是在网络、安全设备上最新使用的基于MIPS64 的多核SoC(System onChip)处理器,此类多核SoC 处理器目前可支持到16 核,并还在随着安全计算需求的不断增加而继续提升。
相比x86、NP、ASIC 硬件平台,SoC 多核平台的最大优势是保留了x86 平台的高灵活性(这一点对于安全设备的应用层检测非常关键),并且具备与ASIC平台相当的高处理性能。同时,SoC 通过增加核数,使线性提升硬件计算能力成为了可能,更重要的是功耗也随之得到了控制。
惟一具有挑战性的是,传统的X86 平台属于通用硬件平台,具有开发难度小的优势,而SoC多核平台属于专用硬件平台,驾驭难度相当高。可以说,全球范围内能自如驾驭多核技术的厂家不足10 家,而且多为国际性技术领先的大厂家,国内一直到启明星辰2008 年成功驾驭多核并发布自主研发的基于16 核的万兆UTM 时才填补了这块空白。
这的确是一个痛处。因为,对于很多厂家而言,实现对多核系统真正意义上的驾驭还是一个国际性的难题,尤其是计算性能的提升,如是否能随核数的增多而达到线性的增长。这其中需要各个厂商在多核硬件的基础上作大量的原创性设计,包括重构操作系统、多核之间的业务调度、检测效率提升和计算性能挖掘等。与此同时,一旦对多核技术驾驭不理想,如对多核运用得不够平滑或兼容性不够,那么由于核数的增加会带来软件核心设计的不断变化,这就意味着需要为不同核数的SoC 处理器设计不同的软件系统和驱动,由此将极有可能导致相互不兼容,4核、8 核、16 核、32 核等与软件的不兼容。可以想象,如果技术上突破能力有限,而导致陷入如此尴尬境地,我们不难想象这对产品研发和供应者来说是个多大的灾难。
驾驭多核 高效低碳 决胜信息网络安全的未来
话说回来,如果能成功驾驭多核,那么我们能带给信息安全产业的将是一种革新。
首先,从功能上来讲,SoC多核处理器不失x86 处理器的灵活性,便于快速响应信息安全的应用层检测需求;其次,SoC 多核处理器通过协处理器的概念将“软件特性硬件化”处理,在设计上奠定了多核平台的高性能基础。更为重要的是,计算性能随核数的线性增长将完全突破信息安全产品发展的性能瓶颈,随着核数的倍增,多核的计算性能也将成倍数增长,计算能力的提升是支撑安全产业发展的基础。
第二,多核架构在支撑高性能的同时,带来的另一个卓有成效的经济效益就是低碳、节能。
对信息安全产品而言,减排、低功耗是实现“低碳经济”最主要的节能目标。多核架构的主要优势为一颗芯片上集成了多个核,核与核之间可以协同工作,同时在各个核周边还集成了丰富的安全协处理硬件,如硬件加密、正则匹配和应用加速等,以及高集成度的特点简化了整体硬件板卡的复杂度和能耗。同样的应用,对于X86 通用硬件平台,需要1颗甚至多颗高频率CPU,同时需要南北桥芯片组、通过PCI 扩展的硬件加速板卡或应用加速卡等,一系列配套芯片设计使能耗远远高于同档次多核SoC 专用硬件平台。
在高效能、低碳排放的同时,多核架构带给信息安全产业的另一个附带优势为高质量。高度集成的SoC 处理器降低了硬件平台的整体复杂度,硬件的简化促使故障率可以降低到1%以下(x86平台故障率通常为5%以上),达到电信级标准。
中国多核安全产品起航
如前所述,毫无疑问,运用多核提升计算处理能力已经成为安全产品的必由之路,那么目前业内对于多核的应用和产业化程度如何呢?
据了解,全球可提供全系列多核的芯片厂商主要有两家,分别为CAVIUM 和RMI(2009 年6月被NetLogic 收购)。CAVIUM的优势在于核数多(目前最高16核)、并行性好,同时协处理特性(安全特性的硬件加速)支持得非常完美,这更有利于提升应用层的计算能力;RMI 的优势在于芯片主频高,内部总线和分布式内存结构更优化,更有利于提升网络层计算能力。在国外,多核发展的脚步比国内领先1-2 年,像Cisco、Juniper、CheckPoint、SonicWall 等主流安全厂商已基本完成了多核驾驭的技术积累并开始向多核计算时代迈进。
在我们国内信息安全领域,2008 年5 月, 启明星辰最早发布了其基于CAVIUM 16 核的万兆一体化安全网关USG-10000E,成就了国内第一台真正意义的万兆UTM 产品,其中防火墙性能可达到25G,IPS 性能可达到11.7G。紧接着的几个月后,Netscreen 创业者之一在国内成立的信息安全厂商山石网科(Hillstone)和联想网域也先后推出基于CAVIUM、RMI 方案的多核万兆级安全网关,实现了高性能的防火墙特性。据悉天融信也在多核领域积极投入,不过目前尚未看到基于多核的产品推出。
在国内,这种万兆应用层检测性能的实现,预示着中国信息安全厂商已突破重重难题,具备了成功驾驭多核计算的能力。无论是老牌厂商还是后起之秀,均在多核领域发力,众多厂商的纷纷参与,将不断促进国内信息安全领域向多核时代迁移,国内多核计算应用的产业化开始形成。
至此, 有专家称, 预计到2012 年,国内信息安全领域多核计算应用的产业化将完全形成,并与世界接轨。在信息化飞速发展的今天,国内信息安全领域究竟谁能最终驾驭多核计算,决胜安全未来,让我们共同拭目以待。
