因为安全设备而使网速下降、宕机掉线的事儿,在企业网络应用中屡见不鲜。如何改善安全设备的处理性能,真有一套学问呢!
近几年,集团业务发展出奇的快,不仅经营规模扩大了数倍,人员也增长了数倍,网络应用不断扩展,新增视频会议、语言通信等应用,使网络流量迅速上升。原来的百兆网络像百岁老人的老胳臂老腿儿,明显跑不动了,网络必须升级(从百兆到千兆)。
让信息部负责人吴刚感到欣慰地是,建议一提出,便得到老总的首肯。于是,网络返老还童,有了焕然一新的高性能交换机、服务器。
然而,事与愿违,网络并没有因此而提速,上网慢、宕机掉线等现象有过之而无不及。吴刚百思不得其解。问题到底出在了哪儿?
提速绊脚石
通信技术的发展、用户应用的提高,把网络设备带入“高速”时代(即具有高性能、高传输率、高带宽的网络通信能力),也把业务带入愈演愈烈的安全威胁中。用户对安全保护的需求与日剧增,纷纷在企业网中部署有如防毒、防火墙、IDS等安全系统。
但安全技术相对于网络技术发展滞后,当已经发展了20多年的网络路由交换技术开始采用先进的NP(网络处理器)技术之时,防火墙等安全设备却还停留在以CPU集中处理为主的技术阶段,从而在网络应用过程中面临着一腿长、一腿短的运行压力。
腿短的是安全设备。现在用户面临多业务需求,以CPU集中处理为主的安全设备,其所有数据只能通过一条线路传到CPU,不能区分业务等级。这样,在网络负荷提高的情况下,哪怕遭遇轻微的网络攻击,都会让关键业务无法开展。
最重要的是,安全产品放在网络的关键环节之上,经过的流量大、处理的业务多,如果不能够保证这些业务快速地转发和基于优先级高效地调度,就无法为应用提供不间断服务。特别是现在网络带宽已经发展到千兆,而基于CPU架构的防火墙等安全设备基本上还停留在百兆(即使支持千兆,也有相当一部分只是理论值,真正达不到线速千兆)的状况下,处理能力的悬殊差距,更是难以保证服务质量。
如上所述,核心设备运转很快,网络接入设备运转也很快,但是到了检查业务安全性的时候,运转却慢下来,在大流量背景下,势必形成瓶颈。
这种现象在很多企业都出现过,吴刚遇到的就是这个问题。当他升级网络设备时,根本没想到也要同时升级防火墙的处理能力,以致让防火墙成了网络提速的绊脚石。
NP显身手
那么,在网络带宽高速增长、千兆网络大规模应用的态势下,安全设备应该具备哪些特性呢?
首先需要具备大容量的安全规则处理能力。目前,病毒与黑客的攻击手段繁多,而且多在应用层以上,如何快速地匹配这种网络的攻击行为,成为安全产品重点解决的问题。
其次需要高性能的安全过滤能力、多业务的实时调度能力,还有大容量的日志处理能力和高性能的流分析能力。而所有这些,都要求安全设备具有很强的处理能力,NP正好顺应这一需要。
处理能力没的说
NP是专门为处理数据包而设计的可编程处理器,它内含了多个数据处理引擎,这些引擎可以并发进行数据处理工作,在处理2~4层的分组数据上比通用处理器具有明显的优势。由于NP对数据包处理的一般性任务进行了优化,使得基于NP的网络安全设备的包处理能力得到很大提升。
NP针对不同的网络应用环境而设计,覆盖了不同的网络层次和不同处理性能的要求(包括百兆、千兆和万兆),能够提供从百兆到万兆的处理性能。从成本上来看,NP技术所设计出来的产品在总成本上和基于奔腾CPU基本差不多,但增强了网络处理能力,为中低端的安全设备选用NP产品提供了先决条件。
比对ASIC
说到这儿,不能不提一下ASIC(专用集成电路技术)。它是一种通过增加ASIC芯片的可编程性,来与软件更好地配合,满足用户对灵活性和运行高性能的要求。目前国内销售的基于ASIC技术的防火墙,已可达到4个千兆网口的全线速包转发速率。而一般基于NP的防火墙在小包情况下,还不能完全做到2网口的千兆线速转发。
从实现功能方面看,ASIC技术可以比较容易地集成IDS、VPN等功能,也有产品已经实现了内容过滤和防病毒功能。而NP受限于它的计算能力,这些功能一般只能靠协处理器来实现。纯硬件的ASIC防火墙价格较高,可扩展性差,又缺乏可编程性,因此不够灵活,跟不上防火墙功能的快速发展。
而NP防火墙,开发难度小,开发成本低,开发周期也短。如开发一款新的ASIC设备,从设计出原型到进行规模生产,总共需要1年半到2年的时间;而对于NP技术,芯片厂商一般都能提供基本的原型,防火墙厂商在此基础上,开发自己的软件功能、算法等,大概只需要花不到半年或1年的时间。正因如此,国内很多防火墙厂商选中NP开发千兆防火墙产品。
