1、安全产品架构分析“安全”的网络,离不开安全产品,而高端的安全产品则更是焦点。万兆性能和深度报文处理已成为高端产品的基本需求。能否从设计上就既保证强大的性能和丰富的功能,同时又最大限度的降低和保护用户投资,构建一个“弹性”的产品平台,成为高端安全产品架构设计的精髓。安全产品的基本架构安全产品如同其他数据通信产品一样,其系统架构设计也有着基本原则和定式。即使是面临新的挑战,这些基本的设计框架依然得到了延续,但在具体的方案和实现上,却有着不同的优化和改进。最基本的一个设计框架就是安全产品基本上都基于“快速路径+慢速路径”的设计原则(图1),这是由安全产品的技术特点决定的。快速路径用来完成基本的数据转
2、发和交换(尤其是数据流的后续报文,特点是流量大),而慢速路径进行深度的协议处理(不但包括数据流的首包处理,还包括对 payload 的复杂处理,特点是处理复杂)。从具体实现上看,业界主流厂商安全产品大致可以分为如下几类:1. ASSP+通用处理器平台(X86 Server/嵌入式系统)2. FPGA/ASIC+多核处理器/通用 X86 处理器3. 多核处理器+通用 X86 处理器4. NP+多核处理器5. FPGA/ASIC+NP+多核处理器/通用 X86 处理器从架构上看,1 是一种架构,所有功能都依赖于通用的 CPU 处理平台(图 2),而 2、3、4、5 的产品架构比较类似,可以统一归纳
3、为一种架构(图 3)。这两种架构最大的区别就在于其是否有专门的部件或模块,来独立完成快速路径的处理。这里,我们把第一种架构,即完全基于通用处理器来完成所有报文处理的架构称为“纯软件的设计架构”(架构 A),而把有专门部件或模块进行快速路径处理的架构称为“基于硬件加速的架构”(架构 B)。需要注意的是,对于纯软件的架构设计,处理器平台其实也有不同的选择,比如可以是 X86 架构的通用处理器,也可以是单核的嵌入式处理器如 PowerPC,还可以是最新的多核处理器。相对于 X86 处理器和嵌入式处理器,多核处理器由于其在单颗芯片内集成了更多的 CPU 处理单元,因此其在处理能力上比前两者更高,辅助于
4、优秀的软件系统设计,是目前通用处理器上较好的选择。当然,考虑到其也是靠软件编程来实现各种功能的,在下文中针对通用处理器平台就不再分开讨论了。纯软件的架构设计,是最常见的一种安全产品设计方案,也是一种通用的安全产品架构设计,可以称之为“万能”设计。对于安全领域的各种产品形态,都完全可以采用架构 A 的方案进行设计。在这种架构上面,产品的所有特性和功能都是通过编写软件代码来实现的,可以最大限度的实现灵活性、复杂性和扩展性。另外,从技术难度和成本来讲,架构 A 也是很有优势的。但是,架构 A的缺点也显而易见性能比较差。即使是使用目前业界最高端的 CPU 来实现,在复杂业务处理的情况下也很难达到 2G
5、 以上的吞吐性能。这不仅仅因为在架构A 中所有的功能都用软件完成,本身对处理器而言就是很沉重的负载,而且,通用处理器(包括多核处理器)在外围接口上,往往因为其考虑了更多的通用性而造成不能够达到很高的带宽。所以,在业界的安全厂家中,架构 A 在中低端安全产品中采用的比较多,设计的产品往往都具有较好的性价比。对于高端的安全产品,为了达到更高的性能目标,则必须采用基于硬件加速的产品架构设计,即架构 B。架构 B 有什么优势呢?首先,把处理相对比较简单、但是流量很大的“快速路径”从处理器上“卸载(Offload)”下来,把“宝贵”的处理器资源留给复杂的协议处理和报文的深度检测。另一方面,因为专用芯片如
6、 FPGA/ASIC、NPU 等本身又具有很高带宽的外部接口(如多个 DDR RAM、SRAM、TCAM 接口等),具有很强的报文处理能力,让这些芯片去承担大吞吐量的快速路径处理,恰恰充分发挥了它的特点。这样的系统设计就达到了很好的平衡“物尽其用”,让每颗芯片都去完成其最擅长的功能,充分发挥其硬件加速的特点。高端安全产品的架构设计“基于硬件加速的架构”(图 3),其慢速路径的通用处理器单元可以基于多核处理器来实现,这种选择相对于基于 X86 的处理器和嵌入式处理器在处理能力上更有优势,灵活性也很强,是目前主流的实现方式。在快速路径的设计上,根据前面的描述,也有各种各样的实现方案(如实现方式 2
7、、3、4、5),这些不同的实现方案采用了不同的芯片如 FPGA/ASIC、NPU 及多核处理器等。面对这些组合,该如何看待其方案的差异性呢?在分析这个问题之前,先来看看高端安全产品的一个设计理念从处理器上卸载更多的业务。安全产品因为其业务处理的复杂性和多变性,导致不可能完全采用 ASIC 来完成所有的业务处理,这一点在本文前面已经有所讨论。所以,通用处理器在安全产品中是必不可少的一个部件。但是,通用处理器的性能差也是无法避免的。因此,要想达到更高的性能,就必须尽可能的让更多的流量不通过通用处理器进行转发和处理。哪个设计能够从通用处理器上卸载更多的业务和流量,哪个产品就能够达到更高的性能,这是高
8、端产品架构设计的关键之处,也是安全产品提升性能的关键之处,乃“兵家必争之地”。弄清楚了这一点,就很容易对高端产品的架构进行甄别,从而找到最优的设计方案。现在再回到刚才的那个问题在快速路径的设计上,采用 FPGA、ASIC、NPU和多核处理器究竟有什么区别?首先对比一下这三类器件的技术特征(表 1),包括性能、功能复杂性、报文深度处理能力和扩展性。性能就是报文在快速路径的处理和转发性能,包括对报文解析、查表和内容修改的操作。功能复杂性关注的是芯片能否完成复杂的协议解析和处理,这很大程度上取决于芯片本身的架构。所谓报文深度处理是安全产品对报文处理的特点,需要对报文的 payload 进行分析和处理
9、,在某些业务中甚至要对 payload 的每个字节进行处理,如 IPS/IDS、anti-virus 等。而扩展性,则是考虑到安全产品的特性必须能够很方便的进行功能扩展和升级,以适应不断发展变化的安全新应用。从上面的对比可以看出,NPU 因为其芯片架构更多的是针对 2、3 层的数据转发(路由器应用),所以在安全应用上就有很大的限制,对报文 47 层的处理很难实现。同时,NPU 也是通过微码来实现功能的,所以随着特性的增加,性能下降非常明显。这样一来,如果用 NPU 来做安全产品的快速路径,所能卸载的功能就很少,加速的作用很有限(其表现就是在简单业务的配置下,能够达到较高的性能;但是在复杂功能配
10、置下,性能急剧下降)。再考虑到 NPU 本身都比较昂贵,成本上也不占优。因此,用 NPU 来构建高性能的安全平台,并不是最佳的方案。再来看看 ASIC 的方案。缺点是显而易见的,使用 ASIC 很难应对纷繁复杂的安全特性,一旦出现 ASIC 所不支持的规格,就无法起到加速的作用。同时 ASIC的开发周期又很长(1 年以上),NRE 费用高,所以,基于 ASIC 的平台很难适应快速发展的安全特性,也不是最佳选择。采用 FPGA 还是多核处理器,在业界有不同的观点。多核技术发展迅猛,无论是芯片内部“处理器核”的数量,还是主频都在不断提高。这的确在一定程度上缓解了性能不足的缺点。同时由于其无比的灵活
11、性、扩展性和易用性(通用的C 语音编程),成为不少国内外厂家中高端安全产品的硬件平台之选。但相比之下,采用 FPGA 来完成安全产品的硬件加速则由于以下原因而更胜一筹:其一,安全产品,尤其是高端安全产品,越来越多的要求提供多个 GE 和 10GE接口,因此,能否达到 10G 的处理性能,成为一个很现实的问题。而多核处理器,由于其本质还是通过代码来实现功能“只要增加代码,性能就一定会下降“所以当业务比较复杂,数据通路上的代码比较冗长时,性能就明显下降,很难达到 10G 的处理能力。但对于 FPGA 而言,其芯片的内部架构决定了,在一定范围内(主要受到芯片内部的资源限制),特性的增加不会造成性能的
12、下降,这在很大程度上有效保证了产品的性能,同时又使得产品特性有相当的“弹性”,可以不断增强。其二,FPGA 的技术发展也为 FPGA 的应用提供了更多的支撑。这不仅体现在随着芯片工艺的飞速发展,FPGA 的规模和片内资源已经有了很大提升,完全能够支持复杂功能的实现。而且,FPGA 在芯片内部集成了越来越丰富的硬核资源(主要是各种高速接口和一些算法单元),这也使得 FPGA 的开发难度和资源利用率大为改善。在这些因素的共同推动下,利用 FPGA 来完成安全产品快速路径的处理,就能够从通用处理器上卸载越来越多的业务到 FPGA,同时又使得性能得以保证,是高端安全产品硬件平台的最佳选择。归结起来,基于多核处理器+FPGA 硬件加速的技术组合,是目前高端安全产品硬件平台的最佳选择,基于该平台的产品开发也需要有很深的技术积累。我们相信,随着技术的发展变化,安全产品的架构设计也会不断发展和优化。紧跟业界技术走向,充分结合已有的技术积累,打造“全能”的安全产品,从而构建一个“安全”的互联网。
