安全设备架技术发展分析.doc

安全设备架构技术发展分析 随着网络规模不断扩大、各种应用业务日益增多，特别是政府、电信、金融、教育等关键行业的数据中心、电信网络等的数据流量巨大，技术含量不断提高， 都要求有一个高可靠性、高质量和高安全性的网络来承载，支撑由此带来的网络流量、管理控制的复杂变化对网络的新要求，并保证网络以及信息系统的安全。为了满足上述信息系统安全需求，传统的安全已经显的力不从心了。这就对安全系统的架构提出了新的挑战。 安全产品一直以来都在网络建设中的具有重要意义。安全产品在经历了X86、NP、ASIC、多核等技术的演化过程，仍能满足大部分用户的需求。针对高端用户对安全的要求至少要达到小包万兆线速转发性能需求，主要是靠提高CPU主频和CPU内核的数量已经无法满足高端用户的万兆级以上应用了。目前业界主要通过两种硬件架构平台来提高安全产品的整体处理性能。 即以下两种： 基于独立多核硬件平台的传统安全架构 基于多级多平面的交换矩阵（Crossbar）统一安全架构 1、?基于独立多核硬件平台的传统安全架构 传统硬件多核交换架构是指采用了多核处理器+高性能交换芯片实现技术。以下是常用的技术说明. 多核CPU技术 采用多核CPU进行处理技术，主要完成复杂协议报文的处理、协议编解码处理、策略匹配和管理、流量整形等功能，多个VCPU并行处理，确保产品的高性能及高可靠；另外小部分的VCPU用于管理平面，主要处理设备管理、策略管理、事件管理以及日志管理相关功能。由于采用了管理平面和数据平面分离的设计架构，因此，系统可以保证在高负荷的业务处理的同时，不影响设备的管理和维护。 交换芯片技术 采用高性能交换芯片技术来实现数据交换，提供系统组件高速交换通路，使得数据流在系统各个组件之间交换时，减少数据交换的瓶颈。 数据处理方面还采用了单台设备独立处理的技术，如果要实现多种业务功能需求，需要多台安全设备配合工作，这种的分离式设计，实现技术比较比较容易。 系统软件技术 在传统硬件多核交换架构中，一般使用采用串行的策略和特征库匹配技术较多，即每条策略和特征库进行逐条匹配，策略和特征库的数量多少对于性能影响较大，随着特征库和策略数的不断增加，性能的下降会较明显。 2、?基于多级多平面的交换矩阵（Crossbar）统一安全架构 其设计思想是在高性能多级多平面的交换矩阵（Crossbar）平台的基础上，通过业务插板来集成和实现安全功能，以解决现在对安全高性能、高吞吐量、多功能集成的需求。交换矩阵平台一般采用了多核处理器+大规模FPGA+高性能交换芯片架构实现。其与传统硬件多核交换架构在硬件上最大的不同就是采用大规模FPGA技术。 大规模FPGA技术 大规模的FPGA（Field-Programmable Gate Array，现场可编程门阵列）是整个系统的业务处理核心，具有并行处理、可编程的优势，从而可以实现低时延、高性能、高容量的攻击特征检测和病毒检查。FPGA在系统中具有以下主要功能： 会话管理：完成高速的新建速率，支持大容量的并发会话管理； 高性能引擎：通过高性能的特征匹配引擎，突破了传统检测引擎的性能瓶颈，可支持大规模的特征库和病毒库； DDoS防护：DDoS攻击是目前最常见同时也是危害最大的攻击方式之一，对于安全产品有较大性能要求，通过FPGA高效的处理能力可以满足各种DDoS攻击防护的要求。 数据处理方面还采用了管理平面和数据平面相分离技术，这种的分离式双通道设计，不仅消除了管理通道与数据通道间相互耦合的影响，极大提升了系统的健壮性，并且数据通道独特的大规模并发处理机制，极大的降低了报文处理的时延，大大提升发挥其设计优势。 统一软件系统技术 高性能的硬件平台需要统一安全系统进行整体管理高度，针对深度业务识别和网络安全进行构架的设计安全操作系统是多级多平面的交换矩阵（Crossbar）统一安全架构的核心所 在。 统一软件系统平台从整体上分成4大平面：管理平面、控制平面、数据平面和支撑平面，其中支撑平面是指在操作系统上提供业务运行的软件基础；数据平面主要负责业务的处理和转发功能，控制平面主要是配合数据平面完成各种业务的配置保存和下发；管理平面则提供对外的设备管理接口，包括CLI、SNMP、Web、日志等。ConPlat是专业的内容操作系统，可以提供内容过滤、内容审计、流量控制、入侵检测及防御、防病毒、DDoS攻击防护等全面的安全功能。 同时交换矩阵（Crossbar）统一安全架构采用的“并行流过滤引擎”技术，将安全策略和特征库通过特殊运算，并行完成所有内容检测，大大降低了对于性能的要求，即使特征库不断增长，也不会造成性能的下降，可以满足万兆以上高性能应用层安全防护的要求。 通过上述软硬件结合方式，交换矩阵（Crossbar）统一安全架构可以实现万兆以上高性能，并且可以按需扩展