浅析FPGA在安全产品中的应用.docVIP

浅析FPGA在安全产品中的应用 在安全产品中，X86、NP、ASIC、FPGA各自代表了不同的体系架构。然而，无论是媒体还是厂商，都难以将一种架构的差异与产品的优劣捆绑在一起，不过面对FPGA在IPS中的杀手级优势，以及针对市场上愈演愈烈的架构之争，《网络世界》有必要与读者一起分享技术上的来龙去脉。 写在讨论之前 在阅读本文之前，我们请读者牢记产业经济学上的三个要素：技术、成本与市场需求。因为在FPGA在安全产品的应用进程中，始终离不开这三个支点。 另外，我们也需要明确以下问题： 第一，FPGA(Field-Programmable Gate Array，现场可编程门阵列)在现代数字电路设计中发挥着越来越重要的作用。从设计简单的接口电路到设计复杂的状态机，甚至设计System On Chip(片上系统)，FPGA所扮演的角色已经不容忽视。 第二，FPGA正越来越多地作为现代电子系统的核心部分。因为FPGA硬件可重新配置且可用性、精密性不断提高，可以轻易配合系统规格随时改变的要求，这样可以为用户带来充足的灵活性。 第三，FPGA是一种高速可编程电子器件，并非职业杀手，其自身的物理特性决定了，有些工作容易发挥其设计优势，而有些则适得其反。 在明确了上述三个特征之后，接下来记者将会与读者一起分享FPGA在网络安全市场中的故事。同时，我们也非常感谢为本次专题提供芯片技术支持的Xilinx公司，以及我们的合作伙伴：Juniper、神州数码、SINFOR、SonicWall、TipingPoint、WatchGuard。 FPGA的灵活魅力 在网络安全产品设计的时候，可以采用多种半导体解决方案，相对来讲，目前主要采用的体系架构包括了X86、NP、ASIC、FPGA四种。相对来讲，CPU与NP的联系更紧密，而ASIC与FPGA的关系更相似。 不过，若从器件角度分析，传统上大多广义地归结为ASIC和可编程器件两类。在安全产品中，两种类别的主要原理与应用并无多大区别。传统上认为，ASIC可以为固定功能提供较高性能，但灵活度相当恶劣。 而可编程解决方案可提供较高的系统速率，包括复杂功能(特殊和异常处理)、灵活性。目前在安全产品设计中使用的可编程解决方案主要有两类：NP和FPGA。NP可提供以处理器为中心(即以软件为中心)的可编程特性，而FPGA则提供以硬件为中心的可编程特性。 Xilinx公司提供的报告指出，NP最初被用于设计网络设备中的现成器件，这些器件在各方面提供灵活性和扩展性的同时，还提供了充分的性能。大多数NP均带有多种经过优化的嵌入式RISC CPU以及适用于通用分组处理功能的类ASIC硬件电路。每个RISC引擎经过优化以执行特定任务。 相对于NP，FPGA是对数据进行高速并行处理的器件，具有更强的灵活性和扩展性。TippingPoint公司技术经理李臻表示，在其公司IPS产品中采用的Virtex-II Pro FPGA芯片，已经包含了高性能的可编程架构、嵌入式PowerPC处理器和3.125Gbps收发器。通过增强网络特性，FPGA可提供高性能的数据和安全控制处理功能。目前，网络处理内核和分组处理参考设计均适合于采用FPGA平台设计。此外，FPGA还支持所有的通用并行(单端和差动)和串行系统接口标准，以使其轻松地与任何协议进行接口并与线路卡上的任何器件相连。 Xilinx公司的FPGA解决方案专家Anil认为，在网络安全产品的开发中，尽管二层和三层处理在ASIC中很容易实现，但为了在类似的传输流中区分不同的优先级，还需要在四层和五层中进行更深层的分组处理。而FPGA仅仅需要一块芯片就可以更深入地处理这些分组，不仅降低了软件的复杂度，而且降低了功耗(相比于NP或ASIC)。这是因为FPGA中的硬件并行处理完全可以同RISC的处理方法相媲美。 另外，在网络安全产品设计中，升级性仍然是关键问题之一，而这包括了产品体系结构的软、硬两个方面。事实上，相对于NP开发中的软件难以移植问题，无疑增加了设计上的风险。Anil表示，FPGA拥有标准化的基于平台和工具集方法的工具，可以实现软件在各代FPGA中的无缝移植。而在硬件方面，NP只在处理器中提供可编程特性，其类似ASIC的定制硬件并不能直接进行编程，而FPGA则要轻松许多。 IPS上的奇葩 基于FPGA的特性，在IPS上采用的FPGA技术最为有代表。TippingPoint的技术经理李臻表示，在IPS中FPGA擅长把一些安全特征转化成逻辑，在实现过程中能够同时配批上千条规则，其并行速度超过普通CPU，而且相对于并行ASIC，其灵活性占有较大优势。毕竟，各种安全攻击的变化很快，也许今天写的过滤器一个月后就要改写了。 同时，对于IPS这种采用In Line模式的设备，必须保证最小的误报与漏报率，而基