首页 >> 新闻中心 >> 行业动态
行业动态
一夫当关万夫莫开 Intel重袭网络安全市场
发布者:admin 日期:2013-6-21 点击次:1302
整个互联网市场以及互联设备正在以极快的速度演进,各种各样的病毒、网站漏洞、垃圾邮件、钓鱼网站等网络安全问题也在不断涌现,用户的网络系统正在面临着复合型的网络安全威胁,防护需求也从传统的四层发展到七层。不仅如此,数据处理的流量和流程也在增加。互联网已经从过去的千兆、万兆发展到了如今的40G甚至100G,不断挑战网络安全设备的处理能力。另外,要实现全七层防护,就必须实现对数据的深度检测和还原,只有这样才能有效检测数据中的病毒、木马等应用层威胁。

因此网络安全行业需要考虑通过新的方式来解决安全和性能问题。对于用户来说,网络安全产品一定是既可以保证检出率又可以保证性能的,而在安全解决方案提供商方面,如果输出的网络安全设备能够有出色的基础架构作为支撑,那么满足用户的一切需求都不在话下。

中央处理器作为硬件架构的核心单元,在整个基础架构中扮演着举足轻重的地位。网络安全设备之所以会出现性能瓶颈,很大程度上是由于CPU单元的表现力不足,导致占用率居高不下。纵观整个芯片市场,Intel无疑是当之无愧的霸主,尤其是在服务器领域。但是在网络安全设备市场,众多领军企业却基本都将Intel架构的处理器作为应用处理和整体调度的核心,而少有厂商将其作为网络数据包转发的核心使用。在这其中,即有厂商船大难掉头的原因,也有Intel方面的问题。但是最近笔者却发现Intel不但通过风河大力推广Intel DPDK(Intel数据平面开发套件),而且还在紧锣密鼓地与众多网络和安全厂商进行合作,在网络市场不断推出新产品。然而,笔者却更加关心Intel在网络安全硬件市场以怎样的手段来笼络众多安全厂商的心。为此,笔者采访了Intel通信和存储基础架构事业部部门经理Bob Ghaffari以及Intel通信和存储基础架构事业部首席工程师和架构师Praveenn Mosur,与二位专家对于Intel在网络安全领域能做的事情展开了深入到探讨。

应用、控制、数据转发平台需要三合一

Ghaffari谈到:“研究当今网络基础架构面临的挑战会发现,我们使用的物理设备纷繁复杂。例如,防火墙、入侵检测、路由器负载均衡器、基本的 Web 应用防火墙等网络中的各类设备。我们面临的挑战在于:在网速不断提升的同时如何创建高性能的环境,以及如何在提高网络相应速度的同时确保其安全性,以及摆脱小众化,这是因为对小众化网络进行编程是一件很困难的事情。你一定希望轻松、高效地解决这些威胁。”

事实上,网络安全技术基本可分为三个层面,即应用层面、控制层面和数据转发层面。如果能有一种可无缝解决当前所有挑战的架构,对于众多安全厂商来说岂不乐哉。从过往表现来看,应用层面和控制层面的处理是Intel架构芯片的看家本领。因此业界需要解决的一大问题是如何加快数据层面处理速度。一直以来,业界都希望使用网络处理器或专用芯片来加快数据包处理速度,但是这样其实还是数据转发层面独立在应用和控制之外,不能达到完全整合。若是Intel芯片也可以做到快速的数据包处理,那么众多安全厂商还有什么可犹豫的呢?

Ghaffari向笔者解释道:“只需使用一种架构,便可有效处理应用、控制和数据层面的任务是有很大益处的。首先,它更容易编程,可帮助安全企业更轻松地提供 IT 人员或电信人员需要的解决方案,并获得速度和安全保障。处理速度的加快意味着性能将会非常出色,并能帮助您提升网络性能。大家都希望一面有效地对网络进行保护,另一方面又不希望网络运行太慢。我认为重要的是有一款产品能够高效处理应用、控制和数据层面的任务。Intel的不凡之处在于解决了如何利用单一架构完成这一系列任务的问题。Intel过去针对应用和控制使用内部架构,而网络处理器用于 IXP 产品线的数据层面处理。但是几年前Intel就已经能够在一个架构上处理所有任务。我们在Intel架构数据包处理方面进行了大量的投入,将Intel DPDK打造为重要基础,使Intel架构比数据层面应用的网络处理器运行更快。因此,快速的数据层面处理,加上用于应用和控制处理的强大Intel架构,这款出色的技术解决方案可解决网络挑战。”

Intel DPDK提供160GB DPI性能

过去业界在使用Intel架构时遇到了数据包处理性能的问题。那么Intel到底采取了怎样的措施能够让Intel有如今的“底气”呢?据了解,Intel几年前就已改进了微架构及处理器的功能,集成了内存控制器,还在早期版本的Intel DPDK 上进行了投资。2009 年,Intel使用了Nehalem 架构使性能获得大幅的提升。在随后的2010年和2011年Intel又取得了重大进展,将 PCI Express控制器集成到处理器中,并将Intel DPDK 库升级到版本 1.1。又在去年(2012年)升级到了新版的Intel DPDK,进一步大幅提升了数据包处理性能。Intel通信和存储基础架构事业部首席工程师和架构师Praveenn Mosur进一步解释道:“英特尔架构和 DPDK 具备出色的性能,基于 Sandy Bridge 架构可在标准英特尔平台上获得 160GB 深度数据包检测(DPI) 的吞吐量。因此,网络安全设备可以快速地进行数据包处理,特别是快速进行 DPI,这对于以DPI为主的上网行为管理以及下一代防火墙来说简直是最大的福音,可以轻松解决性能不足的问题。”

Ghaffari继续谈到:“Intel的优势在于制造能力及新产品推出的连续性,Intel每年都会推出全新的芯片产品。我们会定期发布新版软件,以确保及时增强 DPDK 库。而且我们每年都会根据著名的 Tick-Tock 开发模式推出新的产品。目前来说,高性能数据处理都源于 22纳米Sandy Bridge 架构。不久,我们将升级至下一代 Tick —Ivy Bridge。在 Tick- Tock 开发模式下,我们将提供基于老一代制程技术的新功能、新微架构,或提供基于新制程技术的相同微架构。因此,在 Sandy Bridge 升级至 Ivy Bridge 的过程中,我们将保留相同的微架构,在微架构中增加一些增强特性,但更重要的是,我们会借助新的制程技术进行升级,以帮您提升性能、降低功耗和改进功能。在利用 Tick-Tock 功能方面,任何厂商都不能与我们相媲美。”

随着Intel DPDK的发展,被称为Crystal Forest的下一代平台也从幕后走到台前。除了上面描述过的对于数据转发的大幅提升外,在这个新平台中还有一个非常重要的新特性,即QuickAssist 技术。QuickAssist 技术为业界提供了一种软件编程模式,可利用英特尔在微处理器领域的特性及功能,从而提高加密、解密、压缩、解压缩等操作的速度。 Cave Creek芯片组基于Xeon协处理芯片,它可帮助卸载处理器上的内容,去掉特定的外设并添加新的单元,是带有加密、压缩和固定字符串和正则表达式模式匹配的硬件加速器。能够大幅提升 SSL或 IPSec的处理速度或者处理大量压缩-解压缩任务及提升网络带宽的使用效率。笔者认为,Cave Creek 作为加速器在中端市场可以用来替代目前比较主流的Cavium Octeon。

在当前的发展过程中,部署通用架构已经成为一种趋势,整个业界都渴望使用该架构高效处理应用、控制、数据层面的任务。尤其是当数据中心等地部署虚拟化防火墙时,若是出口安全网关和服务器内部虚拟防火墙都采用相同的架构,对于安全的运维和管理其实是百利而无一害的。Intel多年来悉心打造的生态系统已经非常庞大,提供从高性能到低性能的不同产品,基于高性能的至强处理器以及基于低价、低功耗的凌动处理器的解决方案。Intel可提供各种解决方案来满足用户不同的需求。基础架构解决方案必须提供所需的重要安全功能。不论物理设备还是虚拟设备,英特尔都能提供卓越的性能和非凡的功能,特别是对于企业中的虚拟设备用途,或是软件定义网络 (SDN)、部署可快速运行的网络安全和虚拟设备功能和解决方案,都是英特尔能够提供的重要功能。

虽然网络安全行业的众多领导厂商可能并未在其产品上全面采用Intel架构,依然是一些“多核”家族的忠实拥簇者,但是却无法回避性能日趋饱和,产品更新速度慢的现状。不论是否对x86依然抱有激情,Intel都凭借强大的资源实力以及深厚的技术积累,携最新的Intel DPDK、Crystal Forest平台以及22nm/14nm的Ivy Bridge/Haswell 架构处理器,在网络安全市场杀了一记漂亮的回马枪。

京ICP备09010596号-1;版权所有:北京万任科技有限责任公司; 全国客服专线:010-84715358;   传真:010-84715358;地址:北京市海淀区北三环西路32号恒润国际大厦17层;(IE8以上)