1、周报全文ASIC芯片驱动综合安全作者:网络世界记者边歆综合安全防护包括防病毒、防垃圾邮件、Web内容过滤等功能,对安全设备的性能提出了很高的要求,而经过改进的ASIC芯片开始承担这些重任。ASIC(专用集成电路)通过把指令或计算逻辑固化到芯片中,获得了很高的处理能力,因而具有性能优势,被广泛应用于各种安全产品中。但ASIC的缺点也同样明显,它的灵活性和扩展性不够、开发费用高、开发周期长(一般耗时接近2年)。由于ASIC存在的缺点,在UTM这种集成多种功能的设备中很少看到ASIC的身影。不过这种情况在2006年发生了变化。ASIC扛起性能大旗目前在市场上有一种观点,认为ASIC架构不能把网关杀毒
2、、垃圾邮件过滤、网络监控等功能做到芯片一级,因此ASIC架构不是UTM的理想选择,x86架构才是UTM的方向。对此,凹凸科技公司系统经理房立财表示,“不能把杀毒、邮件过滤等功能全部放到芯片一级”的说法是对的,但这不能说明ASIC架构的UTM就无法提供高速杀毒、垃圾邮件过滤、内容过滤等功能。这种说法的论据是正确的,但结论有失偏颇。ASIC架构不能缺少CPU在探讨x86和ASIC架构之前,首先要搞清楚这两种架构的概念。其实,关于UTM的ASIC架构和x86架构的概念是较模糊的,是不是全部采用ASIC芯片才是ASIC架构,全部采用x86芯片才是x86架构?实际情况不是这样的。房立财说:“UTM的AS
3、IC架构体现在两个方面。一方面,UTM的平台是基于ASIC芯片;另一方面,在内容处理时采用ASIC芯片作为加速器。凹凸科技认为,如果UTM的平台是基于ASIC芯片的,则称其为ASIC架构。如果UTM的平台基于x86,则是x86架构。不过在ASIC架构的UTM中,依然有通用CPU存在。”CPU在ASIC架构UTM中是必不可少的。CPU所发挥的作用是:很复杂的应用层逻辑,要用CPU处理。例如有新的P2P协议需要编入ASIC芯片,就需要CPU进行处理。UTM在性能方面使用ASIC硬件加速,智能方面借助于CPU。卫士通公司的中华卫士UTM也采用了CPU+ASIC的架构,有10%的数据流由CPU处理。为
4、了使UTM产品能够适用于各种使用环境,ASIC架构UTM出现了UTM整机和UTM功能插卡模块两种产品架构。架构一采用CPU板卡加专用ASIC芯片研制的UTM/通用网关模块的形式,由于网络层数据直接汇总至ASIC芯片处理,因此大幅度的提升了UTM性能(见图1)。其mw昱益亂USB)卄速以太附口架构二直接整合网络接口插卡和UTM专用ASIC芯片,使得UTM功能完全整合在一个专用的模块化插卡当中,不但实现了性能的高速提升,还能够按照用户需求,提供不同类型、不同接口、不同性能的UTM模块。插上UTM模块,设备就成为了一台高性能UTM网关,取下模块,该设备依旧是一台高性能的防火墙/IPS产品。(见图2)
5、使用这种架构,也充分体现了模块化的设计理念,为UTM产品的未来发展提供了一个新的思路。在架构二的基础之上,系统可以千兆线速对数据包进行全包过滤(Web页过滤、URL过滤、关键字过滤、病毒特征过滤等)。周报全文ASIC芯片驱动综合安全作者:网络世界记者边歆摆脱性能桎梏采用ASIC芯片最大的好处,就是利用其硬件加速的能力,加快对内容的处理。ASIC芯片是高性能的27层网络内容全面检查、分流的专用ASIC芯片。它的核心特点是网络全包内容特征的高速查找。ASIC芯片具有软件无法比拟的并行高速检查能力,能够在千兆线速下进行全包内容的检测及过滤,并通过全硬件查找,并行处理查找单元实现千兆字节流量过滤及模式
6、匹配。以深度内容保护和报文检测、智能模式识别技术为例,在进行深度内容保护和报文检测时,利用ASIC芯片进行网络数据包的Data部分的检测和过滤,把网络层的数据还原至应用层进行分析。这种技术实际就是网络数据分析软件所具有的功能(在网络中接收到数据包之后进行内容还原)。由于使用专门的ASIC芯片进行数据还原工作,因此能够大幅度提高数据的处理分析速度,从基础上保证了能够实现千兆流量环境下的内容过滤功能。智能模式识别的核心技术则在于对专用ASIC芯片设计与高速查找算法的技术实现。通过特殊设计的高速查询算法和模式匹配技术,然后将该算法加载至ASIC芯片,从而实现每秒检查上百万个数据包,核对每个包是否匹配
7、上万条安全特征规则。ASIC芯片集网络包处理和内容处理为一身,芯片首先完成流重组,然后直接在网络层匹配规则,并执行动作处理安全事件,需要进一步分析的才送CPU。网络中90%以上的数据在ASIC芯片中直接完成处理。ASIC架构UTM实现了硬件会话处理。通过在平台上采用SynCookie、SynProxy算法,实现了硬件防DDoS攻击。而且,ASIC芯片平台天然支持多端口、高性能。通过对ASIC加速器进行优化,处理性能有大幅的提升。据卫士通安全产品营销事业部副总经理张卓介绍,卫士通的ASIC架构UTM,以硬件方式实现千兆线速下数据包的全包检查和分流,其主要应用在网关查毒、邮件检查、传输文件内容检查
8、、URL检查、IPS系统等。由于芯片中内置了路由表、VLAN表、TCP/UDP/ICMP状态包,在任意数量的规则下,在持续并发200万连接的情况下,中华卫士UTM产品可以达到所有包长的数据包全线速。通过外加的插卡模块,可以在千兆线速下完成病毒检测、P2P和IM软件的流量控制管理、细粒度的访问控制、关键字过滤等功能,并支持用户自定义安全特性检查。房立财表示,只有采用ASIC平台,才能实现高性能,有一部分内容(例如解压缩和特征匹配等)是非常适合让ASIC硬件处理的。凹凸科技将深层内容检测和智能分类都放入ASIC芯片中。当数据流经过UTM时,首先由一个ASIC芯片进行处理,做精细分流(利用专利技术,
9、凹凸科技的ASIC芯片可以看到前128个字节中的任意内容,从而进行智能、精确的分类和分流)。经过分流的数据来到内容处理板,内容处理板上包括CPU和以ASIC加速器为核心的协处理器卡。凹凸科技在平台的ASIC芯片中采用了交换架构,数据和管理平面都基于交换(SwitchFabric),ASIC直接支持交换接口。因为UTM的模块多,对命令通道的要求更严格,而传统的基于总线的方式由于带宽不够,冲突比较多,所以采用交换方式。而中华卫士UTM的数据平面采用流水线和并行处理技术,在流水线操作中每个数据包会根据不同处理需求使用不同的模块。实际上,一个连接的存在是因为这个连接的数据包得到某一条规则的允许,否则也
11、防垃圾邮件、防病毒、入侵检测和防御(IDP)、Web过滤、P2P过滤功能时,依然保持了高性能。这一点对定位在超大型、大型网络应用环境的ASIC架构UTM来说十分重要。比如在电信机房的环境中,由于其中托管了大量的各个企业的服务器,而各个企业的安全需求不尽相同,所以UTM的所有功能都可能满负荷,此时必须保证各种防护功能的性能不能有明显的下降。这一点对高端UTM来说十分重要。在大型企业中,用户可能对某些功能没有太高的性能要求。而在电信机房的环境中,由于其中托管了大量的各个企业的服务器,而各个企业的安全需求不尽相同,所以UTM的所有功能都可能满负荷,千兆线速是必须的。一些ASIC架构UTM还具备动态调
13、C芯片只有2万个3万个。ASIC和x86各走各路关于x86架构和ASIC架构之间的竞争,张卓的观点是:在x86或者NP平台下实现UTM产品功能是完全可行的,业内也有厂商在研发和推出这样的产品,卫士通对于这种架构的产品也有一套成熟的体系。但是卫士通坚持认为,这种架构的产品只能用于中低端市场,无法满足目前和将来高性能网络综合安全防护需求。房立财认为,x86架构性能表现不佳有两个原因:1、中断问题:小包导致的中断很频繁,而中断会耗费大量的系统资源。2、即使有加速器(x86+协处理器),由于小包往加速器中塞的速度慢,导致加速器“喂不饱”。由此可见,x86架构的UTM无法满足高端市场的性能需求,但对低端