在信息安全領域，“多核”是個相當熱門的詞匯。面對不斷增長的帶寬和愈發多樣化的安全需求，新一代安全產品必須構建在處理能力更強大的硬件平臺之上。而從工程化的角度看，在單顆內核處理能力提升緩慢的情況下，多核系統無疑是個很好的選擇?？v觀近幾年國內外安全廠商發布的產品，硬件解決方案也基本以其為主，堪稱市場主流。

但性能與業務復雜度天生就是一對矛盾體，在一些要求較高的應用場合，就算是多核系統平臺也很難做到功能、性能兩全。對于這種現狀，網御神州科技有限公司(以下簡稱“網御神州”)顯然有著深刻的認識。繼去年發布全線多核戰略，將旗下中高端產品遷移至多核平臺后，該公司又于近日發布了全新的泰山紅日系列產品。這一系列產品基于為多核平臺加速的設計理念，引入了可編程ASIC加速引擎，使系統整體處理能力達到一個新的高度。經過努力，我們有幸趕在正式發布前對型號為G60-76AA的產品進行了詳細的測試分析，在此與讀者朋友們分享。

全功能安全堡壘

泰山紅日G60-76AA采用2U規格設計，內置10個千兆電口與10個千兆SFP接口，接入能力十分強大。由于該產品定位于對性能、可靠性要求較高的應用環境，標配雙電源也是順理成章的事情。充裕的機身空間使其具備良好的擴展性，用戶可以根據需要選配硬盤，在本地保存日志及審計信息。產品功耗也并未因內置硬件加速引擎而出現顯著增長，實測空載97W、滿載120W的結果在2U規格的安全網關設備中表現尚可。

嚴格的管理方式是泰山紅日系列產品的亮點之一。該產品支持Telnet、SSH1/SSH2、基于HTTPS的WebUI與本地串口管理，但默認只開啟了后兩者，而且在登錄到WebUI前，必須在本地控制臺中導入設備附帶的管理員證書。泰山紅日使用這種雙向驗證建立SSL隧道的方式，有效屏蔽了密碼泄露導致的安全威脅。該產品也支持證書導入，可以無縫融入政府、金融等大型用戶已部署的證書管理體系中。

隨著安全網關逐漸成為市場主流，網御神州也順應平臺化的大潮，在泰山紅日系列產品中集成了多種實用的安全功能。除防火墻、IPSec VPN、SSL VPN、病毒過濾、入侵防御等常見功能外，該產品還內置了囊括57大類、超過1200萬個URL信息的綠色上網、針對應用的控制及基于Web或客戶端的用戶認證等行為管理類組件，提供了由被動到主動的立體防御措施。這種模式的優點顯而易見，用戶可以根據自身需求選擇相應的功能模塊，并且在未來安全需求發生變化時，保持快速升級的能力。

　　

動力源：多核AC架構

泰山紅日系列產品采用了多核x86處理器搭配可編程ASIC加速引擎的硬件解決方案，網御神州稱之為“多核AC架構”。該方案解決了多核架構在網絡層處理能力上的不足，使其在狀態與應用層業務處理方面的優勢得到很好的發揮，與傳統ASIC架構相比有著截然不同的存在意義。

如今，技術領域發生了翻天覆地的革命。多核x86處理器憑借強大的計算能力與突飛猛進的I/O性能，越來越多地出現在安全產品中，承載起各類復雜的業務;ASIC也在形態、成本、性能等方面找到合理的平衡點，為整體處理能力的提升提供了易于實現的基礎，而不僅僅表現為“傻快傻快”的防火墻。最重要的變化還是來自需求方面，安全業務的不斷拓展使得病毒過濾、入侵防御乃至應用控制等功能逐漸成為與防火墻同樣重要的關注焦點，這恰恰是多核AC架構的用武之地。經過可編程ASIC加速引擎的卸載，多核x86處理器可以專注于應用層業務的處理，使之盡可能少地成為系統性能的短板。這一點，在測試中有比較明顯的體現。

與新的硬件架構相對應，改進過的網御神州SecOS并行安全操作系統將負擔起更多的調度協調工作，使多核平臺與可編程ASIC加速引擎盡可能地融為一體。對于不同硬件平臺之間的資源差異，也可以利用系統內置的CPU核任務調度負載均衡技術實現任務的統一分配，最大限度地利用多核x86處理器進行應用層業務的處理。這種并行化的運作方式，可以確保每個內核都能在資源允許的范圍內實現處理能力的最大化，也是提高產品穩定性與平滑升級的先決條件。

性能：理論決定實際

架構上的優勢可以通過理論分析得出，產品化后的真實性能如何，還得通過測試來驗證。我們首先按照RFC2544規范的要求，使用思博倫通信提供的SmartBits 600測試儀考察了泰山紅日G60-76AA在1條全通策略與199條阻斷/1條全通策略配置下防火墻的吞吐量與平均延遲。為保證結果的準確性，測試分別在路由、透明及NAT模式下進行3次，取穩定值作為最終結果。

我們得到了一組整齊劃一的測試數據。無論是路由、透明還是NAT模式，泰山紅日G60-76AA在7種幀長下都保持了100%的線速吞吐。延遲方面的表現也頗具亮點，64、128Byte幀長時小于7微秒的平均延遲將設備對視頻會議等時延敏感型應用的影響減少到最小。需要說明的是，因為測試儀端口數量的限制，本次只使用了8個千兆口進行測試。如此看來，8Gbps線速絕非該產品的極限性能，也許我們應該使用更多的端口進行復測。

對于狀態檢測防火墻來說，必須還要有足夠優秀的連接建立、維護能力，才能讓吞吐量的數值具有實際意義。我們按照RFC3511的規范要求，使用思博倫通信提供的Avalanche 2900應用層性能測試儀對泰山紅日G60-76AA進行了測試。在路由模式、加載200條防火墻策略的情況下，該產品的每秒HTTP新建連接數超過6萬5千，并可保持最大200萬個并發連接。結合之前網絡層測試結果看，如果用戶需要的是一臺高性能千兆防火墻，這款產品無疑是個不錯的選擇。

多核AC架構支撐下的多業務綜合性能，是泰山紅日系列產品另一個值得關注的重點。我們在路由模式、防火墻加載200條策略的基礎上，打開病毒過濾與入侵防御模塊進行了測試。此時G60-76AA的HTTP可用帶寬達到1280Mbps，每秒HTTP新建連接數為13766，最大并發連接數依舊保持在200萬。對比純x86多核平臺的產品，這個結果確實有一定的優勢。而從未來前景考慮，x86多核處理器的高速更新換代幾乎是必然結果，這也意味著泰山紅日系列產品在網絡層性能保持領先的同時，應用層性能還有著廣闊的提升空間。