安全產品100G時代即將到來
在IT技術和互聯網快速發展的過程中,信息安全防護起著極其重要的作用,正是在"道高一尺、魔高一丈"的博弈過程中,信息安全技術才得以在橫向和縱向兩個方面不斷發展:橫向發展方面,互聯網上的安全威脅的日益多樣性,催生了諸如IPS入侵防御和WEB安全網關等聚焦應用層安全防護的產品,其與傳統的防火墻產品協同配合形成覆蓋L2-L7層的安全防護網絡;縱向方面,以防火墻和IPS為代表的安全產品,在特性完善和性能提升方面有了很大的進步,在性能方面也在從百兆千兆萬兆甚至到100G的方向演變,成為安全產品發展的旗幟和標桿。
(一) 100G性能--安全產品發展的必然趨勢
1) 互聯網應用的極大豐富,將導致網絡流量快速上升數倍
當前的互聯網業務類型相比互聯網初期已經有了革命性的變化,多種新型的互聯網應用迅速吸引了大量的網民,如最為典型的微博,國內某微博服務商宣稱其用戶數目已達到或超過1億。隨著這些用戶活躍程度繼續上升,互聯網流量將急劇上升。與此同時,諸如網絡視頻類業務也將成為未來的殺手級業務,且智能終端的大量出現,未來基于這種便利的上網行為將并且已成為潮流,這些新興業務應用將將是未來互聯網的流量增長的重要推動力。有資料顯示,未來3年內,全球網民的用戶數將突破30億的規模,整個互聯網的流量將增長4倍以上,由此引發的包括防火墻、IPS和應用層網關等在內的互聯網設備都需要考慮有足夠的處理能力和帶寬資源;尤其是防火墻產品,作為互聯網安全訪問的第一道屏障,升級跨向100G的級別將勢在必行。
2) 云計算環境下,分布式部署的安全產品向集中的資源池部署轉移,由此必然對設備性能提出了要求
現階段云數據中心的建設正在成為一種潮流,為了得到更高效的處理效率,更好的可靠性保證已經更加簡易化的資源調配和部署,云數據中心的基礎架構也必然要進行升級演化。傳統的數據中心的建設過程中,網絡層次分明,安全的邊界相對比較明確且分散,在進行防火墻和IPS等產品部署時對性能沒有嚴格的要求,屬于分布式的部署模型。而在新一代云計算數據中心建設過程中,網絡基礎架構和服務器存儲資源等等都進行了資源池化處理,網絡層次之間的互聯更多的是多條10GE鏈路的捆綁上行,并且已經找不到明顯的安全邊界。在這種情況下,安全設備要想成功部署,一方面需要有高密度的GE/10GE的端口密度,另一方面要有超高的處理能力,以確保防火墻等安全產品不會成為用戶訪問的瓶頸;此時,超高性能的安全網關將因為其本身的處理能力、方便的單一設備管理等因素成為高端用戶安全防護的優先選擇;
3) 高端用戶對高性能安全產品的現實需求
部分網絡承載的用戶數目比較大,應用種類比較豐富、用戶對服務器訪問的帶寬也比較充足,存在周期性高突發流量、應用系統要求低延時等,需要有高性能的防火墻等安全產品進行支撐。
典型如部分電信運營商,其在自身網絡安全加固及數據中心增值業務建設過程中需要部署高端的防火墻,尤其是未來在大型的內容服務提供商(如網絡游戲等)可能進入IDC,將導致IDC的出口帶寬大幅增加到100G的級別,此時為了給租戶提供更好的網絡環境,杜絕更多的非法訪問和可能的安全攻擊,具備上百G性能及高密度10GE接口能力的高端安全產品如防火墻成為了必然選擇。
在金融行業,按照數據大集中的要求,各大銀行紛紛開始按照兩地三中心的模式建設高性能高可靠的數據中心網絡,此時為了確保數據中心的安全訪問,對高性能的安全產品尤其是防火墻產品提出了額明確的需求。
在教育行業,部分高校用戶的學生規模擴張到數萬人以上,學生PC終端擁有量上升,這將產生大流量的數據訪問,包括很多針對校內應用資源諸(如視頻會議、多媒體網絡教學、VOD點播、數字圖書館及科研等)的訪問,在建設萬兆以太網進行業務承載的同時,校園的安全防護也需要有高性能的防火墻進行保障。
歸結起來,單設備超高性能的安全產品如100G防火墻,相比較分散的中低端性能的安全產品,可以有效降低網絡部署的復雜度,減少網絡可管理的節點數目,保證用戶的網絡快速安全和可靠。
(二) 100G安全產品實現的關鍵點
1) 分布式設計模型下的關鍵模塊構成
對于超高性能的防火墻等安全產品而言,單純的集中處理模式已經難以滿足性能設計的要求,分布式架構成為大勢所趨,尤其是對于需要進行報文深度檢測的產品如IPS入侵防御設備等。基于這種分布式的架構,獨立的雙主控單元、高性能的業務處理引擎單元、多種規格的GE/10GE接口模塊,高性能的分流模塊是其關鍵的組成部分。
在雙主控實現方面,現有的高端安全產品(現階段主要是防火墻產品)對于可靠性的要求是保持轉發層面的不中斷,要求實現兩臺設備之間的會話信息和配置信息的同步,設備的任何故障包括主控模塊的處理故障都將觸發這種雙機的切換。但是在100G防火墻產品級別,主控模塊的價值體現在控制協議的學習,路由表項的學習下發,各業務模塊之間的流量均衡調度和設備的統一管理等,其本身的功能也有較高的本地可靠性保障的需求,因此本機雙主控模塊將進一步增強系統內部的故障備份,配合已有的雙機熱備技術,可以提升系統的可靠性水平。
同時,高效的I/O接口模塊或者是高性能的分流模塊,也是其區別中低端防火墻的重要差別。尤其是在大規模的流量到達設備后,需要通過靈活的分流策略,將報文均衡調度到不同的安全業務模塊,才能保證分布式的報文處理效率。為此,這些I/O接口模塊或者是專業的分流模塊,需要支持針對IP多元組的預配置分流策略,或者是自動的分流分配機制,確保流量分配的均衡性,以及該流量往返路徑的一致性。只有這樣,每個業務處理引擎單元才能檢測到單條流的完整會話過程,從而根據該條流的首個報文建立起正確的會話表項,為后續的轉發奠定基礎。
最后,對于高端的安全設備而言,安全業務處理引擎的性能和表現,對于整機是否能達到設計的性能和功能目標起著直接的決定作用,無論是防火墻產品還是入侵檢測等產品的核心處理環節都需要依賴該業務處理模塊。對于防火墻和IPS入侵防御等產品,在進行該業務單元設計時,需要考慮他們的業務處理流程上的差異,合理的選擇該業務單元的關鍵器件,并將不同的業務環節劃分到不同的邏輯電路,才能保證設計目標的實現。#p#
2) 安全業務模塊的硬件選擇
如前所述,安全業務模塊是產品的核心模塊,其不但要承擔整個安全業務處理的各個環節,還需要考慮到系統的性能設計目標,也就是說,該模塊不但要完整核心的軟件功能,還必須考慮做到超高的性能,該單元的處理能力,直接決定了整機的性能。
基于系統的高性能的設計目標,在對該硬件模塊進行電路設計時,需要結合當前的硬件技術的發展水平,并結合當前可選的功能器件如NP處理器、ASIC器件、FPGA邏輯電路、多核處理器、通用CPU處理器、內容加速處理器的方案差異,合理選擇適合的硬件設計方案。
目前較常用的方式是多核處理器和FPGA邏輯的配合,隨著多核技術的迅猛發展,無論是芯片內部"處理器核"的數量還是主頻都在不斷提高,這為其高性能的業務處理能力提供了保障,同時由于多核產品對多業務流程處理的靈活性、功能的可擴展性和易用性(通用的C語言編程),因此成了中高端安全產品的首選。在高端防火墻和IPS等產品的設計過程中,可以利用多核CPU充當安全處理引擎單元的慢路徑關鍵處理器,承擔防火墻和IPS等產品的首包分析的工作,實現對會話的狀態檢測和表項下刷;而FPGA可以作為快路徑的主要處理單元,在慢路徑將會話和轉發表現下發后,完成對報文的快速匹配和轉發。從另外一個角度,對于IPS等深度報文檢測的產品而言,考慮到其需要提取報文的payload負載并進行大容量的特征庫匹配,為了做到高性能需要考慮配套專用的內容加速芯片,實現對特征庫基于正則表達式等形式的高速查找。
因此可見多核、FPGA邏輯轉發以及專用的內容加速固定特征庫匹配器件,是未來超高性能安全產品的重要選擇;
3) 業務處理引擎對于報文處理流程的層次化設計
作為系統的核心處理單元,設備的安全業務處理引擎要想達到更高的性能,就必須不要純粹基于通用處理器進行轉發和處理流量,而是要考慮將流量合理的卸載到其他的協處理器(諸如FPGA等器件),實現報文的硬件加速。
基于整個報文處理流程,高端安全產品軟件設計可以劃分為軟件慢路徑、軟件快速路徑、硬件加速三個層面。無論是對于防火墻產品還是IPS入侵檢測產品而言,其本身的業務處理流程中,都存在可以利用硬件加速提升性能的處理環節,典型如防火墻的會話快速轉發環節,如IPS入侵防御產品的固有特征庫的快速查找匹配環節等。對于這些可以直接通過硬件快速路徑處理后轉發,對于已經明確處理策略的數據流通過軟件快速路徑進行加速處理,剩余的其它數據流由軟件慢路徑進行深度解析處理。
基于這種分層的設計思路,不僅可以充分發揮專用硬件芯片的處理性能優勢,也減輕了通用處理器的處理負擔,使通用處理器可以有更多的資源來實現對關鍵流程如會話建立的處理效率,保證業務模塊的性能均衡而高效。
(三) 100G安全產品的衡量標準
對于高端防火墻和IPS入侵防御等產品而言,其超高的性能、出色的可靠性和穩定性,靈活的組網能力和擴展性、以及設備的綠色環保等方面,無疑是衡量其是否出色的重要指標;而基礎的性能指標參數,以及關鍵特性的實現程度,無疑是對高端安全產品實現程度的最直接反映,
1) 系統關鍵性能指標
系統的性能是對安全產品能力和網絡定位的最直接的反映。
對于防火墻產品而言,常見的性能指標包括網絡的處理時延,不同字節情況下設備的吞吐量指標,以及單板或設備的應用層性能指標典型如每秒新建連接數和最大并發連接數等等。對于IPS產品而言,除了上述參數之外,還應該包括特征庫的容量以及定期更新特征庫的能力。基于現有的經驗數據,性能出色的防火墻和IPS等設備,其網絡處理的延時平均值要控制在30us以內,以保證快速處理諸如視頻語音等時延敏感型業務。
對于新一代防火墻產品,根據RFC的測試規范,在64bytes字節長度時,每單板的處理性能要求達到20Gbps吞吐量的水平。對于那些宣稱大包20Gbps性能的產品,由于實際網絡中的流量不可能是全部由大包構成,因此其在實際部署時會大打折扣,并不能真正做到對20G實際流量的處理;對于IPS產品而言,在模擬真實環境、保證對攻擊特征的高識別率的情況下的系統性能是否可以達到10Gbps的設計要求;在系統部署了多塊業務模塊的情況下,整機的性能要求做到線性的增長,以實現對性能的平滑擴容。同時,對于并發連接數/每秒新建連接數,應用層吞吐量(HTTP、FTP、SMTP等業務)以及混合業務吞吐量等應用層信息指標,應該也有明確的要求,這些應用層的性能指標可以作為系統在真實情況下的處理能力的最直接的參考。
2) 關鍵特性的實現程度
除了性能指標之外,高端防火墻和IPS等安全產品的關鍵特性的處理能力和實現程度,也是衡量設備是否成功的重要標準。
如虛擬化的實現,根據其典型的應用場合,在數據中心多租戶共享的情況下,防火墻和IPS等安全設備的虛擬化能力是非常重要的指標。要想做到真正的虛擬化并實現對設備資源的靈活分配和調整,需要從以下幾個方面來進行衡量:設備可以支持的虛擬化數目,每個虛擬化實例的CPU的資源任意分配指定、內存資源劃分定義、設備新建連接數目和并發連接數可以根據用戶的需求配置、以及在每個虛擬實例下,各種安全策略的數目分配、安全域的數目分配、NAT資源的分配等等;對于IPS產品,各虛擬實例的license特征庫可以單獨激活或升級。同時,還需要考慮到針對各個虛擬設備進行獨立的配置管理的需要,需要考慮對各個虛擬設備的安全事件獨立分析和監控的需要。如果設備的虛擬化實現非常完整,才可以真正實現對設備資源的靈活調整;
現階段的高端安全產品如防火墻和IPS走向100G,應該還是在初期的階段,市場的用戶需求還需要繼續挖掘和培育,產品的功能、性能和穩定性等方面也還需要繼續完善和提升,尤其是對IPS產品而言,因為其本身在深度報文處理環節上的復雜性,相對防火墻還有更長的路要走。隨著用戶需求的逐步成熟,產品技術的不斷進步,安全產品的100G時代終將到來。
【編輯推薦】
