安全设备架构技术发展分析.doc

安全设备架构技术发展分析随着网络规模不断扩大、各种应用业务日益增多，特别是政府、电信、金融、教育等关键行业的数据中心、电信网络等的数据流量巨大，技术含量不断提高， 都要求有一个高可靠性、高质量和高安全性的网络来承载，支撑由此带来的网络流量、管理控制的复杂变化对网络的新要求，并保证网络以及信息系统的安全。为了满足上述信息系统安全需求，传统的安全已经显的力不从心了。这就对安全系统的架构提出了新的挑战。安全产品一直以来都在网络建设中的具有重要意义。安全产品在经历了X86、NP、ASIC、多核等技术的演化过程，仍能满足大部分用户的需求。针对高端用户对安全的要求至少要达到小包万兆线速转发性能需求，主要是靠提高CPU主频和CPU内核的数量已经无法满足高端用户的万兆级以上应用了。目前业界主要通过两种硬件架构平台来提高安全产品的整体处理性能。即以下两种：n 基于独立多核硬件平台的传统安全架构n 基于多级多平面的交换矩阵（Crossbar）统一安全架构1、基于独立多核硬件平台的传统安全架构传统硬件多核交换架构是指采用了多核处理器+高性能交换芯片实现技术。以下是常用的技术说明.多核CPU技术采用多核CPU进行处理技术，主要完成复杂协议报文的处理、协议编解码处理、策略匹配和管理、流量整形等功能，多个VCPU并行处理，确保产品的高性能及高可靠；另外小部分的VCPU用于管理平面，主要处理设备管理、策略管理、事件管理以及日志管理相关功能。由于采用了管理平面和数据平面分离的设计架构，因此，系统可以保证在高负荷的业务处理的同时，不影响设备的管理和维护。交换芯片技术采用高性能交换芯片技术来实现数据交换，提供系统组件高速交换通路，使得数据流在系统各个组件之间交换时，减少数据交换的瓶颈。数据处理方面还采用了单台设备独立处理的技术，如果要实现多种业务功能需求，需要多台安全设备配合工作，这种的分离式设计，实现技术比较比较容易。系统软件技术在传统硬件多核交换架构中，一般使用采用串行的策略和特征库匹配技术较多，即每条策略和特征库进行逐条匹配，策略和特征库的数量多少对于性能影响较大，随着特征库和策略数的不断增加，性能的下降会较明显。2、基于多级多平面的交换矩阵（Crossbar）统一安全架构其设计思想是在高性能多级多平面的交换矩阵（Crossbar）平台的基础上，通过业务插板来集成和实现安全功能，以解决现在对安全高性能、高吞吐量、多功能集成的需求。交换矩阵平台一般采用了多核处理器+大规模FPGA+高性能交换芯片架构实现。其与传统硬件多核交换架构在硬件上最大的不同就是采用大规模FPGA技术。大规模FPGA技术大规模的FPGA（Field-Programmable Gate Array，现场可编程门阵列）是整个系统的业务处理核心，具有并行处理、可编程的优势，从而可以实现低时延、高性能、高容量的攻击特征检测和病毒检查。FPGA在系统中具有以下主要功能：会话管理：完成高速的新建速率，支持大容量的并发会话管理；高性能引擎：通过高性能的特征匹配引擎，突破了传统检测引擎的性能瓶颈，可支持大规模的特征库和病毒库；DDoS防护：DDoS攻击是目前最常见同时也是危害最大的攻击方式之一，对于安全产品有较大性能要求，通过FPGA高效的处理能力可以满足各种DDoS攻击防护的要求。数据处理方面还采用了管理平面和数据平面相分离技术，这种的分离式双通道设计，不仅消除了管理通道与数据通道间相互耦合的影响，极大提升了系统的健壮性，并且数据通道独特的大规模并发处理机制，极大的降低了报文处理的时延，大大提升发挥其设计优势。统一软件系统技术高性能的硬件平台需要统一安全系统进行整体管理高度，针对深度业务识别和网络安全进行构架的设计安全操作系统是多级多平面的交换矩阵（Crossbar）统一安全架构的核心所在。统一软件系统平台从整体上分成4大平面：管理平面、控制平面、数据平面和支撑平面，其中支撑平面是指在操作系统上提供业务运行的软件基础；数据平面主要负责业务的处理和转发功能，控制平面主要是配合数据平面完成各种业务的配置保存和下发；管理平面则提供对外的设备管理接口，包括CLI、SNMP、Web、日志等。ConPlat是专业的内容操作系统，可以提供内容过滤、内容审计、流量控制、入侵检测及防御、防病毒、DDoS攻击防护等全面的安全功能。同时交换矩阵（Crossbar）统一安全架构采用的“并行流过滤引擎”技术，将安全策略和特征库通过特殊运算，并行完成所有内容检测，大大降低了对于性能的要求，即使特征库不断增长，也不会造成性能的下降，可以满足万兆以上高性能应用层安全防护的要求。通过上述软硬件结合方式，交换矩阵（Crossbar）统一安全架构可以实现万兆以上高性能，并且可以按需扩展IPS、应用防火墙、防毒墙等功能应用，为用户提供高性能、高可靠的安全保障。3、两种架构组网的技术分析3.1 传统硬件多核交换架构组网技术传统网络建设中，通常先规划基础网络，在此基础之上再考虑安全需求，通常是基础网络设备和若干独立和盒式安全设备的网络架构。比如，在网络核心和出口的地方，通常会部署核心交换和出口路由器，在此之间，增加了防火墙、IPS、负载均衡设备、内容审计和流控等设备。这种串糖葫芦式的网络架构部署困难，扩展性差，缺乏备份和高可靠方面的考虑。为了实现网络和安全的融合，传统硬件安全架构通过在单一设备上增加CPU与芯片数量来实现对高性能、高端口密度和多安全域的防护。但本质上，这种解决方案只是多台物理设备的简单堆砌，多个设备之间缺乏有机联系。在实际网络部署中，一方面，网络设备和安全板卡之间从管理上相互独立，只能单独进行策略的配置和维护，部署和维护复杂。另一方面，从业务处理的角度来说，由于安全模块和网络设备的接口模块物理上独立，因此也就无法具体针对不同的物理接口部署相应的安全策略。同时，多个设备由于运行了独立的系统，拥有各自独立的IP网段和路由表项，造成网络规划和组网的复杂度大大提升。而且，在扩展性方面，传统网络设备上受体积与本身架构的限制，导致扩容比较困难。3.2 多级多平面的交换矩阵（Crossbar）统一安全架构组网技术多级多平面的交换矩阵（CROSSBAR）平台采用了管理平面、控制平面和数据平面完全分离的架构，管理平面用来监控、维护和管理系统各个软硬件组件，并提供WEB、命令行、SNMP等丰富的管理接口。控制平面负责处理各种和业务相关的数据的运算和维护，比如，路由表计算、邻居状态维护等等。数据平面主要处理MAC转发、IPv4、IPv6、防火墙状态检测、包过滤处理、IPS、流控、审计等业务功能。和传统的网络设备叠加安全模块不同，多级多平面的交换矩阵（CROSSBAR）平台创新的实现了上述管理平面、控制平面和数据平面的完全统一，从物理上到逻辑上均呈现为一台统一的设备，只需要维护一个路由表项，各种安全业务的策略集中、统一部署。同时，多级多平面的交换矩阵（CROSSBAR）平台安全业务模块上自带的物理接口也和其他多级多平面的交换矩阵（CROSSBAR）平台接口板的接口一样，具备全部业务应用的功能，纳入系统中统一管理。这也大大提升了系统槽位的利用率。插卡板间流量转发过程：多级多平面的交换矩阵（CROSSBAR）平台深度业务交换网关基于Crossbar的无阻塞交换网架构，实现了系统的接口板和业务板之间无阻塞的线速交换。逻辑上如下图所示：在这种统一的系统架构之下，各个业务板直接和系统核心交换网通过高速链路相连，和系统的接口板之间可以实现线速的数据转发。在交换矩阵平台中，通过MAC交换策略、路由策略以及安全策略的灵活组合，实现了数据流在板卡之间的转发处理。总结基于基于独立多核硬件平台的传统安全架构设计对于中小网络建设是一个不错的选择。在中低端安全设备领域，一般采用独立机架式体系架构、单一功能模块。 这样