多核架构在网络安全设备中的优势.doc

多核架构在网络安全设备中的优势SonicWALL网络安全设备（NSA）采用对突破性的多核处理器架构，将新一代统一威胁管理（UTM）和进行实时深度包检测相结合，在安全性和性能方面大大超越传统网络安全解决方案。目录网络安全技术的新兴趋势2统一威胁管理UTM使用免重组深度包检测网络安全架构比较4通用处理器的局限性ASIC处理器的局限性多核处理器的优势结论6摘要网络安全已变得越来越复杂。网络通信不再只是简单依托于存储转发应用，例如电子邮件，而是已经扩展到实时协作工具，例如：Web 2.0的应用、即时通讯（IM）、对等应用、VoIP、流媒体和远程电话会议等，此类沟通方式无一不为潜在的威胁提供了途径。当今，网络安全的复杂性迫切需要实施统一威胁管理（UTM）方法。为了真正有效起见，UTM需要实时深度包检测（DPI）。精密的恶意攻击可渗入到传统的状态包检测产品中，为了确保基本的网络性能，传统的解决方案只侧重于扫描数据包的报头，而遗漏了数据包内隐藏的数据威胁。理想状态下，网络安全解决方案应当能够及时全面地检查每一个数据包内现存的所有内在和外在威胁。由SonicWALL研发的这种针对深度包进行实时、全面检测的能力，被称为免重组深度包检测（Assembly-Free Deep Packet InspectionTM，RFDPI）。在不明显降低网络吞吐量的前提下，基础架构的性能对完成实时DPI至关重要。由于日渐增长的检测要求，传统的单核处理器和ASIC解决方案不能及时地处理来自网络内外、不断演变的复杂攻击。多核架构是通过实时DPI来实施UTM最好的平台。与通用处理器和ASIC处理器相比而言，多核技术在性能、可扩展性和节能性方面都比当今现有的其它网络安全平台更具优势。多核处理器与免重组深度包检测兼容的灵活性、经济性和能效性构成了高性能网络安全行业的基石。网络安全技术的新兴趋势面对愈加复杂的网络环境相应产生的一系列恶意威胁，网络安全越来越依赖于统一威胁管理方法和实时深度包检查的结合。然而，这些技术要求一个基础的平台，例如多核处理器架构，在保证网络安全的同时不影响网络吞吐量和企业生产力。统一威胁管理（UTM）统一威胁管理（UTM）已成为保护现代网络的事实要求。面对当今各种威胁，传统的单一解决方案不能针对当今复杂的威胁提供足够、及时和完全的保护措施。这些恶意攻击正是利用了日益复杂的、无约束的因特网访问、对等应用、即时通讯和多媒体应用在内的商业网络环境。这种复杂性自然地为间谍软件、恶意移动代码、键盘记录、VoIP攻击、网络钓鱼、欺诈性网站和混合威胁（例如，新近的风暴虫病毒和蠕虫联合带来的难以琢磨的多元攻击）提供了潜在攻击路径。同时这种复杂性也破坏了IT对网络的控制，经常导致带宽降低、生产力下降，企业的网络被许多不正当访问或非法的信息流量搞得不堪重负。虽然采用传统的单一解决方案可以解决一些网络威胁和生产力问题，但是很难调配、管理和更新，从而增加了操作的复杂性和超额花费。相反，当今机构要求为网络安全和生产力提供一个结合传统的单个技术管理的综合方法。统一威胁管理（UTM）代表着传统防火墙进化趋势已经形成传统的防火墙演化成不再仅是防止入侵的工具，而演化成能够执行内容过滤、数据泄露保护、入侵检测和反恶意软件的一种多功能系统。UTM使用免重组深度包检测采用状态包检测技术的传统解决方案只检查约2%的防火墙流量，而使用深度包检测（DPI）技术的UTM解决方案被设计成能够检查100%的进出防火墙的流量。但是，并不是所有的DPI方法都是相同的。免重组深度包检测（RFDPI）是由SonicWALL公司提出并实现的，可以实时扫描处理无限大的文件和无限多的网络连接。RFDPI技术是为多核硬件而量身打造的，它可以实现超高速智能检测，与其它DPI方法相比它在可扩展性和性能方面更具优势。与所有其他DPI方法不同，RFDPI不需要停机和在内存中储存信息流量。通常，系统管理员习惯性在高负荷状态下要么对超负荷流量不检测而放行，要么形成流量拥堵，这也发生在正常的商业通讯中。此外，与其它DPI方法不同，RFDPI不限制文件的大小，任何一个用户都能下载，也不限制同时保护文件的用户数量。这使RFDPI架构成为业内可扩展性最强的架构，并成为实现实时的统一威胁管理（UTM）功能最强大的解决方案。图1、统一威胁管理系统中的免重组深度包检测网络安全架构比较安全供应商开发的下一代安全产品已经在基础硬件设计上采取了多种方法。SonicWALL选择了多核处理器架构，其他供应商选择了通用处理器加单独的安全协处理器结构。甚至有一些供应商选择设计并构建ASIC（专用集成电路）平台。下面我们探讨通用处理器和ASIC处理器的自身局限性，并将这些局限性与多核技术的强大优势进行比较。通用处理器的局限性通用处理器依赖一个单一CPU来处理全部功能，它们不提供任何类型的安全升级服务，通常情况下，这类处理器需要第三方的安全协处理器为其提供必要的安全方面的硬件操作。因为通用处理器在超高的时频运转时需要附加协处理器，而且一般操作中还将消耗更多的功耗。另外，通用处理器和安全协处理器具有不同的总线频率，这也会限制通用处理器解决方案的性能。通用处理器也可能在存储器带宽方面受限制从而导致相对缓慢的数据包处理。总而言之，通用单一处理器设计为UTM检测提供的硬件平台并不理想。ASIC处理器的局限性ASIC平台具有高速转发包能力，但是它们在网络安全设备中存在固有的设计问题和局限性。一个尤为明显的问题供应商在升级那些不断变化的处理安全问题时的ASIC微代码方面的能力有限。采用ASIC解决方案，供应商不具备修改微代码的能力，从而给附加的用来处理不断变化的协议的新功能带来麻烦。由于不能保证这些产品可以升级和满足用户未来的安全需求，这就限制了基于ASIC的安全产品的应用范围。多核处理器的优势多核处理器对于支持UTM产品有很多优于ASIC处理器和通用处理器的地方。这些优势包括低功耗、联网安全协处理器和增加存储器带宽从而提高网络吞吐量。SonicWALL的多核平台将硬件加速和自动化集成在更大范围的数据包处理和特殊应用功能中。借助上述硬件优点，SonicWall的SonicOC固件实现了软件无法匹敌的性能。与通用处理器相比，应用于SonicWALL新一代安全产品的多核处理器为每一个核提供了额外的安全协处理器，可以使每个单独的核在芯片上具有额外的安全性硬件加速能力。通过安全协处理器与多核平台的集成，SonicWALL已经开发了一种高性能解决方案，可以明显降低安全协处理中的延迟问题。而且，由于所有安全加速硬件都是片上（on-chip）的，SonicWALL多核架构不受总线频率的限制。考虑到未来的重复利用性，SonicWALL多核平台的设计可方便地扩展到使每块芯片拥有更多内核、每块主板拥有更多芯片、每个机箱拥有更多主板的应用中。图2、多核处理与单核处理为了提高网络包处理性能，SonicWALL的多核处理器设计比通用处理器有更优越的存储器带宽。更大的存储器带宽造就了神速的数据包处理平台，这是因为每个数据包有更多的存储资源。在通用处理器中，存储带宽被限制在86GB/s以内，而多核处理器的存储带宽超过100GB/s。多核处理器的设计和实现也展示了其高效性。例如，在SonicWALL多核产品中，高效兼具最优化的设计使得芯片具有低能耗和小芯片面积的特性。因此，这些处理器集成了大量专用的硬件加速，允许在单个处理器上集成多达16个核，从而可提供最佳的性能，现实生活中的大量应用就是其最好的证明。多核处理器技术让SonicWALL能够开发出高性能的网络安全设备，这种设备与使用通用处理器和安全协作处理器的解决方案相比可减少大约30%的功耗，而网速相差无几。SonicWALL多核处理器设备最多可采用16个内核（还为未来的重复利用设计了更多的内核空间），提供高性能并行数据包处理，集成了正常操作过程中具有较低功耗和低时频运行的安全协作处理器。与ASIC解决方案不同，SonicWALL多核安全设备可以全面现场升级，所以能够与不断演变的安全威胁并驾齐驱，从而提供行业内广泛认可的新型网络安全技术和协议。结论为了满足当今的网络安全需求，SonicWALL采用了具备实时免重组深度包检测功能的统一威胁管理技术。 如此高水准的UTM需要具备最佳性能的基础硬件架构与之配合。与通用处理器和ASIC解决方案相比，SonicWALL网络安全设备（NSA）的多核处理器架构明显优于其它产品。多核架构的基本原理乃是最大范围地提高应用性能和可扩展性，同时将功耗和升级复杂性降至最低限。多核架构结合了专用的硬件加速和高性能多核处理器架构技术。这种最佳的结合方式可以提供数据包、内容及安全处理方面的高性能和高效的解决方案。与其它架构相比，多核架构在低功耗和升级复杂程度最小化方面效率更优。您大可不必再担心多余的开销及操作的复杂程度。通过