浅谈网络安全的_硬件架构

浅谈网络安全的硬件设备

·概述

随着互联网的飞速发展，基于互联网的各种应用也无处不在，对于网络安全的功能和性能的要求也越来越复杂和越来越高。现今的网络安全产品，已经从过去单一的防火墙和VPN，到入侵检测，到增加了防病毒功能的UTM,再到现在基于行为和内容管理的下一代防火墙。从过去的百兆产品到了千兆产品，而现在对万兆产品的需求也越来越大。

有很多人很容易混淆网安产品和通讯产品，往往觉得网络安全产品和通讯产品的交换机，路由器差不多，最多就是在通讯产品增加了安全功能。其实这是非常错误的，简单来说一般的通讯产品只对三层内的协议进行分析、处理和转发，而网络安全产品就是要对三层和三层以上的数据及内容进行分析、处理和转发。传统通讯产品一般会把处理机制分成两个层面，一个数据层，一个是管理层。数据层主要是对数据包进行转发，而管理层只是对三层以内的数据特别是包头处理，例如建立各种转发的表项等，等管理层面处理完之后或者连接建立以后，发给数据层进行转发。而同一个数据连接的数据包就不需要再经过管理层就可以直接进行转发了。这样的机制就大大提高了数据的转发效率和传输能力。所以传统的通讯设备往往能到千兆线速、万兆线速的性能，其数据层一般是由交换芯片实现，而管理层则由CPU(处理器)来实现。因为传统的通讯产品对三层以上的数据基本不做处理，所以他们对CPU处理能力特别是运算能力要求不是很高。而网络安全产品因为要对三层以上的数据包进行处理，不能单纯的分为数据层和管理层，数据层和管理层是相对比较模糊的，数据包需要经过大量分析和处理之后才能进行转发。应该分为数据层和处理层，所以要求其有很高的转发能力和处理能力。

·硬件架构技术发展历程

早期X86

基于以上特性，最先应用于网络安全的硬件架构产品是基于CISC(复杂指令集)即x86处理器的产品。为什么是x86架构呢？首先要从操作系统说起，网络安全产品很多都是基于Linux开发，因为Linux系统内已经嵌入很多基本的网络安全模块比如防火墙功能等，再者因为是开源的缘故使后续的很多安全功能很容易加载在系统之上。而我们也知道所谓的x86系统，主要是基于Int el架构的硬件系统，而这种系统在PC上得到了最广泛的应用。早期的x86产品主要是由CPU、北桥和南桥三部分组成，CPU(处理器)进行数据处理，北桥挂内存和图像处理器，南桥挂各种I. O接口。这种架构有利于复杂图形数据处理和各种数据处理，再加CPU的主频不断提高使其处理能力很高但功耗也很高。由于I.O一般都采用传统的PCI总线上挂载网卡的方式，而且总线上会挂载多个PCI设备使本来带宽就不大的总线开销大大增加，所以传输数据包的效率就大大降低。以33MHz 32位PCI总线上挂载4个PCI网卡来说，经过测试64Byte小包只有20MByte

的性能，大包也不能达到百兆线速。〃

PowerPC

由于X86架构上的这些问题，后来出现了RISC处理器，就是精简指令集处理器。首先是飞思卡尔的PowerPC处理器，此处理器是SOC架构，把内存管理器和所有的I/O都集中在一个芯片上，而且使用了像GMII/SGMII/Xauio等高速通讯总线，大大提高了包传输效率。PowerPC是一种R ISC多发射体系结构，飞思卡尔凭借其Power PC架构的系列处理器霸守在通信处理器市场，优点是PowerPC的指令格式简单统一，长度固定，寻址方式也经过优化，提供了更高级的扩展能力。在硬件规模相当的情况下，RISC处理器可比CISC处理器的速度快40%—70%不等。而且对于处理必须的纠错能力和安全性能来说，RISC先天具有非常好的发挥空间。实时嵌入式操作系统，飞思卡尔的PowerQUICC系列处理器由嵌入式的PowerPC核和通信处理模块CPM两部分集成而来。这种双处理器的结构由于CPM承接了嵌入式Power PC核的外围接口任务，另外支持微码复用，比较适合在通信行业使用。因为有以上的特点使得PowerPC的转发能力非常强，一般在单纯转发的情况下可以达到千兆线速。缺点是：由于RISC结构的特点，硬件和软件的兼容性都不强，运算能力比CISC低。近年来PowerPC也推出了多核的产品，但由于以上的特性主要还是在通讯类产品应用很多，而在网络安全上的应用很少。缺点：1）主频低，一般不到2 G，计算能力要弱于X86，不适合用在IPS、UTM等对内容层处理较高的应用。2）PowerPC主要流行的实时操作系统Vxworks已经被竞争对手Intel收购，飞思卡尔准备走两条路：一条是与其它实时操作系统厂商更紧密的合作；另一个将会寻求在Linux上开发实时操作系统。3）多核方面以及计算能力不如X86和Mips发展好，不适合做高端防火墙以及IPS等产品4）由于RIS

C结构的特点，硬件和软件的兼容性都不强。

MIPS

近年来出现了另外一种RISC结构处理器-MIPS,由于过去的x86平台不能做到64Byte小包转发性能到线速，而一些小规模的新型公司抓住了这个机会，发展出多核MIPS处理器，以弥补x86的不足。MIPS处理器有以下的特点：1)MIPS多核基于精简指令集，运算能力一般，转发能力强，将来的发展趋势仍然是提供强的转发能力，适当提高运算能力，将来支持单周期多指令，支持浮点数运算；目前两主要芯片厂商如Cavium公司及Netlogic (原RMI) 公司均采用的是Mi ps架构，其中Cavium公司已经推出16核CPU，每个核的主频为600MHz，总的处理能力可达9.6GHz，新一代的OCTEON II系列,支持1至32个Core,最高主频为1.5G；而RMI公司也推出了8核CPU，每个核的主频为1.2GHz，总的处理能力也达到了9.6GHz，下一代即将推出XLP 系列8核32线程,主频2.4G。2)网口总线采用通讯设备用的SGMII, XAUI等高速总线，使数据包不用通过中断而直接传送到CPU进行处理和转发，大大提高了转发性能。3)为了弥补运算能力的不足，内嵌了Ipsec,SSL等加密引擎，使VPN的性能得到很大的提高。Cavium芯片还内嵌了正则表达式引擎，主要是内容对比功能，但由于能放置的规则库太少，而且非常难用，所以只能在测试是跑少量的病毒或IPS规则能发挥一些作用，但在实际运用中是很难表现出效能的。

4)功耗低；X86是针对计算机应用的通用CPU，为通用性计算设计，主频、Cache、浮点运算等都增加了功耗，一般为了增加10％～15％的计算能力，就会增加15~20W的功耗。MIPS多核处理器针对嵌入式应用，一方面要求功耗低，另一方面与其他元器件的整合性相比要高的多。相比之下，MIPS多核处理器的功耗一般不会超过30W。缺点：1）虽然是多线程技术，但是是单发射流水线，在本身软件已经针对Cache优化的比较好的情况下，这种多线程技术没多大用处。2）虽然转发能力好，但运算能力差，对于要求高运算能力的报文处理能力低下，比如VPN,内容过滤和防病毒运用性能很差；虽然，加上了内容对比引擎但因为配置的不灵活，无法发挥其效能。

·硬件架构技术发展趋势

现在回头再谈谈CISC架构在近几年的发展。Intel对南北桥架构进行了很大改变，去掉了北桥，把内存直接挂在处理器上，这样大大提高了内存的处理效率。对I.O带宽进行了很大的提升，由原来的PCI并行总线提高到PCIE的高速串行总线，带宽一下提升到了2.5Gbs/通道，而最新的P CIE三代带宽已经到达8Gbs/通道，处理器由原来的单核多线程也发展到了多核多线程。这样的