網(wǎng)御威五安全網(wǎng)關(guān)的技術(shù)創(chuàng)新

2017-03-10 16:59  出處:其他  作者:佚名   責(zé)任編輯:李顯梅 

   當(dāng)今10GE以太網(wǎng)絡(luò)已經(jīng)成為大大小小的核心機(jī)房的標(biāo)準(zhǔn)配備,甚至40GE/100GE以太網(wǎng)也已漸成規(guī)模,大筆資金慷慨投入網(wǎng)絡(luò)建設(shè)的時(shí)候,與10GE網(wǎng)絡(luò)相匹配的網(wǎng)絡(luò)安全建設(shè)卻一直讓人耿耿于懷,因?yàn)榘踩O(shè)備多數(shù)并不能以10Gbps的速度完成防病毒、入侵防御、內(nèi)容過(guò)濾等安全防護(hù)任務(wù),用戶投資沒(méi)有發(fā)揮出其應(yīng)有價(jià)值。這就好像我們開車,本來(lái)路挺寬,突然遇到前方變窄的警示,所有車堵在路口等著過(guò)的情形。

  同時(shí),目前的設(shè)備小包吞吐性能普遍不高,而網(wǎng)絡(luò)應(yīng)用卻充斥著大量小包的應(yīng)用,隨著用戶業(yè)務(wù)量的增加,設(shè)備已經(jīng)嚴(yán)重超負(fù)荷運(yùn)轉(zhuǎn),如果再不采取應(yīng)對(duì)策略,哪天也許會(huì)像菲律賓大樓一樣不堪重負(fù)而垮塌。

  網(wǎng)御星云做為業(yè)界領(lǐng)先廠商,多年來(lái)一直秉承技術(shù)創(chuàng)新宗旨,其“精五”、“強(qiáng)五”系列安全網(wǎng)關(guān)擁有廣泛的業(yè)界知名度,2013年網(wǎng)御星云又推出 “威五”系列安全網(wǎng)關(guān)(以下簡(jiǎn)稱:網(wǎng)御威五),該產(chǎn)品憑借大量全新技術(shù),達(dá)到驚人的每U高度40Gbps線速(簡(jiǎn)稱PPU,每U性能)超高性能指標(biāo),并且具有全功能打開時(shí)的10Gbps全威脅檢測(cè)線速處理能力,最低網(wǎng)絡(luò)延遲3us。使用網(wǎng)御威五后可以迅速把一機(jī)柜的數(shù)據(jù)處理壓縮至2U的體積內(nèi)完成,一舉打破了安全和性能、性能和體積不能兼得的技術(shù)困局,在科學(xué)發(fā)展的道路上邁出了堅(jiān)定的步伐。那么,網(wǎng)御威五都有哪些創(chuàng)新技術(shù)呢?

 1. 數(shù)據(jù)包層間重定向技術(shù)

  網(wǎng)御在多年研究的基礎(chǔ)上,形成了對(duì)簡(jiǎn)單、重復(fù)數(shù)據(jù)和復(fù)雜、多變數(shù)據(jù)的不同處理方法,并把系統(tǒng)資源在這兩個(gè)數(shù)據(jù)層次上進(jìn)行合理調(diào)度,形成了今天所說(shuō)的數(shù)據(jù)包層間重定向技術(shù)。這個(gè)技術(shù)包括三個(gè)核心思想:

  數(shù)據(jù)包分層

  網(wǎng)絡(luò)流量從其所使用的協(xié)議工作特性可以區(qū)分成只包含簡(jiǎn)單、重復(fù)流量的數(shù)據(jù)和包含復(fù)雜、多變流量的數(shù)據(jù),而后者的出現(xiàn)都是以前者為載體的。通過(guò)數(shù)據(jù)層次檢測(cè)把這兩類流量區(qū)別開,是后續(xù)能否對(duì)系統(tǒng)資源分而用之的關(guān)鍵。

  快速處理簡(jiǎn)單任務(wù)

  依靠預(yù)先設(shè)置的對(duì)數(shù)據(jù)層次的甄別尺度,抽離出只包含簡(jiǎn)單、重復(fù)流量的數(shù)據(jù),交由協(xié)議加速引擎處理,對(duì)安全或不安全的數(shù)據(jù)依照策略設(shè)置決定相應(yīng)處理,比如轉(zhuǎn)發(fā)或阻斷。仍然借用沙子的比喻,協(xié)議加速引擎就好像運(yùn)送沙子的高速傳送帶,哪里需要送到哪里去,哪里都不需要就丟掉。

  化復(fù)雜任務(wù)為簡(jiǎn)單任務(wù)

  依靠數(shù)據(jù)層次檢測(cè)抽離出只包含簡(jiǎn)單、重復(fù)流量的數(shù)據(jù)后,剩下的復(fù)雜、多變流量數(shù)據(jù)交由業(yè)務(wù)處理引擎分析,經(jīng)和策略匹配決定處理方式后,把流量還原至協(xié)議加速引擎可以識(shí)別的簡(jiǎn)單、重復(fù)流量,仍由協(xié)議加速引擎執(zhí)行轉(zhuǎn)發(fā)或阻斷的操作。還是借用前面的比喻,業(yè)務(wù)處理引擎就像從沙子里挑出黃金,那么挑完黃金剩下的沙子當(dāng)然還是扔給沙子傳送帶。

  上面的協(xié)議加速引擎和業(yè)務(wù)處理引擎,分別按照其所承擔(dān)的任務(wù)特點(diǎn)專門進(jìn)行設(shè)計(jì),所使用的運(yùn)算資源相對(duì)獨(dú)立,這兩個(gè)引擎和數(shù)據(jù)包層間重定向技術(shù)的交互關(guān)系見下圖所示。

 2. 網(wǎng)御威五高效線速轉(zhuǎn)發(fā)的保障:協(xié)議加速引擎

  網(wǎng)御威五具有一個(gè)協(xié)議加速引擎,包含協(xié)議處理加速模塊、管理模塊和接口模塊,以及數(shù)據(jù)通道和管理通道兩個(gè)共享類總線模塊,通過(guò)把占網(wǎng)絡(luò)流量大多數(shù)的、經(jīng)常發(fā)生的簡(jiǎn)單、重復(fù)流量,從主數(shù)據(jù)處理任務(wù)隊(duì)列剝離出來(lái),交予協(xié)議加速引擎處理,可以釋放大量系統(tǒng)計(jì)算資源處理更加復(fù)雜的運(yùn)算。

3. 網(wǎng)御威五業(yè)務(wù)處理引擎技術(shù)帶來(lái)超強(qiáng)全開性能

  對(duì)復(fù)雜、多變流量數(shù)據(jù)的處理,實(shí)際遠(yuǎn)比從沙子里挑出黃金復(fù)雜,因?yàn)樯匙永锿胁恢挂环N我們希望檢出的數(shù)據(jù),比如還有鉆石和珍珠,這就需要對(duì)這些數(shù)據(jù)分別建立特征庫(kù),并找出這些特征共有的屬性,然后把不具有這些屬性的數(shù)據(jù)先剔除出去。通常實(shí)際網(wǎng)絡(luò)環(huán)境我們需要檢出的復(fù)雜、多變流量數(shù)據(jù)是遠(yuǎn)遠(yuǎn)小于簡(jiǎn)單、重復(fù)流量數(shù)據(jù)的,只要通過(guò)合適的數(shù)學(xué)模型計(jì)算出復(fù)雜、多變流量數(shù)據(jù)共有的屬性,把混合在其中的大多數(shù)簡(jiǎn)單、重復(fù)流量數(shù)據(jù)預(yù)先檢出并進(jìn)行快速轉(zhuǎn)發(fā),能極大提升系統(tǒng)處理性能,這是業(yè)務(wù)處理引擎設(shè)計(jì)的核心思想。

  通過(guò)多核多線程并行計(jì)算技術(shù),系統(tǒng)有能力在一個(gè)時(shí)鐘周期里并行處理多件任務(wù),我們需要對(duì)特征匹配進(jìn)行優(yōu)化,讓盡可能多的相似任務(wù)在盡可能短的時(shí)鐘周期里計(jì)算完成,比如如果需要計(jì)算尺寸,那么所有計(jì)算尺寸的任務(wù)同時(shí)進(jìn)行。

  業(yè)務(wù)處理引擎的設(shè)計(jì)可用以下示意圖進(jìn)行說(shuō)明。

 4. 網(wǎng)御威五多核多線程并行計(jì)算技術(shù)

  網(wǎng)御威五利用64位高性能多核CPU的并行處理能力為應(yīng)用層數(shù)據(jù)處理提供快速運(yùn)算保障。通過(guò)流引擎和多核CPU調(diào)度算法,保證多核CPU的平均負(fù)載分擔(dān),使性能和容量可以隨CPU核數(shù)的增加線性增長(zhǎng),最大限度開發(fā)多核CPU的執(zhí)行效率,實(shí)現(xiàn)功能全開情況下設(shè)備的高吞吐量運(yùn)行。

  網(wǎng)御威五通過(guò)以上高效智能運(yùn)算方法,實(shí)現(xiàn)了對(duì)系統(tǒng)資源的深度調(diào)配,突破了網(wǎng)關(guān)設(shè)備的性能瓶頸,設(shè)備在2U體積內(nèi)即可以達(dá)到80Gbps的線速吞吐,應(yīng)用層性能超過(guò)10Gbps。通過(guò)使用網(wǎng)御威五安全網(wǎng)關(guān),終結(jié)了安全設(shè)備傻大黑粗“傻”性能時(shí)代,迎來(lái)了短小精悍“精”性能時(shí)代,可以說(shuō)網(wǎng)御威五在提高網(wǎng)關(guān)設(shè)備性能上邁出了科學(xué)發(fā)展的腳步。