千兆高端防火墻的技術(shù)發(fā)展趨勢

發(fā)布時(shí)間:2010-9-21 10:46    發(fā)布者:eetech
關(guān)鍵詞: 發(fā)展趨勢 , 防火墻 , 千兆
防火墻的未來(lái)是向著(zhù)高性能,強大的QoS保證能力和深度防御三個(gè)方向發(fā)展。政府,金融電力等關(guān)鍵行業(yè)的數據中心、大型電信運營(yíng)商的網(wǎng)絡(luò )流量巨大,業(yè)務(wù)復雜。多業(yè)務(wù)下的流量劇增不僅對帶寬提出了很高的要求,而且對防火墻多業(yè)務(wù)支持的功能和性能方面也提出了很高的要求。  

因此,典型的千兆高端防火墻的技術(shù)特征是具有4G到10G線(xiàn)速處理和能力;在承受海量業(yè)務(wù)流突發(fā)的情況下保證流媒體,視頻,語(yǔ)音等時(shí)延敏感應用的穩定運行的能力。高端用戶(hù)往往采用高性能服務(wù)器對外提供特定的網(wǎng)絡(luò )服務(wù),例如WWW或電子郵件服務(wù)。由于訪(fǎng)問(wèn)者、時(shí)間、地點(diǎn)復雜,并且一些網(wǎng)站需要提供商業(yè)用途,所以對安全性的要求也很高,這就需要防火墻對數據包進(jìn)行深層次的檢查,進(jìn)行惡意代碼、SQL注入等多種攻擊行為的檢測,同時(shí)有效防范DDOS攻擊,保障諸如網(wǎng)上銀行等關(guān)鍵應用的穩定運行,防范各類(lèi)攻擊入侵。  

FPGA(Field-Programmable Gate Array,現場(chǎng)可編程門(mén)陣列)在現代數字電路設計中發(fā)揮著(zhù)越來(lái)越重要的作用。從設計簡(jiǎn)單的接口電路到設計復雜的狀態(tài)機,甚至設計“System On Chip”(片上系統),FPGA所扮演的角色已經(jīng)不容忽視。因為FPGA硬件可重新配置且可用性、精密度不斷提高,可以輕易配合系統規格隨時(shí)改變的要求,為用戶(hù)帶來(lái)充足的靈活性。  

FPGA體系結構能夠保證4- 10G路由和安全訪(fǎng)問(wèn)控制的線(xiàn)速處理能力,包括各類(lèi)多媒體業(yè)務(wù)、實(shí)時(shí)或非實(shí)時(shí)業(yè)務(wù)、連接或非連接業(yè)務(wù)等。同時(shí),以FPGA作為處理和交換架構的基礎,還可以通過(guò)FPGA良好的可編程性對數據包和協(xié)議進(jìn)行深層次的檢查和過(guò)濾,而且投資規模小,開(kāi)發(fā)周期短,是一種非常理想的高性能防火墻硬件平臺架構。  

與FPGA技術(shù)相比,ASIC技術(shù)將指令或計算邏輯固化到了硬件中,缺乏靈活性,不便于修改和升級;其次,深層次包分析(L4+)增加ASIC的復雜度,不能滿(mǎn)足防火墻產(chǎn)品對網(wǎng)絡(luò )協(xié)議進(jìn)行二到七層處理的需求;第三、ASIC的開(kāi)發(fā)周期長(cháng),設計費用昂貴且風(fēng)險較大。建立一個(gè)基本的ASIC研發(fā)環(huán)境就需要投資上千萬(wàn)元,從設計,驗證,流片,到最終量產(chǎn)投資額往往要達到數千萬(wàn)元。這樣無(wú)疑會(huì )造成投資回報期過(guò)長(cháng),大大增加了產(chǎn)品和項目的資金風(fēng)險。最后,采用ASIC技術(shù)的防火墻最大的問(wèn)題在于缺乏可編程性,對新功能的實(shí)施周期長(cháng),很不靈活,使得它難以跟上當今防火墻功能的快速發(fā)展。在日益猖獗的黑客攻擊面前,特別是針對在應用層攻擊(如Slammer、沖擊波病毒)等面前顯得無(wú)能為力。  

采用FPGA技術(shù)可以節省ASIC設計所需要的設施和平臺的巨大投入。對于單臺防火墻設備,FPGA芯片的成本占總成本的比重很低,而且采用FPGA架構可以通過(guò)配置和添加基本軟件來(lái)實(shí)現定制,從而不斷提升產(chǎn)品的性?xún)r(jià)比。  

FPGA的技術(shù)優(yōu)勢主要體現在:  

1. 縮短產(chǎn)品開(kāi)發(fā)周期。產(chǎn)品上市時(shí)間是推動(dòng)網(wǎng)絡(luò )處理可編程解決方案發(fā)展的主要動(dòng)力之一,FPGA不僅可以通過(guò)縮短開(kāi)發(fā)周期,還能通過(guò)縮短調試周期以加快產(chǎn)品上市時(shí)間。  

2. 實(shí)現復雜分類(lèi)查詢(xún)。像VPN(虛擬專(zhuān)用網(wǎng))和IPSec這樣的業(yè)務(wù)需要復雜查詢(xún)功能。查詢(xún)和分類(lèi)可通過(guò)復雜的迭代算法實(shí)現,FPGA能在邏輯電路的狀態(tài)機內實(shí)現查詢(xún)。從而縮短了查詢(xún)的周期,提升了系統整體的性能。  

3. 提供良好升級性能。FPGA具有較強的軟件升級功能,利用業(yè)界標準的HDL和C代碼,以及FPGA制造商提供的基于平臺和工具集方法的工具,可以很方便地實(shí)現軟件在各代FPGA中的無(wú)縫移植。在硬件升級方面,FPGA顧名思義就是現場(chǎng)可編程,因而能輕松升級,很好地滿(mǎn)足需求變化,延長(cháng)了產(chǎn)品壽命,有助于網(wǎng)絡(luò )安全設備跟蹤標準和協(xié)議的持續變化。同時(shí)FPGA往往有一定的預留性,比如一個(gè)常見(jiàn)的800萬(wàn)門(mén)的FPGA芯片,一般實(shí)際使用僅為200萬(wàn)門(mén)左右,預留的部分就是為了安全設備日后升級所用。  

4. 優(yōu)化系統整體性能。安全設備的器件數目和期望性能之間存在一個(gè)平衡點(diǎn),而將所有器件堆積在一個(gè)設備中將破壞整體性能。例如,如果能在主分組處理器件上實(shí)現安全處理功能,不僅能減少器件數目,還可從增加的性能中受益。FPGA的性能可以隨著(zhù)規格效率方便的擴展,某些需要查詢(xún)和密集控制的應用可通過(guò)采用協(xié)處理器/嵌入式處理器來(lái)更好地實(shí)現。  

5. 提供高抗擾能力。FPGA的串行連接技術(shù)可以減少引腳數量、減小接頭尺寸、降低電磁干擾輻射(EMI)、提高信號完整性和更好地抵抗噪聲,從而大大提高升了系統的抗干擾能力,非常適用于對電磁輻射安全有特殊要求的應用環(huán)境。  

交換結構是基于FPGA防火墻產(chǎn)品的關(guān)鍵部分,是解決高速報文轉發(fā)及處理的主要方式,它的性能直接決定了防火墻性能。交換架構采用共享內存機制,具有很高的吞吐率,而且實(shí)現簡(jiǎn)單,架構可擴展性強,可以很容易地進(jìn)行視頻處理、VPN等功能擴展。

在防火墻產(chǎn)品的開(kāi)發(fā)中,為了在類(lèi)似的傳輸流中區分不同的優(yōu)先級,需要三層甚至四到七層中進(jìn)行更深層的分組處理。而FPGA僅僅需要一塊芯片就可以更深入地處理這些分組,不僅降低了軟件的復雜度,而且降低了功耗。這是因為FPGA中的硬件并行處理完全可以同RISC的處理方法相媲美。  

在深度防御方面,因為單個(gè)可疑特征不一定就是攻擊行為,因此防火墻必須抓到大量的可疑特征,以便判斷是否為攻擊。但在這個(gè)過(guò)程中抓取可疑特征的速度一定要快,否則就會(huì )導致漏報。利用FPGA的高速度幫助進(jìn)行基層篩選,然后通過(guò)高速總線(xiàn)交由具備多核處理能力的CPU確認,就可以最大限度地確保防火墻架構的優(yōu)化。對于防御DDoS攻擊,FPGA具備很強的性能優(yōu)勢。  

FPGA架構的采用對于保證高端防火墻在復雜的網(wǎng)絡(luò )環(huán)境中的性能非常關(guān)鍵。以虛擬防火墻為例,這一功能是高端防火墻產(chǎn)品的最重要特性之一。如果應用中用戶(hù)將一臺物理防火墻劃分成256個(gè)虛擬防火墻(對于IDC的應用環(huán)境可能會(huì )更多),以一臺虛擬防火墻配置50條規則計算,一臺防火墻配置的規則數會(huì )超過(guò)1萬(wàn),如果要用串行處理機制,對性能會(huì )形成很大的制約,而采用FPAG架構的并行處理就可以輕易解決這一性能瓶頸。通過(guò)將安全規則轉化成邏輯,FPGA防火墻在實(shí)現過(guò)程中能夠同時(shí)匹配上萬(wàn)條規則。  

從目前的情況來(lái)看,主流千兆防火墻產(chǎn)品還有很多采用的是ASIC技術(shù),然而,全定制數字ASIC的前景已經(jīng)經(jīng)開(kāi)始出現陰影,F場(chǎng)可編程門(mén)陣列(FPGA)正在接管許多一度被認為是全定制芯片專(zhuān)屬領(lǐng)域的應用。自從FPGA在約二十年前出現以來(lái),它已經(jīng)通過(guò)將門(mén)數提高了三個(gè)數量級而侵占了ASIC的主導地位。FPGA在網(wǎng)絡(luò )通訊領(lǐng)域(如光網(wǎng)絡(luò ),光纖存儲等等)和網(wǎng)絡(luò )安全(防火墻,IPS,UTM)領(lǐng)域逐步得到了廣泛應用,思科,JUNIPER,3COM等國際廠(chǎng)商己經(jīng)在相關(guān)領(lǐng)域獲得了眾多的專(zhuān)利授權并在產(chǎn)品中廣泛采用。作為國內領(lǐng)先的安全廠(chǎng)商,東軟一直不懈努力,通過(guò)持續的技術(shù)創(chuàng )新為用戶(hù)不斷提供更高性?xún)r(jià)比的網(wǎng)絡(luò )安全產(chǎn)品。東軟在基于FPGA的防火墻技術(shù)領(lǐng)域進(jìn)行了多年的前瞻性技術(shù)研究和儲備,并承擔此課題的國家級科研和產(chǎn)業(yè)化項目,突破了一系列關(guān)鍵技術(shù)難題,取得了豐碩的技術(shù)成果。隨著(zhù)市場(chǎng)的發(fā)展和技術(shù)的進(jìn)步,具有更好可編程性和更高性能的FPGA技術(shù)必將是有實(shí)力網(wǎng)絡(luò )安全廠(chǎng)商的首選,而用戶(hù)也會(huì )有更加穩定、成熟、高性能的千兆防火墻產(chǎn)品可以選擇。
本文地址:http://selenalain.com/thread-28331-1-1.html     【打印本頁(yè)】

本站部分文章為轉載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀(guān)點(diǎn)和對其真實(shí)性負責;文章版權歸原作者及原出處所有,如涉及作品內容、版權和其它問(wèn)題,我們將根據著(zhù)作權人的要求,第一時(shí)間更正或刪除。
您需要登錄后才可以發(fā)表評論 登錄 | 立即注冊

相關(guān)視頻

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點(diǎn)地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權所有   京ICP備16069177號 | 京公網(wǎng)安備11010502021702
快速回復 返回頂部 返回列表
午夜高清国产拍精品福利|亚洲色精品88色婷婷七月丁香|91久久精品无码一区|99久久国语露脸精品|动漫卡通亚洲综合专区48页