當今10GE乙太網路已經成為大大小小的核心機房的標準配備,甚至40GE/100GE乙太網也已漸成規模,大筆資金慷慨投入網路建設的時候,與10GE網路相匹配的網路安全建設卻一直讓人耿耿於懷,因為安全裝置多數並不能以10Gbps的速度完成防病毒、入侵防禦、內容過濾等安全防護任務,使用者投資沒有發揮出其應有價值。這就好像我們開車,本來路挺寬,突然遇到前方變窄的警示,所有車堵在路口等著過的情形。
同時,目前的裝置小包吞吐效能普遍不高,而網路應用卻充斥著大量小包的應用,隨著使用者業務量的增加,裝置已經嚴重超負荷運轉,如果再不採取應對策略,哪天也許會像菲律賓大樓一樣不堪重負而垮塌。
網禦星雲做為業界領先廠商,多年來一直秉承技術創新宗旨,其“精五”、“強五”系列安全閘道器擁有廣泛的業界知名度,2013年網禦星雲又推出 “威五”系列安全閘道器(以下簡稱:網禦威五),該產品憑藉大量全新技術,達到驚人的每U高度40Gbps線速(簡稱PPU,每U效能)超高效能指標,並且具有全功能開啟時的10Gbps全威脅檢測線速處理能力,最低網路延遲3us。使用網禦威五後可以迅速把一機櫃的資料處理壓縮至2U的體積內完成,一舉打破了安全和效能、效能和體積不能兼得的技術困局,在科學發展的道路上邁出了堅定的步伐。那麼,網禦威五都有哪些創新技術呢?
1. 資料包層間重定向技術
網禦在多年研究的基礎上,形成了對簡單、重複資料和複雜、多變資料的不同處理方法,並把系統資源在這兩個資料層次上進行合理排程,形成了今天所說的資料包層間重定向技術。這個技術包括三個核心思想:
資料包分層
網路流量從其所使用的協議工作特性可以區分成只包含簡單、重複流量的資料和包含複雜、多變流量的資料,而後者的出現都是以前者為載體的。透過資料層次檢測把這兩類流量區別開,是後續能否對系統資源分而用之的關鍵。
快速處理簡單任務
依靠預先設定的對資料層次的甄別尺度,抽離出只包含簡單、重複流量的資料,交由協議加速引擎處理,對安全或不安全的資料依照策略設定決定相應處理,比如轉發或阻斷。仍然借用沙子的比喻,協議加速引擎就好像運送沙子的高速傳送帶,哪裡需要送到哪裡去,哪裡都不需要就丟掉。
化複雜任務為簡單任務
依靠資料層次檢測抽離出只包含簡單、重複流量的資料後,剩下的複雜、多變流量資料交由業務處理引擎分析,經和策略匹配決定處理方式後,把流量還原至協議加速引擎可以識別的簡單、重複流量,仍由協議加速引擎執行轉發或阻斷的操作。還是借用前面的比喻,業務處理引擎就像從沙子裡挑出黃金,那麼挑完黃金剩下的沙子當然還是扔給沙子傳送帶。
上面的協議加速引擎和業務處理引擎,分別按照其所承擔的任務特點專門進行設計,所使用的運算資源相對獨立,這兩個引擎和資料包層間重定向技術的互動關係見下圖所示。
2. 網禦威五高效線速轉發的保障:協議加速引擎
網禦威五具有一個協議加速引擎,包含協議處理加速模組、管理模組和介面模組,以及資料通道和管理通道兩個共享類匯流排模組,透過把佔網路流量大多數的、經常發生的簡單、重複流量,從主資料處理任務佇列剝離出來,交予協議加速引擎處理,可以釋放大量系統計算資源處理更加複雜的運算。
3. 網禦威五業務處理引擎技術帶來超強全開效能
對複雜、多變流量資料的處理,實際遠比從沙子裡挑出黃金複雜,因為沙子裡往往有不止一種我們希望檢出的資料,比如還有鑽石和珍珠,這就需要對這些資料分別建立特徵庫,並找出這些特徵共有的屬性,然後把不具有這些屬性的資料先剔除出去。通常實際網路環境我們需要檢出的複雜、多變流量資料是遠遠小於簡單、重複流量資料的,只要透過合適的數學模型計算出複雜、多變流量資料共有的屬性,把混合在其中的大多數簡單、重複流量資料預先檢出並進行快速轉發,能極大提升系統處理效能,這是業務處理引擎設計的核心思想。
透過多核多執行緒平行計算技術,系統有能力在一個時鐘週期裡並行處理多件任務,我們需要對特徵匹配進行最佳化,讓儘可能多的相似任務在儘可能短的時鐘週期裡計算完成,比如如果需要計算尺寸,那麼所有計算尺寸的任務同時進行。
業務處理引擎的設計可用以下示意圖進行說明。
4. 網禦威五多核多執行緒平行計算技術
網禦威五利用64位高效能多核CPU的並行處理能力為應用層資料處理提供快速運算保障。透過流引擎和多核CPU排程演算法,保證多核CPU的平均負載分擔,使效能和容量可以隨CPU核數的增加線性增長,最大限度開發多核CPU的執行效率,實現功能全開情況下裝置的高吞吐量執行。
網禦威五透過以上高效智慧運算方法,實現了對系統資源的深度調配,突破了閘道器裝置的效能瓶頸,裝置在2U體積內即可以達到80Gbps的線速吞吐,應用層效能超過10Gbps。透過使用網禦威五安全閘道器,終結了安全裝置傻大黑粗“傻”效能時代,迎來了短小精悍“精”效能時代,可以說網禦威五在提高閘道器裝置效能上邁出了科學發展的腳步。