当今10GE以太网络已经成为大大小小的核心机房的标准配备,甚至40GE/100GE以太网也已渐成规模,大笔资金慷慨投入网络建设的时候,与10GE网络相匹配的网络安全建设却一直让人耿耿于怀,因为安全设备多数并不能以10Gbps的速度完成防病毒、入侵防御、内容过滤等安全防护任务,用户投资没有发挥出其应有价值。这就好像我们开车,本来路挺宽,突然遇到前方变窄的警示,所有车堵在路口等着过的情形。
同时,目前的设备小包吞吐性能普遍不高,而网络应用却充斥着大量小包的应用,随着用户业务量的增加,设备已经严重超负荷运转,如果再不采取应对策略,哪天也许会像菲律宾大楼一样不堪重负而垮塌。
网御星云做为业界领先厂商,多年来一直秉承技术创新宗旨,其“精五”、“强五”系列安全网关拥有广泛的业界知名度,2013年网御星云又推出 “威五”系列安全网关(以下简称:网御威五),该产品凭借大量全新技术,达到惊人的每U高度40Gbps线速(简称PPU,每U性能)超高性能指标,并且具有全功能打开时的10Gbps全威胁检测线速处理能力,最低网络延迟3us。使用网御威五后可以迅速把一机柜的数据处理压缩至2U的体积内完成,一举打破了安全和性能、性能和体积不能兼得的技术困局,在科学发展的道路上迈出了坚定的步伐。那么,网御威五都有哪些创新技术呢?
1. 数据包层间重定向技术
网御在多年研究的基础上,形成了对简单、重复数据和复杂、多变数据的不同处理方法,并把系统资源在这两个数据层次上进行合理调度,形成了今天所说的数据包层间重定向技术。这个技术包括三个核心思想:
数据包分层
网络流量从其所使用的协议工作特性可以区分成只包含简单、重复流量的数据和包含复杂、多变流量的数据,而后者的出现都是以前者为载体的。通过数据层次检测把这两类流量区别开,是后续能否对系统资源分而用之的关键。
快速处理简单任务
依靠预先设置的对数据层次的甄别尺度,抽离出只包含简单、重复流量的数据,交由协议加速引擎处理,对安全或不安全的数据依照策略设置决定相应处理,比如转发或阻断。仍然借用沙子的比喻,协议加速引擎就好像运送沙子的高速传送带,哪里需要送到哪里去,哪里都不需要就丢掉。
化复杂任务为简单任务
依靠数据层次检测抽离出只包含简单、重复流量的数据后,剩下的复杂、多变流量数据交由业务处理引擎分析,经和策略匹配决定处理方式后,把流量还原至协议加速引擎可以识别的简单、重复流量,仍由协议加速引擎执行转发或阻断的操作。还是借用前面的比喻,业务处理引擎就像从沙子里挑出黄金,那么挑完黄金剩下的沙子当然还是扔给沙子传送带。
上面的协议加速引擎和业务处理引擎,分别按照其所承担的任务特点专门进行设计,所使用的运算资源相对独立,这两个引擎和数据包层间重定向技术的交互关系见下图所示。
2. 网御威五高效线速转发的保障:协议加速引擎
网御威五具有一个协议加速引擎,包含协议处理加速模块、管理模块和接口模块,以及数据通道和管理通道两个共享类总线模块,通过把占网络流量大多数的、经常发生的简单、重复流量,从主数据处理任务队列剥离出来,交予协议加速引擎处理,可以释放大量系统计算资源处理更加复杂的运算。
3. 网御威五业务处理引擎技术带来超强全开性能
对复杂、多变流量数据的处理,实际远比从沙子里挑出黄金复杂,因为沙子里往往有不止一种我们希望检出的数据,比如还有钻石和珍珠,这就需要对这些数据分别建立特征库,并找出这些特征共有的属性,然后把不具有这些属性的数据先剔除出去。通常实际网络环境我们需要检出的复杂、多变流量数据是远远小于简单、重复流量数据的,只要通过合适的数学模型计算出复杂、多变流量数据共有的属性,把混合在其中的大多数简单、重复流量数据预先检出并进行快速转发,能极大提升系统处理性能,这是业务处理引擎设计的核心思想。
[Ok3w_NextPage]通过多核多线程并行计算技术,系统有能力在一个时钟周期里并行处理多件任务,我们需要对特征匹配进行优化,让尽可能多的相似任务在尽可能短的时钟周期里计算完成,比如如果需要计算尺寸,那么所有计算尺寸的任务同时进行。
业务处理引擎的设计可用以下示意图进行说明。
4. 网御威五多核多线程并行计算技术
网御威五利用64位高性能多核CPU的并行处理能力为应用层数据处理提供快速运算保障。通过流引擎和多核CPU调度算法,保证多核CPU的平均负载分担,使性能和容量可以随CPU核数的增加线性增长,最大限度开发多核CPU的执行效率,实现功能全开情况下设备的高吞吐量运行。
网御威五通过以上高效智能运算方法,实现了对系统资源的深度调配,突破了网关设备的性能瓶颈,设备在2U体积内即可以达到80Gbps的线速吞吐,应用层性能超过10Gbps。通过使用网御威五安全网关,终结了安全设备傻大黑粗“傻”性能时代,迎来了短小精悍“精”性能时代,可以说网御威五在提高网关设备性能上迈出了科学发展的脚步。