经过FPGA来构建一个低本钱、高功用、敞开架构的数据平面引擎可认为网络安全设备供给功用进步的动力。
跟着互联网技能的飞速开展,功用成为限制网络处理的一大瓶颈问题。FPGA作为一种高速可编程器材,为网络安全流量处理供给了一条低本钱、高功用的解决之道。
网络安全的中心使命之一是对IP流量的解析、辨认和处理,也便是在IP网络通信中常常说到的“数据平面”。网络通信数据平面具有如下特色:1.需求处理多种物理层接口,跟着安全的触角向网络中心延伸,网络安全设备需求面临的网络接口也在向高端延伸,从低端的100M/1000M以太网向高端的万兆以太网甚至城域网等级的2.5GPOS(接口)、10GPOS甚至40GPOS接口延伸;2.数据平面处理流程在网络层(IP)和会话层(TCP/UDP)相对规范化;3.数据平面需求具有剖析处理使用层(L7)内容的才能,而使用层剖析的算法,如内容匹配、特征辨认等将需求巨大的核算才能。
应对五大技能应战
恒扬科技是一家专心于为网络安全厂商供给高功用网络通信数据平面根底渠道的技能型公司。正是由于数据平面的上述特色,咱们认识到,经过FPGA来构建一个低本钱、高功用、敞开架构的数据平面引擎可认为网络安全设备供给功用进步的动力。要完成这样一个引擎,需求应对如下技能应战:
1.需求具有多种接口上高速网络报文的处理才能:安全解决计划正在和网络通信交融,这种交融必定要求网络安全使用不再拘泥于简略的100M、1000M局域网接口,针对处理相似POS接口上的城域网、广域网流量,处理正在成为使用干流的10G接口甚至40G接口,每一代新的FPGA都供给了更丰厚的接口,功用也不断进步。现在FPGA可供给大于1Gbps的LVDS(低压差分信号)接口,高速SERDES(并串行与串并行转换器)接口则可支撑高达10Gbps的速率,再加上FPGA的可编程特性,使得规划者能够快速地呼应新的接口规范,推出自己的产品。而FPGA内部资源的不断添加,则答应规划者在不断添加的网络带宽面前,依然能够开宣布完成多种安全处理的设备。
2.单板密度、功耗要求:一向以来,FPGA都在快速开展傍边,密度更高,接口类型更丰厚,功用更高。因而,FPGA可支撑更多的功用,单板的密度也得以添加。在传统的认知中,FPGA常常被挂上高功耗的标签。其实,现在状况正在发生变化。举例来说,FPGA厂家现已成为IC新生产工艺的使用前驱,在干流器材中,65nm和40nm工艺现已被广泛使用。当从90nm工艺转到65nm工艺时,FPGA的中心电压从1.2V降到1.0V,动态功耗就下降了30%。一同,FPGA厂家在新一代的器材中都不断地进行着结构上的优化。此外,咱们结合多年FPGA使用规划的经历,能够在架构规划、算法优化、规划优化上不断调整功用和功耗的平衡,完成最优装备,然后进一步下降功耗。
3.高效处理根底网络事务:经过FPGA辨认并办理网络会话,能够极大地下降CPU辨认盯梢会话需求耗费的核算才能。在咱们的芯片中,完成了网络层和会话层协议剖析和盯梢算法,一同,经过对内存拜访算法和内存控制器的优化,咱们的单颗芯片中最高能够完成10G线速(小包)的会话树立和盯梢才能。
4.DPI(深度包检测技能)才能:业界现已有许多厂家尝试用FPGA芯片或许ASIC芯片完成一个完好的正则表达式查找,但由于各式各样的原因,其并没有在网络安全范畴被大规划使用起来。咱们用FPGA算法和TCAM(高速路由查找技能)器材互相配合,并结合流办理算法,能够完成超越4G的全流量字符串特征匹配,为DPI使用供给了一个低本钱、轻量级的流量捕获引擎。
5.以需求和本钱为中心灵敏进行计划挑选和搬迁:依据接口、功用要求的不同,只要灵敏挑选适宜的芯片才能让这个计划具有本钱上的竞赛优势。咱们经过对IP库的建造,逐渐形成了一套能够灵敏削减、扩大和移植的IPCore功用调集,而各种接口和功用规范的数据平面引擎总能够依据本钱的需求,在老练代码库的根底上快速组合而成,有用地统筹了需求、本钱、研制周期和产品老练度。
数据平面引擎助推使用
一个好的根据FPGA的数据平面引擎并不仅仅是一套IPCore的组合,更重要的是它有必要是一个能够让用户直接使用起来的软硬件实体。FPGA使用在网络安全范畴现已叫好许多年了,但一向没有像X86相同流行起来,一个首要的原因便是从技能到产品的进入“门槛”太高。如何将IPCore变成实体的硬件,如何将这样一个硬件渠道和厂商既有的老练软件渠道紧密结合?只要答复了这个问题,FPGA在网络安全范畴的使用才或许真实完成使用规划的打破。
恒扬科技提出的“数据平面引擎”便是希望能够为网络安全使用的开发厂商供给一套直接可用的、敞开的硬件渠道:一方面,用以FPGA技能为中心开发规范的网络接口和处理卡来完成这个数据平面,如能够和服务器、工控机结合的PCI-E插卡,能够和cPCI、ATCA结合的工业规范插卡,网络安全厂家能够十分方便地将它们和运转自己软件的X86结合到一同,以完全相同的一套X86软件完成从低端千兆到高端10G甚至中心40G的安全使用;另一方面,经过软件使用开发包的方法把FPGA完成的事务功用敞开给网络安全使用开发厂商,使用厂商完全能够在不对现有X86软件使用进行大修改的前提下方便地集成FPGA的功用,有用下降使用开发厂家的研制本钱和研制危险。
回忆并放眼网络安全使用范畴,FPGA以其可编程、高功用的特性,正在成为网络安全数据平面开发者的首要挑选之一。但是,只要将数据平面引擎实体化、规范化,使其成为像网卡相同简略、易集成、易使用的规范组件,FPGA和高功用硬件渠道才或许完成在这个范畴的规划化使用。跟着网络安全产业链中供给规范化中间件的厂商逐渐老练,高功用网络安全使用也一定会加快开展。