在阅览本文之前,咱们请读者紧记工业经济学上的三个要素:技能、本钱与商场需求。由于在FPGA安全产品的运用进程中,一直离不开这三个支点。
其他,咱们也需求清晰以下问题:
榜首,FPGA(Field-Programmable Gate Array,现场可编程门阵列)在现代数字电路规划中发挥着越来越重要的效果。从规划简略的接口电路到规划杂乱的状态机,乃至规划“System On Chip”(片上系统),FPGA所扮演的人物现已不容忽视。
第二,FPGA正越来越多地成为现代电子系统的中心部分。由于FPGA硬件可重新装备且可用性、精密度不断进步,能够简单合作系统标准随时改动的要求,为用户带来满意的灵敏性。
第三,FPGA是一种高速可编程电子器材,并非“职业杀手”,其自身的物理特性决议了有些作业简单发挥其规划优势,而有些则拔苗助长。
在清晰了上述三个特征之后,接下来记者将会与读者一同共享FPGA在网络安全商场中的故事。一起,咱们也十分感谢为本次专题供给芯片技能支撑的Xilinx公司,以及咱们的合作伙伴:Juniper、神州数码网络、深服气、SonicWall、TIppingPoint、WatchGuard。
FPGA的灵敏魅力
在网络安全产品规划的时分,能够选用多种半导体解决计划,相对来讲,现在首要选用的系统架构包含了x86、NP、ASIC、FPGA四种。其间,CPU与NP的联络更严密,而ASIC与FPGA的联系则更相似。
不过,若从器材视点剖析,传统上大多广义地归结为ASIC和可编程器材两类。在安全产品中,两品种其他首要原理与运用并无多大差异。传统上认为,ASIC能够为固定功用供给较高功用,但灵敏性相对较差。
而可编程解决计划可供给较高的系统速率,包含杂乱功用(特别和反常处理)、灵敏性。现在在安全产品规划中运用的可编程解决计划首要有两类:NP和FPGA。NP可供给以处理器为中心(即以软件为中心)的可编程特性,而FPGA则供给以硬件为中心的可编程特性。
Xilinx公司供给的陈述指出,NP开端被用于规划网络设备中的现成器材,这些器材在各方面供给灵敏性和扩展性的一起,还供给了充沛的功用。大多数NP均带有多种经过优化的嵌入式RISC CPU,以及适用于通用分组处理功用的类ASIC硬件电路。每个RISC引擎经过优化以履行特定使命。
相关于NP,FPGA是对数据进行高速并行处理的器材,具有更强的灵敏性和扩展性。TIppingPoint公司技能司理李臻表明,在其公司IPS产品中选用的 Virtex-II Pro FPGA芯片,现已包含了高功用的可编程架构、嵌入式PowerPC处理器和3.125Gbps收发器。经过增强网络特性,FPGA可供给高功用的数据和安全操控处理功用。现在,网络处理内核和分组处理参阅规划均适合于选用FPGA渠道规划。此外,FPGA还支撑一切的通用并行(单端和差动)和串行系统接口标准,以使其轻松地与任何协议进行接口并与线路卡上的任何器材相连。
Xilinx公司的FPGA解决计划专家Anil认为,在网络安全产品的开发中,尽管二层和三层处理在ASIC中很简单完成,但为了在相似的传输流中区别不同的优先级,还需求在四层和五层中进行更深层的分组处理。而FPGA只是需求一块芯片就能够更深化地处理这些分组,不只降低了软件的杂乱度,并且降低了功耗(比较于NP或ASIC)。这是由于FPGA中的硬件并行处理完全能够同RISC的处理办法相媲美。
其他,在网络安全产品规划中,晋级仍然是要害问题之一,而这包含了产品系统结构的软硬两个方面。“事实上,相关于NP开发中的软件难以移植问题,无疑添加了规划上的危险。” Anil表明,“FPGA具有标准化的依据渠道和东西集办法的东西,能够完成软件在各代FPGA中的无缝移植。而在硬件方面,NP只在处理器中供给可编程特性,其相似ASIC的定制硬件并不能直接进行编程,而FPGA则要轻松许多。”
IPS上的奇葩
依据FPGA的特性,在IPS上选用的FPGA技能最具有代表性。TIppingPoint的李臻表明,在IPS中FPGA拿手把一些安全特征转化成逻辑,在完成过程中能够一起匹配上千条规矩,其并行速度超越一般CPU,并且相关于并行ASIC,其灵敏性占有较大优势。究竟,各种安全进犯的改变很快,或许今日说的过滤器一个月后就要改写了。
一起,关于IPS这种选用In Line形式的设备,有必要保证最小的误报与漏报率,而依据FPGA完成的移动偏移量检测,则是有必要的手法。由于对进犯来说,一般都是混合在正常的网络流量中。换句话说,其在一个IP包里边的方位(偏移量)是不固定的。
作为近两年在安全范畴日新月异的本乡企业代表,神州数码网络的安全技能司理王景辉认为,无论是IDS仍是IPS,都需求在流量中不断寻觅可疑特征,以便引起触发机制。李臻一起表明,单个可疑特征不必定便是进犯行为。因而IPS有必要抓到许多的可疑特征,然后交给CPU进行验证,以便判别是否为进犯。但在这个过程中,最要害的一点便是,这个抓取可疑特征的速度必定要快,不然就会导致漏报。因而假如仅靠CPU做一切的作业,其速度无法保证。而运用FPGA的高速度协助进行底层挑选,然后交由CPU承认,就能够最大极限地保证设备架构的优化。
“在整个特征抓取过程中,偏移量可所以不定的,比方内容字节的不定长度。而NP一般只能进行固定偏移量的抓取,比方从IP包头完毕开端56个字节的当地有特征,然后去查找。但假如需求对整个PayLoad里边1500个字节都扫描一遍,NP的开支太大。FPGA运用哈希算法来操控,从PayLoad中取片断,然后做算法,再到表里边去查。”李臻说。
其他,他觉得在IPS中选用FPGA,能够最大程度维护用户出资。这个出资维护分为两个方面:榜首,FPGA的功用优势具有杰出的抗小包进犯才干。由于关于x86架构来讲,依据中止的CPU处理方法在对立小包的时分功用损耗太大。其实这个也很好了解,一般安全设备维护的多为服务器,而服务器的CPU往往要比安全设备顶用的好,假如服务器都挡不住小包,安全设备又怎么防备?为此,用户往往需求购买独自的防护DDoS的设备,添加了安全本钱。而相关于CPU,FPGA在这方面具有很强的功用优势。
第二,FPGA的扩展性较好。在IPS中运用的FPGA往往有必定的预留性,比方一个常见的800万门的FPGA芯片,一般实际运用仅为200万门左右。预留的部分便是为了安全设备日后晋级所用(乃至能够进行不必重启的FPGA晋级)。尽管运用CPU的安全产品也能够做到低运用率,但其压力的接受与晋级会有应战。比方在4G左右吞吐率的状况下,翻开500条安全规矩,装备两颗CPU。假如用户线路的流量逐年添加,而微软每月发布的缝隙也超越5个,其他的系统缝隙也不断更新,而新的进犯也会呈现,在这个状况下,一般不到一年就会添加到800条规矩。而CPU运用率的预留很难在安全算法不断改变的状况下界定,一起一旦CPU需求添加或许晋级,其往往要带动软件规划的晋级,以便更好地完成负载均衡或许使命分管,其杂乱度也要超越FPGA。
到期的契约?
正如本文最初所讲的,FPGA并非职业杀手,其高速、灵敏的特征在IPS上具有杀手级潜力,但在其他的安全范畴则未必如此。关于现在开展如火如荼的UTM 以及高端防火墙商场,系统架构的争辩仍是很剧烈。
WatchGuard亚太区技能总监叶建辉认为,ASIC的开展速度必定不及通用CPU,用来开展新一代ASIC的时刻,通用CPU或许现现已历三至四代。相应的,FPGA的问题也是如此。所以公司决议采纳通用CPU作为开展UTM安全渠道的架构。从现在的状况看,通用CPU比照专用器材在处理一般安全功用方面没有很大的功用距离,近期更有双核这类高性价比技能的呈现,进一步提升了CPU的功用。
尽管FPGA与ASIC比较相对灵敏,能够比较灵敏地处理IDS/IPS及防病毒所需更新的签名功用(Signature),但对现在商场对UTM的需求希望,无论是ASIC或FPGA都显得无法灵敏处理。
他指出,在安全产品只供给防火墙及VPN功用的年代,ASIC的规划现已满意。尽管ASIC不行灵敏,但它可供给快速处理包过滤这类特定的功用。然后安全产品又参加了IDS/IPS及防病毒等需求快速形式匹配及更新签名的功用,此刻FPGA比较灵敏的架构就可派上用场。但现在UTM安全渠道除了以上的功用,还有防垃圾邮件、防特务软件及URL/内容过滤等只需通用CPU架构才干完成的功用。这些UTM功用不同于防火墙/VPN/IDS/IPS,不是单一特定功用或形式匹配,所以用FPGA不能完成大幅进步功用的意图,而只需在通用CPU架构上一起运用软件才可完成更高的全体功用。
运用CPU架构,WatchGuard的智能分层安全引擎(ILS)在安全操作系统和软件上整合了多种UTM功用。由于有许多进犯并不针对某一项安全功用,智能分层安全引擎能在不同安全层面上相互交流,所以更能有效地保卫受维护的网络。
深服气的技能司理叶宜斌认为,x86架构是完成UTM最好的渠道。由于大多数的网关型产品都选用这种形式。究竟UTM的开展趋势是一个设备中会集越来越多的功用,这个是要求需求很高的扩展性,而内容过滤也是现在CPU的强项。但他不扫除往后会在中高端UTM产品中参加FPGA芯片。
SonicWall北方区技能司理蔡永生认为,由于UTM的环境影响,很或许多内核的安全处理器会愈加有优势。由于为安全运用而规划的多内核安全处理器比FPGA有更大的灵敏性。只需经过软件晋级,安全设备能够不断地更新以防护最新的安全要挟,并且功用不比FPGA差。在此基础上,运用一套高功用的DPI(深度包检测)引擎,完成病毒、侵略和特务软件的扫描。
其他,蔡永生一直认为,关于许多布置的设备而言,让客户晋级FPGA是有难度的,并且存在烧写约束。不过在这一点上,TIppingPoint指出其数字疫苗方法(相似Signature)十分便于用户下载、晋级,且每周一次的疫苗发布不会打破FPGA的寿数。
神州数码网络的王景辉认为,在不同的需求和不同的环境下,安全厂商会依据自己的产品定位来挑选相应的技能手法。不过关于不同的技能自身,他觉得或许不存在好与坏的差异。
据悉,在神州数码网络最新推出的UTM产品中,选用的也是x86架构,其间心在于保证功用与多功用的条件下,完成最丰厚的运用。他认为关于安全产品,特别是具有内容操控的产品,有必要供给灵敏与运用便当的才干。一起还要为用户供给优异的性价比。在现在状况下,FPGA的高本钱与低功用集成特征无法满意UTM的需求。
一起,他也指出,现在国内商场上的UTM产品首要会集在中低端的100M左右产品,在这个吞吐率下,运用x86架构不会带来瓶颈,相反还能够供给愈加灵敏的布置计划。而假现在后跟着双核技能以及CPU技能的进一步开展,加上对吞吐率要求的进步,不扫除会在相关产品中参加FPGA的或许性,但这仍是要看商场的开展。
其他,神州数码网络的产品司理杨雁群表明,运用x86架构不只能够取得高功用集成,并且能够运用软件保证与周围设备的联动合作。现在神州数码网络计划将UTM产品布置到自己的全网安全解决计划傍边,以便取得最佳的安全性与易用性。
作为在许多安全范畴都有进入的Juniper,其产品线涵盖了防火墙、VPN、IPS/IDS、UTM等多个范畴,而在不同的产品中,CPU、NP、ASIC、FPGA也都有运用。
Juniper技能司理王卫关于不同技能在安全产品中的运用看得十分清楚,他觉得各种技能、系统架构就像一个个名词,自身没有好坏之分,只需在不同环境下、不同产品中,选用最适合技能的挑选。
比方高端防火墙的吞吐率能够抵达30G,而在这个形式下,没有用户会去考虑其防病毒的特色,因而用ASIC来完成无疑是适宜的。假如用x86架构做,或许满满一机箱的CPU也能做到,可是本钱、功耗都是大问题。相同的道理,假如只是是一款百兆防火墙,朴实的CPU能够取得最佳的性价比。
但他觉得现在争辩的焦点在于百兆防火墙和千兆防火墙的进口,多种技能会有穿插。因而呈现CPU+NP+ASIC的架构就不足认为怪。而FPGA也是相同的道理,关于千兆以上,万兆以下的产品,FPGA有或许完成,但条件是本钱。其实许多高端产品在规划模仿阶段用FPGA,可是固定下来后会烧成ASIC。不过抵达万兆乃至更高,则很难说了。
总而言之,他觉得在安全产品中,改变或许性较高的产品用FPGA比较适宜,而UTM则根本与FPGA无缘,由于相对来说,这么多年来查病毒便是CPU做的比较好。
最终,王卫提出了一个十分有意思的观念:可编程器材的边界会越来越含糊,ASIC现已能够编程,NP和FPGA更是加强了这方面的才干,未来可改变的才干各种系统都有,将来任何一种技能手法都能够保证灵敏的规划。因而未来在系统结构挑选中,仍然会是:在什么环境下,什么吞吐才干下,挑选最适宜的技能。