依托FPGA開發(fā)高性能網(wǎng)絡安全處理平臺

通過FPGA來構建一個低成本、高性能、開放架構的數(shù)據(jù)平面引擎可以為網(wǎng)絡安全設備提供性能提高的動力。

隨著互聯(lián)網(wǎng)技術的飛速發(fā)展，性能成為制約網(wǎng)絡處理的一大瓶頸問題。FPGA作為一種高速可編程器件，為網(wǎng)絡安全流量處理提供了一條低成本、高性能的解決之道。

網(wǎng)絡安全的核心任務之一是對IP流量的解析、識別和處理，也就是在IP網(wǎng)絡通信中經(jīng)常提到的“數(shù)據(jù)平面”。網(wǎng)絡通信數(shù)據(jù)平面具備如下特點：1.需要處理多種物理層接口，隨著安全的觸角向網(wǎng)絡核心延伸，網(wǎng)絡安全設備需要面對的網(wǎng)絡接口也在向高端延伸，從低端的100M/1000M以太網(wǎng)向高端的萬兆以太網(wǎng)甚至城域網(wǎng)級別的2.5GPOS（接口）、10GPOS乃至40GPOS接口延伸；2.數(shù)據(jù)平面處理流程在網(wǎng)絡層(IP)和會話層(TCP/UDP)相對標準化；3.數(shù)據(jù)平面需要具備分析處理應用層(L7)內容的能力，而應用層分析的算法，如內容匹配、特征識別等將需要巨大的計算能力。

應對五大技術挑戰(zhàn)

恒揚科技是一家專注于為網(wǎng)絡安全廠商提供高性能網(wǎng)絡通信數(shù)據(jù)平面基礎平臺的技術型公司。正是由于數(shù)據(jù)平面的上述特點，我們認識到，通過FPGA來構建一個低成本、高性能、開放架構的數(shù)據(jù)平面引擎可以為網(wǎng)絡安全設備提供性能提高的動力。要實現(xiàn)這樣一個引擎，需要應對如下技術挑戰(zhàn)：

1.需要具備多種接口上高速網(wǎng)絡報文的處理能力：安全解決方案正在和網(wǎng)絡通信融合，這種融合必然要求網(wǎng)絡安全應用不再拘泥于簡單的100M、1000M局域網(wǎng)接口，針對處理類似POS接口上的城域網(wǎng)、廣域網(wǎng)流量，處理正在成為應用主流的10G接口乃至40G接口，每一代新的FPGA都提供了更豐富的接口，性能也不斷提高?，F(xiàn)在FPGA可提供大于1Gbps的LVDS（低壓差分信號）接口，高速SERDES（并串行與串并行轉換器）接口則可支持高達10Gbps的速率，再加上FPGA的可編程特性，使得設計者可以快速地響應新的接口標準，推出自己的產(chǎn)品。而FPGA內部資源的不斷增加，則允許設計者在不斷增加的網(wǎng)絡帶寬面前，仍然可以開發(fā)出實現(xiàn)多種安全處理的設備。

2.單板密度、功耗要求：一直以來，F(xiàn)PGA都在快速發(fā)展當中，密度更高，接口類型更豐富，性能更高。因此，F(xiàn)PGA可支持更多的功能，單板的密度也得以增加。在傳統(tǒng)的認知中，F(xiàn)PGA常常被掛上高功耗的標簽。其實，現(xiàn)在情況正在發(fā)生變化。舉例來說，F(xiàn)PGA廠家已經(jīng)成為IC新生產(chǎn)工藝的應用先驅，在主流器件中，65nm和40nm工藝已經(jīng)被廣泛應用。當從90nm工藝轉到65nm工藝時，F(xiàn)PGA的核心電壓從1.2V降到1.0V，動態(tài)功耗就下降了30%。同時，F(xiàn)PGA廠家在新一代的器件中都不斷地進行著結構上的優(yōu)化。此外，我們結合多年FPGA應用設計的經(jīng)驗，可以在架構設計、算法優(yōu)化、設計優(yōu)化上不斷調整性能和功耗的平衡，實現(xiàn)最優(yōu)配置，從而進一步降低功耗。

3.高效處理基礎網(wǎng)絡業(yè)務：通過FPGA識別并管理網(wǎng)絡會話，可以極大地降低CPU識別跟蹤會話需要消耗的計算能力。在我們的芯片中，實現(xiàn)了網(wǎng)絡層和會話層協(xié)議分析和跟蹤算法，同時，通過對內存訪問算法和內存控制器的優(yōu)化，我們的單顆芯片中最高可以實現(xiàn)10G線速(小包)的會話建立和跟蹤能力。

4.DPI（深度包檢測技術）能力：業(yè)界已經(jīng)有很多廠家嘗試用FPGA芯片或者ASIC芯片實現(xiàn)一個完整的正則表達式搜索，但因為各種各樣的原因，其并沒有在網(wǎng)絡安全領域被大規(guī)模應用起來。我們用FPGA算法和TCAM（高速路由查找技術）器件互相配合，并結合流管理算法，可以實現(xiàn)超過4G的全流量字符串特征匹配，為DPI應用提供了一個低成本、輕量級的流量捕獲引擎。

5.以需求和成本為核心靈活進行方案選擇和遷移：根據(jù)接口、性能要求的不同，只有靈活選擇合適的芯片才能讓這個方案具備成本上的競爭優(yōu)勢。我們通過對IP庫的建設，逐步形成了一套可以靈活裁減、擴充和移植的IPCore功能集合，而各種接口和性能規(guī)格的數(shù)據(jù)平面引擎總可以根據(jù)成本的需求，在成熟代碼庫的基礎上快速組合而成，有效地兼顧了需求、成本、研發(fā)周期和產(chǎn)品成熟度。

數(shù)據(jù)平面引擎助推應用

一個好的基于FPGA的數(shù)據(jù)平面引擎并不僅僅是一套IPCore的組合，更重要的是它必須是一個可以讓用戶直接應用起來的軟硬件實體。FPGA應用在網(wǎng)絡安全領域已經(jīng)叫好很多年了，但一直沒有像X86一樣流行起來，一個主要的原因就是從技術到產(chǎn)品的進入“門檻”太高。如何將IPCore變成實體的硬件，如何將這樣一個硬件平臺和廠商既有的成熟軟件平臺緊密結合？只有回答了這個問題，F(xiàn)PGA在網(wǎng)絡安全領域的應用才可能真正實現(xiàn)應用規(guī)模的突破。

恒揚科技提出的“數(shù)據(jù)平面引擎”就是希望能夠為網(wǎng)絡安全應用的開發(fā)廠商提供一套直接可用的、開放的硬件平臺：一方面，用以FPGA技術為核心開發(fā)標準的網(wǎng)絡接口和處理卡來實現(xiàn)這個數(shù)據(jù)平面，如可以和服務器、工控機結合的PCI-E插卡，可以和cPCI、ATCA結合的工業(yè)標準插卡，網(wǎng)絡安全廠家可以非常方便地將它們和運行自己軟件的X86結合到一起，以完全相同的一套X86軟件實現(xiàn)從低端千兆到高端10G乃至核心40G的安全應用；另一方面，通過軟件應用開發(fā)包的方式把FPGA實現(xiàn)的業(yè)務功能開放給網(wǎng)絡安全應用開發(fā)廠商，應用廠商完全可以在不對現(xiàn)有X86軟件應用進行大修改的前提下方便地集成FPGA的功能，有效降低應用開發(fā)廠家的研發(fā)成本和研發(fā)風險。

回顧并放眼網(wǎng)絡安全應用領域，F(xiàn)PGA以其可編程、高性能的特性，正在成為網(wǎng)絡安全數(shù)據(jù)平面開發(fā)者的首要選擇之一。然而，只有將數(shù)據(jù)平面引擎實體化、標準化，使其成為像網(wǎng)卡一樣簡單、易集成、易應用的標準組件，F(xiàn)PGA和高性能硬件平臺才可能實現(xiàn)在這個領域的規(guī)?；瘧?。隨著網(wǎng)絡安全產(chǎn)業(yè)鏈中提供標準化中間件的廠商逐步成熟，高性能網(wǎng)絡安全應用也一定會加速發(fā)展。