依托FPGA開發(fā)高性能網(wǎng)絡(luò)安全處理平臺(tái)

通過FPGA來構(gòu)建一個(gè)低成本、高性能、開放架構(gòu)的數(shù)據(jù)平面引擎可以為網(wǎng)絡(luò)安全設(shè)備提供性能提高的動(dòng)力。

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，性能成為制約網(wǎng)絡(luò)處理的一大瓶頸問題。FPGA作為一種高速可編程器件，為網(wǎng)絡(luò)安全流量處理提供了一條低成本、高性能的解決之道。

網(wǎng)絡(luò)安全的核心任務(wù)之一是對(duì)IP流量的解析、識(shí)別和處理，也就是在IP網(wǎng)絡(luò)通信中經(jīng)常提到的“數(shù)據(jù)平面”。網(wǎng)絡(luò)通信數(shù)據(jù)平面具備如下特點(diǎn)：1.需要處理多種物理層接口，隨著安全的觸角向網(wǎng)絡(luò)核心延伸，網(wǎng)絡(luò)安全設(shè)備需要面對(duì)的網(wǎng)絡(luò)接口也在向高端延伸，從低端的100M/1000M以太網(wǎng)向高端的萬兆以太網(wǎng)甚至城域網(wǎng)級(jí)別的2.5GPOS（接口）、10GPOS乃至40GPOS接口延伸；2.數(shù)據(jù)平面處理流程在網(wǎng)絡(luò)層(IP)和會(huì)話層(TCP/UDP)相對(duì)標(biāo)準(zhǔn)化；3.數(shù)據(jù)平面需要具備分析處理應(yīng)用層(L7)內(nèi)容的能力，而應(yīng)用層分析的算法，如內(nèi)容匹配、特征識(shí)別等將需要巨大的計(jì)算能力。

應(yīng)對(duì)五大技術(shù)挑戰(zhàn)

恒揚(yáng)科技是一家專注于為網(wǎng)絡(luò)安全廠商提供高性能網(wǎng)絡(luò)通信數(shù)據(jù)平面基礎(chǔ)平臺(tái)的技術(shù)型公司。正是由于數(shù)據(jù)平面的上述特點(diǎn)，我們認(rèn)識(shí)到，通過FPGA來構(gòu)建一個(gè)低成本、高性能、開放架構(gòu)的數(shù)據(jù)平面引擎可以為網(wǎng)絡(luò)安全設(shè)備提供性能提高的動(dòng)力。要實(shí)現(xiàn)這樣一個(gè)引擎，需要應(yīng)對(duì)如下技術(shù)挑戰(zhàn)：

1.需要具備多種接口上高速網(wǎng)絡(luò)報(bào)文的處理能力：安全解決方案正在和網(wǎng)絡(luò)通信融合，這種融合必然要求網(wǎng)絡(luò)安全應(yīng)用不再拘泥于簡(jiǎn)單的100M、1000M局域網(wǎng)接口，針對(duì)處理類似POS接口上的城域網(wǎng)、廣域網(wǎng)流量，處理正在成為應(yīng)用主流的10G接口乃至40G接口，每一代新的FPGA都提供了更豐富的接口，性能也不斷提高?，F(xiàn)在FPGA可提供大于1Gbps的LVDS（低壓差分信號(hào)）接口，高速SERDES（并串行與串并行轉(zhuǎn)換器）接口則可支持高達(dá)10Gbps的速率，再加上FPGA的可編程特性，使得設(shè)計(jì)者可以快速地響應(yīng)新的接口標(biāo)準(zhǔn)，推出自己的產(chǎn)品。而FPGA內(nèi)部資源的不斷增加，則允許設(shè)計(jì)者在不斷增加的網(wǎng)絡(luò)帶寬面前，仍然可以開發(fā)出實(shí)現(xiàn)多種安全處理的設(shè)備。

2.單板密度、功耗要求：一直以來，F(xiàn)PGA都在快速發(fā)展當(dāng)中，密度更高，接口類型更豐富，性能更高。因此，F(xiàn)PGA可支持更多的功能，單板的密度也得以增加。在傳統(tǒng)的認(rèn)知中，F(xiàn)PGA常常被掛上高功耗的標(biāo)簽。其實(shí)，現(xiàn)在情況正在發(fā)生變化。舉例來說，F(xiàn)PGA廠家已經(jīng)成為IC新生產(chǎn)工藝的應(yīng)用先驅(qū)，在主流器件中，65nm和40nm工藝已經(jīng)被廣泛應(yīng)用。當(dāng)從90nm工藝轉(zhuǎn)到65nm工藝時(shí)，F(xiàn)PGA的核心電壓從1.2V降到1.0V，動(dòng)態(tài)功耗就下降了30%。同時(shí)，F(xiàn)PGA廠家在新一代的器件中都不斷地進(jìn)行著結(jié)構(gòu)上的優(yōu)化。此外，我們結(jié)合多年FPGA應(yīng)用設(shè)計(jì)的經(jīng)驗(yàn)，可以在架構(gòu)設(shè)計(jì)、算法優(yōu)化、設(shè)計(jì)優(yōu)化上不斷調(diào)整性能和功耗的平衡，實(shí)現(xiàn)最優(yōu)配置，從而進(jìn)一步降低功耗。

3.高效處理基礎(chǔ)網(wǎng)絡(luò)業(yè)務(wù)：通過FPGA識(shí)別并管理網(wǎng)絡(luò)會(huì)話，可以極大地降低CPU識(shí)別跟蹤會(huì)話需要消耗的計(jì)算能力。在我們的芯片中，實(shí)現(xiàn)了網(wǎng)絡(luò)層和會(huì)話層協(xié)議分析和跟蹤算法，同時(shí)，通過對(duì)內(nèi)存訪問算法和內(nèi)存控制器的優(yōu)化，我們的單顆芯片中最高可以實(shí)現(xiàn)10G線速(小包)的會(huì)話建立和跟蹤能力。

4.DPI（深度包檢測(cè)技術(shù)）能力：業(yè)界已經(jīng)有很多廠家嘗試用FPGA芯片或者ASIC芯片實(shí)現(xiàn)一個(gè)完整的正則表達(dá)式搜索，但因?yàn)楦鞣N各樣的原因，其并沒有在網(wǎng)絡(luò)安全領(lǐng)域被大規(guī)模應(yīng)用起來。我們用FPGA算法和TCAM（高速路由查找技術(shù)）器件互相配合，并結(jié)合流管理算法，可以實(shí)現(xiàn)超過4G的全流量字符串特征匹配，為DPI應(yīng)用提供了一個(gè)低成本、輕量級(jí)的流量捕獲引擎。

5.以需求和成本為核心靈活進(jìn)行方案選擇和遷移：根據(jù)接口、性能要求的不同，只有靈活選擇合適的芯片才能讓這個(gè)方案具備成本上的競(jìng)爭(zhēng)優(yōu)勢(shì)。我們通過對(duì)IP庫的建設(shè)，逐步形成了一套可以靈活裁減、擴(kuò)充和移植的IPCore功能集合，而各種接口和性能規(guī)格的數(shù)據(jù)平面引擎總可以根據(jù)成本的需求，在成熟代碼庫的基礎(chǔ)上快速組合而成，有效地兼顧了需求、成本、研發(fā)周期和產(chǎn)品成熟度。

數(shù)據(jù)平面引擎助推應(yīng)用

一個(gè)好的基于FPGA的數(shù)據(jù)平面引擎并不僅僅是一套IPCore的組合，更重要的是它必須是一個(gè)可以讓用戶直接應(yīng)用起來的軟硬件實(shí)體。FPGA應(yīng)用在網(wǎng)絡(luò)安全領(lǐng)域已經(jīng)叫好很多年了，但一直沒有像X86一樣流行起來，一個(gè)主要的原因就是從技術(shù)到產(chǎn)品的進(jìn)入“門檻”太高。如何將IPCore變成實(shí)體的硬件，如何將這樣一個(gè)硬件平臺(tái)和廠商既有的成熟軟件平臺(tái)緊密結(jié)合？只有回答了這個(gè)問題，F(xiàn)PGA在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用才可能真正實(shí)現(xiàn)應(yīng)用規(guī)模的突破。

恒揚(yáng)科技提出的“數(shù)據(jù)平面引擎”就是希望能夠?yàn)榫W(wǎng)絡(luò)安全應(yīng)用的開發(fā)廠商提供一套直接可用的、開放的硬件平臺(tái)：一方面，用以FPGA技術(shù)為核心開發(fā)標(biāo)準(zhǔn)的網(wǎng)絡(luò)接口和處理卡來實(shí)現(xiàn)這個(gè)數(shù)據(jù)平面，如可以和服務(wù)器、工控機(jī)結(jié)合的PCI-E插卡，可以和cPCI、ATCA結(jié)合的工業(yè)標(biāo)準(zhǔn)插卡，網(wǎng)絡(luò)安全廠家可以非常方便地將它們和運(yùn)行自己軟件的X86結(jié)合到一起，以完全相同的一套X86軟件實(shí)現(xiàn)從低端千兆到高端10G乃至核心40G的安全應(yīng)用；另一方面，通過軟件應(yīng)用開發(fā)包的方式把FPGA實(shí)現(xiàn)的業(yè)務(wù)功能開放給網(wǎng)絡(luò)安全應(yīng)用開發(fā)廠商，應(yīng)用廠商完全可以在不對(duì)現(xiàn)有X86軟件應(yīng)用進(jìn)行大修改的前提下方便地集成FPGA的功能，有效降低應(yīng)用開發(fā)廠家的研發(fā)成本和研發(fā)風(fēng)險(xiǎn)。

回顧并放眼網(wǎng)絡(luò)安全應(yīng)用領(lǐng)域，F(xiàn)PGA以其可編程、高性能的特性，正在成為網(wǎng)絡(luò)安全數(shù)據(jù)平面開發(fā)者的首要選擇之一。然而，只有將數(shù)據(jù)平面引擎實(shí)體化、標(biāo)準(zhǔn)化，使其成為像網(wǎng)卡一樣簡(jiǎn)單、易集成、易應(yīng)用的標(biāo)準(zhǔn)組件，F(xiàn)PGA和高性能硬件平臺(tái)才可能實(shí)現(xiàn)在這個(gè)領(lǐng)域的規(guī)模化應(yīng)用。隨著網(wǎng)絡(luò)安全產(chǎn)業(yè)鏈中提供標(biāo)準(zhǔn)化中間件的廠商逐步成熟，高性能網(wǎng)絡(luò)安全應(yīng)用也一定會(huì)加速發(fā)展。