多核Plus-G2安全架構(gòu)白皮書(shū)-V1.0

9/9Hillstone山石網(wǎng)科多核PlusG2安全架構(gòu)白皮書(shū)概述隨著網(wǎng)絡(luò)快速發(fā)展，更多新的應(yīng)用不斷出現(xiàn)，由此帶來(lái)新的威脅和管理上的挑戰(zhàn)，另外隨著數(shù)據(jù)集中和應(yīng)用的深入，網(wǎng)絡(luò)流量也在快速增長(zhǎng)，網(wǎng)絡(luò)變得越來(lái)越復(fù)雜。我們不得不面臨這樣的問(wèn)題：如何有效確保網(wǎng)絡(luò)不受侵害？如何保護(hù)關(guān)鍵應(yīng)用不受影響？如何應(yīng)對(duì)網(wǎng)絡(luò)流量的快速增長(zhǎng)？如何保護(hù)當(dāng)前投資？當(dāng)前的設(shè)備不能解決以上所述問(wèn)題，因?yàn)樗鼈儾荒茉谶M(jìn)行千兆數(shù)據(jù)處理的同時(shí)執(zhí)行深度應(yīng)用檢測(cè)。Hillstone山石網(wǎng)科采用創(chuàng)新的多核PlusG2安全架構(gòu)可有效解決上述問(wèn)題。安全產(chǎn)品的需求隨著網(wǎng)絡(luò)的快速發(fā)展，應(yīng)用和威脅出現(xiàn)了一些新的改變，網(wǎng)絡(luò)的使用方式也和以前有所不同，這些變化包括：網(wǎng)絡(luò)應(yīng)用在改變：一方面，網(wǎng)絡(luò)應(yīng)用的數(shù)量在不斷豐富，包括IM（及時(shí)通信），P2P下載，視頻瀏覽，網(wǎng)絡(luò)游戲和SNS(社交網(wǎng)絡(luò))等。另一方面，網(wǎng)絡(luò)應(yīng)用的方式在改變，為了躲避協(xié)議封堵，將應(yīng)用建立在HTTP等基礎(chǔ)協(xié)議基之上，或者端口號(hào)采用隨機(jī)產(chǎn)生，或者采用諸如SSL的加密方式來(lái)隱藏內(nèi)容。面對(duì)這些新的應(yīng)用方式，讓傳統(tǒng)基于端口的應(yīng)用和行為無(wú)法識(shí)別，網(wǎng)絡(luò)變得越來(lái)越無(wú)法管理。網(wǎng)絡(luò)可視化是新一代安全網(wǎng)關(guān)必須解決的問(wèn)題。流量在加劇增長(zhǎng)：隨著應(yīng)用的深入發(fā)展，數(shù)據(jù)集中的趨勢(shì)也越來(lái)越明顯。一個(gè)企業(yè)網(wǎng)內(nèi)部需要大量的服務(wù)器，這些服務(wù)器會(huì)接受來(lái)自各個(gè)分支和總部的應(yīng)用請(qǐng)求。一個(gè)數(shù)據(jù)中心也可能擁有幾千臺(tái)服務(wù)器。在這種變化中，網(wǎng)絡(luò)正在從千兆走向萬(wàn)兆甚至10萬(wàn)兆，網(wǎng)絡(luò)流量越來(lái)越大。另一方面是伴隨著流量和應(yīng)用的增加，網(wǎng)絡(luò)對(duì)安全產(chǎn)品也提出了更高的要求，比如高性能、高并發(fā)、高容量的需求。安全設(shè)備的功能需要在增加：統(tǒng)一威脅安全管理的解決方案，已經(jīng)逐漸在取代以多個(gè)單點(diǎn)防護(hù)串行防護(hù)的安全網(wǎng)絡(luò)。支持多個(gè)功能模塊統(tǒng)一處理，已經(jīng)成為了當(dāng)下安全網(wǎng)關(guān)的一個(gè)發(fā)展趨勢(shì)。同時(shí)，對(duì)網(wǎng)絡(luò)的管理方式也在發(fā)生變化，從傳統(tǒng)UTM的外網(wǎng)攻擊防護(hù)，到內(nèi)網(wǎng)網(wǎng)絡(luò)管理，如帶寬管理、上網(wǎng)行為管理等功能需求已經(jīng)成為新一代安全網(wǎng)關(guān)的必要組成部分?？梢暬?，可管理，可審計(jì)等所有的功能模塊將在同一個(gè)平臺(tái)上運(yùn)行，如何來(lái)保證這么多的功能模塊并發(fā)運(yùn)行，是新一代安全關(guān)必須解決的問(wèn)題。安全產(chǎn)品投資回報(bào)不能忽視：一方面，具有可用性的統(tǒng)一威脅管理的解決方案在某個(gè)層面上已經(jīng)起到了保護(hù)用戶投資的需求。另一方面，面對(duì)日益增長(zhǎng)的應(yīng)用和流量以及網(wǎng)絡(luò)安全的需求，如何讓用戶當(dāng)前購(gòu)買的安全產(chǎn)品能夠有效的滿足未來(lái)一定時(shí)間段新的需求，充分保護(hù)用戶對(duì)網(wǎng)絡(luò)安全的建設(shè)的投資回報(bào)，而不是一旦用戶網(wǎng)絡(luò)升級(jí)而被淘汰，就需要重新購(gòu)買新的安全產(chǎn)品綜上所述，網(wǎng)絡(luò)的發(fā)展對(duì)網(wǎng)絡(luò)安全產(chǎn)品提出了新的需求：面對(duì)當(dāng)今的日益增長(zhǎng)的流量需求和應(yīng)用需求，以及網(wǎng)絡(luò)管理的需求，新一代安全架構(gòu)需要提供良好的性能和容量并發(fā)來(lái)支撐。提供細(xì)粒度的網(wǎng)絡(luò)可視化管理。如果沒(méi)有細(xì)粒度的網(wǎng)絡(luò)可視化，那么網(wǎng)絡(luò)安全將無(wú)安全可言。這種細(xì)粒度的識(shí)別包括：用戶識(shí)別，應(yīng)用識(shí)別和行為識(shí)別。用戶投資需要兼顧，可擴(kuò)展的架構(gòu)設(shè)計(jì)是新一代安全網(wǎng)關(guān)架構(gòu)的必要組成部分。安全網(wǎng)關(guān)架構(gòu)的發(fā)展趨勢(shì)第一代：基于X86架構(gòu)X86架構(gòu)又被稱為通用CPU架構(gòu)，具有開(kāi)發(fā)、設(shè)計(jì)門檻低，技術(shù)成熟等優(yōu)點(diǎn)，曾經(jīng)以其高靈活性和擴(kuò)展性在百兆防火墻上獲得過(guò)巨大成功。但是缺陷也是顯而易見(jiàn)的：在X86平臺(tái)，所有通過(guò)防火墻的數(shù)據(jù)包都要通過(guò)CPU去處理，由于x86架構(gòu)的硬件并非為了網(wǎng)絡(luò)數(shù)據(jù)傳輸而設(shè)計(jì)，它對(duì)數(shù)據(jù)包的轉(zhuǎn)發(fā)性能相對(duì)較弱，內(nèi)部交換總線則成了處理能力的瓶頸，無(wú)法適應(yīng)日益增長(zhǎng)的網(wǎng)絡(luò)性能要求。圖SEQ圖\*ARABIC1X86硬件架構(gòu)第二代：基于NP/ASIC架構(gòu)定制的NP/ASIC架構(gòu)同X86架構(gòu)的方案相比，安全規(guī)則匹配速度和數(shù)據(jù)流查詢速度提升了幾十倍。NP/ASIC能夠做到的是高速執(zhí)行簡(jiǎn)單的預(yù)定義操作。許多網(wǎng)絡(luò)層的安全功能可以在ASIC內(nèi)部得到實(shí)現(xiàn)。但是在集成了應(yīng)用層安全功能后，CPU就沒(méi)有足夠的處理能力了，一旦開(kāi)啟應(yīng)用安全功能，性能通常都會(huì)大大下降。與通用處理器相比，ASIC的缺點(diǎn)在于它的不可改變性和低擴(kuò)展性，尤其缺乏用戶自定義特性。圖SEQ圖\*ARABIC2ASIC/NP硬件架構(gòu)新一代安全網(wǎng)關(guān)架構(gòu)針對(duì)第一代X86和第二代NP/ASIC安全產(chǎn)品架構(gòu)上的不足，Hillstone山石網(wǎng)科推出了多核Plus架構(gòu)，該架構(gòu)是專門真對(duì)當(dāng)今的網(wǎng)絡(luò)安全需求而定制的。多核Plus架構(gòu)使用多核CPU加速應(yīng)用層安全，使用ASIC來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)級(jí)安全，再使用高速交換總線加速各個(gè)模塊之間的通信。目前,Hillstone山石網(wǎng)科在多核Plus架構(gòu)基礎(chǔ)上又推出了多核PlusG2架構(gòu)。該架構(gòu)立足于當(dāng)前網(wǎng)絡(luò)的需求，并結(jié)合網(wǎng)絡(luò)發(fā)展趨勢(shì)，兼顧未來(lái)網(wǎng)絡(luò)發(fā)展變化的需求，進(jìn)一步增強(qiáng)了性能可擴(kuò)展，實(shí)現(xiàn)了存儲(chǔ)和接口的擴(kuò)展，另外軟件采用了全并行流檢測(cè)引擎進(jìn)一步提升了網(wǎng)絡(luò)可視化，優(yōu)化了性能和增強(qiáng)了可靠性，在開(kāi)啟多個(gè)功能后,仍然可以實(shí)現(xiàn)設(shè)備的高吞吐量和低延時(shí)。其主要特點(diǎn)如下：多核處理器+StoneASIC+高速交換總線提供高處理能力，滿足網(wǎng)絡(luò)對(duì)可視化，可管理，可審計(jì)的需求?？蓴U(kuò)展的模塊化設(shè)計(jì)保護(hù)用戶投資全并行流檢測(cè)引擎實(shí)現(xiàn)高性能，高容量的處理交叉檢測(cè)實(shí)現(xiàn)網(wǎng)絡(luò)可視化3Hillstone山石網(wǎng)科多核PlusG2安全架構(gòu)解決方案硬件平臺(tái)圖SEQ圖\*ARABIC3多核PlusG2架構(gòu)多核CPU：Hillstone山石網(wǎng)科利用可擴(kuò)展的64位高性能多核CPU的行處理能力來(lái)為應(yīng)用層的安全功能提供保障。這其中每個(gè)多核CPU可擴(kuò)展至多達(dá)16個(gè)核，多核CPU也可擴(kuò)展成多個(gè)CPU。Hillstone山石網(wǎng)科平臺(tái)還集成了IPSec、SSL、加解密運(yùn)算、壓縮解壓縮以及DFA功能的硬件加速芯片。通過(guò)采用硬件加速芯片，實(shí)現(xiàn)了數(shù)據(jù)的快速加解密，進(jìn)一步提升了VPN和應(yīng)用層安全的處理能力?？蓴U(kuò)展模塊化：Hillstone山石網(wǎng)科采用模塊化設(shè)計(jì)，可以實(shí)現(xiàn)性能可擴(kuò)展、存儲(chǔ)可擴(kuò)展和接口可擴(kuò)展。模塊化設(shè)計(jì)可充分保護(hù)投資。通過(guò)增加應(yīng)用處理擴(kuò)展模塊，可以提高本機(jī)應(yīng)用處理能力，讓?xiě)?yīng)用處理不再成為性能瓶頸；增加存儲(chǔ)擴(kuò)展模塊可以實(shí)時(shí)記錄日志；增加接口擴(kuò)展模塊提高設(shè)備的連接性，使設(shè)備不會(huì)因?yàn)榫W(wǎng)絡(luò)帶寬或應(yīng)用系統(tǒng)的升級(jí)而過(guò)時(shí)。StoneASIC：Hillstone山石網(wǎng)科利用StoneASIC解決方案主要用于網(wǎng)絡(luò)和安全加速，在硬件平臺(tái)上結(jié)合了最新的網(wǎng)絡(luò)安全處理技術(shù)和攻擊防護(hù)功能。當(dāng)設(shè)備需要快速轉(zhuǎn)發(fā)數(shù)據(jù)包并防護(hù)來(lái)自僵尸網(wǎng)絡(luò)(botnet)的各種類型的攻擊時(shí)，StoneASIC可以提供卓越的性能保證。這樣就能夠釋放處理器性能來(lái)處理其它更需要CPU計(jì)算的功能。高速交換總線：Hillstone山石網(wǎng)科通過(guò)采用高達(dá)960G的交換總線將多核CPU,網(wǎng)絡(luò)接口和StoneASIC連接起來(lái)。高容量的交換總線保證所有模塊之間快速的無(wú)阻礙通信。圖SEQ圖\*ARABIC圖SEQ圖\*ARABIC4全并行流檢測(cè)引擎眾所周知，操作系統(tǒng)是整個(gè)安全設(shè)備的核心和基礎(chǔ)，任何硬件都是由操作系統(tǒng)進(jìn)行調(diào)度使用。Hillstone山石網(wǎng)科在多核PlusG2硬件架構(gòu)的基礎(chǔ)上，采用了自主研發(fā)的StoneOS64位實(shí)時(shí)并行操作系統(tǒng)。該操作系統(tǒng)采用全并行流檢測(cè)引擎,通過(guò)此技術(shù)可保障網(wǎng)絡(luò)可視化，同時(shí)可進(jìn)一步提升設(shè)備性能和可靠性。相關(guān)技術(shù)如下：交叉檢測(cè)作為狀態(tài)檢測(cè)防火墻的進(jìn)化，隨著越來(lái)越多的針對(duì)應(yīng)用協(xié)議的攻擊的出現(xiàn)，深度檢測(cè)(DeepInspection)應(yīng)運(yùn)而生。深度檢測(cè)實(shí)際上是防火墻里對(duì)IDS、IPS技術(shù)的一個(gè)集成，通過(guò)對(duì)數(shù)據(jù)流進(jìn)行協(xié)議的解析，捕獲違反協(xié)議的交互和一些攻擊的行為。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，越來(lái)越多的應(yīng)用采取加密、隧道、偽裝等繞行技術(shù)。新一代安全網(wǎng)關(guān)基于用戶的管理也對(duì)安全檢測(cè)技術(shù)提出了更高的要求。Hillstone山石網(wǎng)科的交叉檢測(cè)（CrossInspection）技術(shù)不僅對(duì)協(xié)議進(jìn)行深度的分析，還利用解密、解壓技術(shù)打開(kāi)包括SSL、GZIP等加密加殼數(shù)據(jù)流，對(duì)協(xié)議和內(nèi)容進(jìn)行過(guò)濾。和認(rèn)證系統(tǒng)的互動(dòng)將IP和用戶相映射，對(duì)用戶其他內(nèi)容和行為相關(guān)聯(lián)，作為應(yīng)用和行為分析的依據(jù)。交叉檢測(cè)技術(shù)通過(guò)綜合分析用戶（User）狀態(tài)，應(yīng)用（Application）狀態(tài)和行為（Behavior）狀態(tài)，來(lái)確認(rèn)協(xié)議的真正含義，實(shí)現(xiàn)更精準(zhǔn)和更快速的定位。Hillstone山石網(wǎng)科交叉檢測(cè)技術(shù)也為網(wǎng)絡(luò)可視化和對(duì)用戶網(wǎng)絡(luò)行為的管理，創(chuàng)造了堅(jiān)實(shí)的基礎(chǔ)。圖SEQ圖\*ARABIC5交叉檢測(cè)流檢測(cè)傳統(tǒng)的威脅檢測(cè)是基于文件的。這種方法是基于主機(jī)的安全解決方案實(shí)現(xiàn)的，并且舊一代網(wǎng)關(guān)內(nèi)容安全解決方案也繼承這一方法。使用這種方法，首先需要下載整個(gè)文件，然后開(kāi)始掃描，最后再將文件發(fā)送出去。從發(fā)送者發(fā)送出文件到接收者完成文件接收，會(huì)經(jīng)歷長(zhǎng)時(shí)間延遲。對(duì)于大文件，用戶應(yīng)用程序可能出現(xiàn)超時(shí)。而且，緩存的數(shù)據(jù)占用大量的內(nèi)存，系統(tǒng)無(wú)法同時(shí)對(duì)大量的數(shù)據(jù)流進(jìn)行掃描。圖SEQ圖\*ARABIC6基于文件檢測(cè)Hillstone山石網(wǎng)科的安全掃描引擎完全是基于流的。安全掃描引擎在數(shù)據(jù)包流到達(dá)時(shí)進(jìn)行檢查，如果沒(méi)有檢查到威脅，則發(fā)送數(shù)據(jù)包流。大大減少了數(shù)據(jù)的延時(shí)，用戶感覺(jué)到應(yīng)用的響應(yīng)速度大大提高。同時(shí)，基于流的掃描引擎因?yàn)椴恍枰獙?duì)每個(gè)數(shù)據(jù)流做大量緩存，極大地提高了系統(tǒng)安全功能的容量。圖SEQ圖\*ARABIC7基于流檢測(cè)基于流的技術(shù)要求系統(tǒng)所有處理環(huán)節(jié)都是基于流的處理。一個(gè)系統(tǒng)如果有一個(gè)基于流的TCP代理，基于流的協(xié)議分析，但安全描卻是基于文件的。所帶來(lái)的效果只能是基于文件的。在處理流水線中最差的環(huán)節(jié)決定了系統(tǒng)的性能。Hillstone山石網(wǎng)科在多個(gè)層面上運(yùn)用了流引擎技術(shù)，為用戶帶來(lái)了完全的基于流引擎技術(shù)的數(shù)據(jù)平面。TCP代理解析器：包括協(xié)議解析（例如：HTTP，SMTP等），內(nèi)容解析（例如：MIME，base64等），內(nèi)容解壓縮（例如：gunzip，unrar等），文件解析（例如：PE格式等），SSL解密安全處理：包括協(xié)議控制，內(nèi)容控制，AV掃描，IPS掃描，異常發(fā)現(xiàn)等應(yīng)用處理：包括ALG，應(yīng)用代理，應(yīng)用隧道，應(yīng)用優(yōu)化等圖SEQ圖\*ARABIC8流引擎全并行的架構(gòu)Hillstone山石網(wǎng)科在多核PlusG2硬件架構(gòu)的基礎(chǔ)上，采用全并行架構(gòu)，實(shí)現(xiàn)更高的執(zhí)行效率。Hillstone山石網(wǎng)科的新一代UTM即使在開(kāi)啟了多種功能后，仍然可以實(shí)現(xiàn)設(shè)備的高吞吐量和低延遲。目前許多多核系統(tǒng)以多核處理器代替NP/ASIC的位置。在這種系統(tǒng)里，多核處理器帶來(lái)了比NP/ASIC更好的可編程性。但多核處理器只擔(dān)任網(wǎng)絡(luò)安全處理的任務(wù)，應(yīng)用處理和內(nèi)容安全仍然由主控CPU處理。許多平臺(tái)上，新建連接等防火墻功能也是由主控CPU實(shí)現(xiàn)的。在Hillstone山石網(wǎng)科并行操作系統(tǒng)里，所有的流處理都是針對(duì)多CPU多核系統(tǒng)而開(kāi)發(fā)，重復(fù)利用了硬件平臺(tái)的平行性。在新建連接等防火墻指標(biāo)上站在業(yè)界的前列。在應(yīng)用處理方面，所有流引擎都為高度并行化編程開(kāi)發(fā)。降低數(shù)據(jù)結(jié)構(gòu)的相互依賴，使性能和容量可以和CPU和CPU核數(shù)接近線性地增長(zhǎng)。Hillstone山石網(wǎng)科的全并行處理方式能夠所保障多個(gè)安全功能開(kāi)啟的情況下，仍然能保證非常高的吞吐量和低延遲。圖SEQ圖\*ARABIC9普通多核方案圖SEQ圖\*ARABIC10全并行多核方案另外Hillstone山石網(wǎng)科的多核控制技術(shù)能夠使多核調(diào)度的花費(fèi)最小化的同時(shí)允許每個(gè)核的獨(dú)立運(yùn)行,從而在一個(gè)核遇到故障的時(shí)候，整個(gè)系統(tǒng)保持正常運(yùn)行。優(yōu)化的處理流程在傳統(tǒng)的UTM設(shè)備中，流量需要流經(jīng)幾個(gè)獨(dú)立的網(wǎng)絡(luò)引擎，分類引擎，模式匹配引擎和策略引擎。這種重復(fù)勞動(dòng)不僅效率低而且性能低。圖SEQ圖\*ARABIC11傳統(tǒng)UTM軟件處理流程Hillstone山石網(wǎng)科采用優(yōu)化的統(tǒng)一處理流程。一旦數(shù)據(jù)包進(jìn)入處理流水線，流水線的處理階段只會(huì)處理一次，這包括：網(wǎng)絡(luò)功能，協(xié)議解析，協(xié)議安全處理，內(nèi)容解析，內(nèi)容安全處理，用戶、應(yīng)用、行為識(shí)別，應(yīng)用處理等。每個(gè)階段模塊處理結(jié)果會(huì)分別輸入需要的下階段模塊處理，減少重復(fù)的分析和處理流程。大幅降低數(shù)據(jù)包的處理延時(shí)，提高系統(tǒng)容量和性能。獨(dú)立的控制和數(shù)據(jù)平面設(shè)計(jì)Ston