2) 安全业务模块的硬件选择
如前所述,安全业务模块是产品的核心模块,其不但要承担整个安全业务处理的各个环节,还需要考虑到系统的性能设计目标,也就是说,该模块不但要完整核心的软件功能,还必须考虑做到超高的性能,该单元的处理能力,直接决定了整机的性能。
基于系统的高性能的设计目标,在对该硬件模块进行电路设计时,需要结合当前的硬件技术的发展水平,并结合当前可选的功能器件如NP处理器、ASIC器件、FPGA逻辑电路、多核处理器、通用CPU处理器、内容加速处理器的方案差异,合理选择适合的硬件设计方案。
目前较常用的方式是多核处理器和FPGA逻辑的配合,随着多核技术的迅猛发展,无论是芯片内部“处理器核”的数量还是主频都在不断提高,这为其高性能的业务处理能力提供了保障,同时由于多核产品对多业务流程处理的灵活性、功能的可扩展性和易用性(通用的C语言编程),因此成了中高端安全产品的首选。在高端防火墙和IPS等产品的设计过程中,可以利用多核CPU充当安全处理引擎单元的慢路径关键处理器,承担防火墙和IPS等产品的首包分析的工作,实现对会话的状态检测和表项下刷;而FPGA可以作为快路径的主要处理单元,在慢路径将会话和转发表现下发后,完成对报文的快速匹配和转发。从另外一个角度,对于IPS等深度报文检测的产品而言,考虑到其需要提取报文的payload负载并进行大容量的特征库匹配,为了做到高性能需要考虑配套专用的内容加速芯片,实现对特征库基于正则表达式等形式的高速查找。
因此可见多核、FPGA逻辑转发以及专用的内容加速固定特征库匹配器件,是未来超高性能安全产品的重要选择;
3) 业务处理引擎对于报文处理流程的层次化设计
作为系统的核心处理单元,设备的安全业务处理引擎要想达到更高的性能,就必须不要纯粹基于通用处理器进行转发和处理流量,而是要考虑将流量合理的卸载到其他的协处理器(诸如FPGA等器件),实现报文的硬件加速。
基于整个报文处理流程,高端安全产品软件设计可以划分为软件慢路径、软件快速路径、硬件加速三个层面。无论是对于防火墙产品还是IPS入侵检测产品而言,其本身的业务处理流程中,都存在可以利用硬件加速提升性能的处理环节,典型如防火墙的会话快速转发环节,如IPS入侵防御产品的固有特征库的快速查找匹配环节等。对于这些可以直接通过硬件快速路径处理后转发,对于已经明确处理策略的数据流通过软件快速路径进行加速处理,剩余的其它数据流由软件慢路径进行深度解析处理。
基于这种分层的设计思路,不仅可以充分发挥专用硬件芯片的处理性能优势,也减轻了通用处理器的处理负担,使通用处理器可以有更多的资源来实现对关键流程如会话建立的处理效率,保证业务模块的性能均衡而高效。
