Hillstone 安全平台 新一代安全应用架构 山石网科通信技术(北京)有限公司 www.hillstonenet.com Hillstone安全平台 Hillstone安全平台 新一代安全应用架构: 多核CPU+ASIC+高速总线+专用操作系统 1.介绍 随着网络应用的快速发展和更多内、外部威胁的出现，我们不得不面临这 样的问题：达到高带宽要求的同时怎样能够保护网络不受侵害。在各种应用 安全防护(例如QoS、IDP、网络AV、反垃圾邮件以及内容过滤等)不断出现的同 时，用户仍在寻找更高安全级别的设备。 当前的设备不能解决以上所述问题，因为它们没有足够的CPU处理能力，不 能在进行千兆数据处理的同时执行安全检测。 Hillstone的创新解决方案集先进的软硬件技术于一身，创造了一个全新的安 全平台，完全能够应对我们当前面临的问题。 2.防火墙技术的发展 1995年，CheckPoint推出了第一代防火墙产品：基于软件的防火墙。它是 状态检测防火墙，在当时是技术性的突破。然而，很快问题就出现了：软件解 决方案会产生性能变异，这个问题很难控制并且不能适用于需要提供吞吐量保 证和低延迟的网络。 在1996到1997年，出现了第二代防火墙：基于PC架构的防火墙。 图1：基于PC的防火墙结构 CPU Alltrafficthatrequiressecurity handling Communicationbus portportport 1 Hillstone安全平台 1997年，NetScreen研发成功了ASIC防火墙。这种定制的ASIC防火墙与软件 解决方案相比，安全规则匹配速度和数据流查询速度提升了几十倍。NetScreen 防火墙是第一个在网络层安全上达到千兆速率并且提供优异性能的防火墙。 图2：ASIC防火墙结构 CPU AllpacketsthatrequiresCPU intervention ASIC Alltrafficthatrequires securityhandling SwitchBus portportportportport 从此，防火墙技术发生了巨大的变化。ASIC防火墙优于传统防火墙，例如 在处理NAT和快速数据流查询方面。但是，在集成了应用层安全功能后，CPU就 没有足够的处理能力了。对于当前的安全设备，一旦开启应用安全功能，性能 通常都会大大下降。 近几年，一些公司开始为应用层安全尝试使用网络处理器（NP）结构。虽 然NP在可扩展性上优于ASIC，但是它仍然不能及时响应今天安全需求的快速变 化。由于缺乏可扩展性和可维护性，NP结构已经逐步被淘汰。 随着应用层网络功能集成的快速发展，例如QoS，流量优化也需要大量的 CPU处理，而现今的安全设备却不能很好的支持这一功能。 3.创新一代安全架构 硬件平台 ASIC能够做到的是高速执行简单的预定义操作。已经被证实的ASIC能够实 现的技术包括规则查询、会话匹配、数据包交换/路由和QoS队列管理等。许多 网络层的安全功能可以在ASIC内部得到实现。 2 Hillstone安全平台 与通用处理器相比，ASIC的缺点在于它的不可改变性和低扩展性，尤其缺 乏用户自定义特性。现在的大部分应用安全逻辑都或多或少需要一定程度的 CPU干预处理，这也就是多核CPU的主要优势所在。 Hillstone安全平台使用ASIC来实现网络级安全，使用多核CPU加速应用层安 全，再使用高速交换总线加速各个模块之间的通信。 图3：Hillstone安全平台硬件架构智能的并行调度技术 Multi-CoreMIPS64CPU(upto16cores) Core0Core1Core2Core3Core15StoneASIC 48Gswitchfabric GEGEGEGEGEGEGEGEGE ●StoneASIC：HillstoneASIC解决方案主要用于网络和安全加速，在硬件平 台上结合了最新的网络安全处理技术和攻击防护功能。当设备需要快速转发 数据包并防护来自僵尸网络(botnet)的各种类型的攻击时，StoneASIC可以提供 卓越的性能保证。这样就能够释放处理器性能来处理其它更需要CPU计算的功 能。并且，StoneASIC的硬件管道能够为数据流提供稳定的、低延迟的高带宽总 线，不需要其它安全处理。 ●多核CPU：Hillstone利用高性能CPU使对网络数据包的处理达到最优化。 CPU被固定在硬件的包转发引擎中，用来处理包保序和不同核之间的分发。在 专门开发的针对多核并行处理的StoneOS操作系统支持下，基于数据包的细粒 度并行调度技术确保每个核都能高负荷运行，从而使