摘要：在IT技术和互联网快速发展的过程中，信息安全防护起着极其重要的作用，本文为大家讲述安全产品的一些内容。

第1页:100G性能--安全产品发展的必然趋势 第2页:安全业务模块的硬件选择

　　
　　最后，对于高端的安全设备而言，安全业务处理引擎的性能和表现，对于整机是否能达到设计的性能和功能目标起着直接的决定作用，无论是防火墙产品还是入侵检测等产品的核心处理环节都需要依赖该业务处理模块。对于防火墙和IPS入侵防御等产品，在进行该业务单元设计时，需要考虑他们的业务处理流程上的差异，合理的选择该业务单元的关键器件，并将不同的业务环节划分到不同的逻辑电路，才能保证设计目标的实现。
　　
　　安全业务模块的硬件选择
　　
　　如前所述，安全业务模块是产品的核心模块，其不但要承担整个安全业务处理的各个环节，还需要考虑到系统的性能设计目标，也就是说，该模块不但要完整核心的软件功能，还必须考虑做到超高的性能，该单元的处理能力，直接决定了整机的性能。
　　
　　基于系统的高性能的设计目标，在对该硬件模块进行电路设计时，需要结合当前的硬件技术的发展水平，并结合当前可选的功能器件如NP处理器、ASIC器件、FPGA逻辑电路、多核处理器、通用CPU处理器、内容加速处理器的方案差异，合理选择适合的硬件设计方案。
　　
　　目前较常用的方式是多核处理器和FPGA逻辑的配合，随着多核技术的迅猛发展，无论是芯片内部"处理器核"的数量还是主频都在不断提高，这为其高性能的业务处理能力提供了保障，同时由于多核产品对多业务流程处理的灵活性、功能的可扩展性和易用性（通用的C语言编程），因此成了中高端安全产品的首选。在高端防火墙和IPS等产品的设计过程中，可以利用多核CPU充当安全处理引擎单元的慢路径关键处理器，承担防火墙和IPS等产品的首包分析的工作，实现对会话的状态检测和表项下刷；而FPGA可以作为快路径的主要处理单元，在慢路径将会话和转发表现下发后，完成对报文的快速匹配和转发。从另外一个角度，对于IPS等深度报文检测的产品而言，考虑到其需要提取报文的payload负载并进行大容量的特征库匹配，为了做到高性能需要考虑配套专用的内容加速芯片，实现对特征库基于正则表达式等形式的高速查找。
　　
　　业务处理引擎对于报文处理流程的层次化设计
　　
　　作为系统的核心处理单元，设备的安全业务处理引擎要想达到更高的性能，就必须不要纯粹基于通用处理器进行转发和处理流量，而是要考虑将流量合理的卸载到其他的协处理器（诸如FPGA等器件），实现报文的硬件加速。
　　
　　基于整个报文处理流程，高端安全产品软件设计可以划分为软件慢路径、软件快速路径、硬件加速三个层面。无论是对于防火墙产品还是IPS入侵检测产品而言，其本身的业务处理流程中，都存在可以利用硬件加速提升性能的处理环节，典型如防火墙的会话快速转发环节，如IPS入侵防御产品的固有特征库的快速查找匹配环节等。对于这些可以直接通过硬件快速路径处理后转发，对于已经明确处理策略的数据流通过软件快速路径进行加速处理，剩余的其它数据流由软件慢路径进行深度解析处理。
　　
　　基于这种分层的设计思路，不仅可以充分发挥专用硬件芯片的处理性能优势，也减轻了通用处理器的处理负担，使通用处理器可以有更多的资源来实现对关键流程如会话建立的处理效率，保证业务模块的性能均衡而高效。
　　
　　（三）100G安全产品的衡量标准
　　
　　对于高端防火墙和IPS入侵防御等产品而言，其超高的性能、出色的可靠性和稳定性，灵活的组网能力和扩展性、以及设备的绿色环保等方面，无疑是衡量其是否出色的重要指标；而基础的性能指标参数，以及关键特性的实现程度，无疑是对高端安全产品实现程度的最直接反映，
　　
　　系统关键性能指标
　　
　　系统的性能是对安全产品能力和网络定位的最直接的反映。
　　
　　对于防火墙产品而言，常见的性能指标包括网络的处理时延，不同字节情况下设备的吞吐量指标，以及单板或设备的应用层性能指标典型如每秒新建连接数和最大并发连接数等等。对于IPS产品而言，除了上述参数之外，还应该包括特征库的容量以及定期更新特征库的能力。基于现有的经验数据，性能出色的防火墙和IPS等设备，其网络处理的延时平均值要控制在30us以内，以保证快速处理诸如视频语音等时延敏感型业务。
　　
　　对于新一代防火墙产品，根据RFC的测试规范，在64bytes字节长度时，每单板的处理性能要求达到20Gbps吞吐量的水平。对于那些宣称大包20Gbps性能的产品，由于实际网络中的流量不可能是全部由大包构成，因此其在实际部署时会大打折扣，并不能真正做到对20G实际流量的处理；对于IPS产品而言，在模拟真实环境、保证对攻击特征的高识别率的情况下的系统性能是否可以达到10Gbps的设计要求；在系统部署了多块业务模块的情况下，整机的性能要求做到线性的增长，以实现对性能的平滑扩容。同时，对于并发连接数/每秒新建连接数，应用层吞吐量（HTTP、FTP、SMTP等业务）以及混合业务吞吐量等应用层信息指标，应该也有明确的要求，这些应用层的性能指标可以作为系统在真实情况下的处理能力的最直接的参考。
　　
　　关键特性的实现程度
　　
　　除了性能指标之外，高端防火墙和IPS等安全产品的关键特性的处理能力和实现程度，也是衡量设备是否成功的重要标准。
　　
　　如虚拟化的实现，根据其典型的应用场合，在数据中心多租户共享的情况下，防火墙和IPS等安全设备的虚拟化能力是非常重要的指标。要想做到真正的虚拟化并实现对设备资源的灵活分配和调整，需要从以下几个方面来进行衡量：设备可以支持的虚拟化数目，每个虚拟化实例的CPU的资源任意分配指定、内存资源划分定义、设备新建连接数目和并发连接数可以根据用户的需求配置、以及在每个虚拟实例下，各种安全策略的数目分配、安全域的数目分配、NAT资源的分配等等；对于IPS产品，各虚拟实例的license特征库可以单独激活或升级。同时，还需要考虑到针对各个虚拟设备进行独立的配置管理的需要，需要考虑对各个虚拟设备的安全事件独立分析和监控的需要。如果设备的虚拟化实现非常完整，才可以真正实现对设备资源的灵活调整；
　　
　　责任编辑：honey