UTM硬件平台分析 网络安全内容解析

　　摘要：现在市场上的防火墙、UTM产品从其架构上来说，大概分为三大类。第一类是基于X86平台的，这种平台通常使用一颗或多颗主CPU来处理业务数据，网卡芯片和CPU通过PCI总线来传输数据。第二类，基于NP架构的防火墙。第三类，基于ASIC架构的防火墙、UTM产品。

　　推荐白皮书：

　　某大型IT企业如何建设全球化访问平台

　　针对某大型IT企业IT管理部门提出的系统要求，Array Networks提出了以Array SSL VPN加Token令牌环进行远程安全接入的解决方案。

　　现在市场上的防火墙、UTM产品从其架构上来说，大概分为三大类。第一类是基于X86平台的，这种平台通常使用一颗或多颗主CPU来处理业务数据，网卡芯片和CPU通过PCI总线来传输数据。第二类，基于NP架构的防火墙。第三类，基于ASIC架构的防火墙、UTM产品。

　　x86架构

　　x86架构，也称为CPU架构，采用通用的x86 CPU作为整个系统的转发核心，具有很高的灵活性和可扩展性，一直是安全网关开发的主要平台。其产品功能主要由软件实现，还可以根据用户的实际需要做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。例如，现在安全网关的趋势就是向UTM方向发展，在一个产品中集成防火墙、入侵防御、防病毒及内容过滤等特性，x86架构的安全网关可以很方便地集成上述功能。

　　但该架构的性能发展受到CPU体系结构的制约，作为通用的计算平台，x86的结构层次较多，不易优化，特别是在小包处理中，x86的进程调度、中断处理等都会大幅降低整机吞吐量。同时，x86作为通用CPU，没有为网络转发及安全计算进行优化，因此基于x86的硬件平台仍很难达到千兆速率。

　　x86架构安全网关的特点：

　　·优点：灵活，功能丰富，开放性好，是百兆和千兆中低端防火墙的主要架构;

　　·缺点：性能提升困难，特别是小包处理时性能下降严重。

　　摘要：现在市场上的防火墙、UTM产品从其架构上来说，大概分为三大类。第一类是基于X86平台的，这种平台通常使用一颗或多颗主CPU来处理业务数据，网卡芯片和CPU通过PCI总线来传输数据。第二类，基于NP架构的防火墙。第三类，基于ASIC架构的防火墙、UTM产品。

　　推荐白皮书：

　　某大型IT企业如何建设全球化访问平台

　　针对某大型IT企业IT管理部门提出的系统要求，Array Networks提出了以Array SSL VPN加Token令牌环进行远程安全接入的解决方案。

　　NP架构

　　NP(Network Processor：网络处理器)是专门为网络设备处理网络流量而设计的处理器，在其体系结构和指令集中对网络设备常用的包过滤、转发等算法和操作都进行了专门的优化，可以高效地完成TCP/IP协议栈的常用操作，并对网络流量进行快速的并发处理。NP通过专门的指令集和配套的软件开发系统，提供强大的面向网络报文处理的编程能力，因而便于开发应用，支持可扩展的服务，而且研制周期相对较短，成本比开发ASIC低。

　　但是，相比于x86架构，由于应用开发、功能扩展受到NP的配套软件的限制，故基于NP技术的防火墙的灵活性要差一些，而且还依赖软件环境，所以在性能方面NP不如 ASIC。特别是在防火墙的关键性指标——“多策略复杂环境下的吞吐量”上，NP架构的劣势更加明显。NP芯片的基本结构如图2-2所示，核心是xScale CPU，该CPU是一款低端ARM内核的CPU，其处理能力仅相当于Intel P3 CPU，而NP架构防火墙的查表(安全策略表)操作只能由该xScale CPU处理，因此在大流量、多安全策略环境下，NP架构防火墙的吞吐量会出现明显下降。(注：在高端NP路由器中，由外置TCAM芯片实现查找路由表的操作，但该技术无法应用到NP网关中)

　　同时，NP芯片主要的设计方向是路由器类的网络设备，几乎没有任何针对安全设备的加速功能，所以NP复杂且相对固话的报文处理流程决定了这类架构的安全网关几乎不可能提供高级安全特性，如入侵防御、病毒过滤等，而只能作为纯粹的防火墙使用。

　　NP架构安全网关特点：

　　·优点：灵活性优于ASIC，性能优于x86，开发流程要比ASIC短。

　　·缺点：性能低于ASIC，灵活性低于x86;多安全策略环境下性能下降;不能升级到UTM设备，无法提供高级安全特性。

　　摘要：现在市场上的防火墙、UTM产品从其架构上来说，大概分为三大类。第一类是基于X86平台的，这种平台通常使用一颗或多颗主CPU来处理业务数据，网卡芯片和CPU通过PCI总线来传输数据。第二类，基于NP架构的防火墙。第三类，基于ASIC架构的防火墙、UTM产品。

　　推荐白皮书：

　　某大型IT企业如何建设全球化访问平台

　　针对某大型IT企业IT管理部门提出的系统要求，Array Networks提出了以Array SSL VPN加Token令牌环进行远程安全接入的解决方案。

　　ASIC架构

　　ASIC(Application Specific Intergrated Circuits)架构安全网关通过专门设计的ASIC芯片逻辑进行硬件加速处理，这种ASIC完全按照设计者的目的去设计硬件电路，优化相应的功能模块，然后固化完成ASIC。ASIC架构的优势是性能高，转发性能与安全策略数量无关。

　　ASIC架构的主要缺点表现在以下两个方面：

　　一是灵活性不够，开发费用高，开发周期太长。由于ASIC架构的固定性与安全网关需要面对的复杂威胁相互矛盾，因此ASIC架构从开发周期上无法应对层出不穷的安全威胁，只适合于功能固化的防火墙、VPN类产品。

　　二是新建连接的速率不高，实际上这类架构产品的基础模型是ASIC+x86 CPU，由x86 CPU负责系统管理、策略配置及连接建立，然后将相关的安全策略和连接信息同步到ASIC芯片中，由ASIC芯片实现基于状态的策略控制和报文过滤;ASIC芯片与CPU的状态信息需要不断同步，因此ASIC架构的性能“短板”是新建连接的速率低。

　　总结ASIC架构安全网关的优缺点：

　　·优点：转发性能比NP、X86高;

　　·缺点：功能固化，新建连接的速率低，无法支持高级安全特性。

　　摘要：现在市场上的防火墙、UTM产品从其架构上来说，大概分为三大类。第一类是基于X86平台的，这种平台通常使用一颗或多颗主CPU来处理业务数据，网卡芯片和CPU通过PCI总线来传输数据。第二类，基于NP架构的防火墙。第三类，基于ASIC架构的防火墙、UTM产品。

　　推荐白皮书：

　　某大型IT企业如何建设全球化访问平台

　　针对某大型IT企业IT管理部门提出的系统要求，Array Networks提出了以Array SSL VPN加Token令牌环进行远程安全接入的解决方案。

　　最适合UTM的硬件方案

　　从前面的分析可以了解到每种硬件架构的特点，但对于UTM，哪种架构更加合适，这需要有统一的衡量标准。性能与功能的矛盾是硬件平台重点解决的问题，因此暂时把开发难度、研发投入等因素抛开，而从功能满足的灵活性、性能表现两个方面来对各种架构进行比较。将灵活性作为纵坐标，性能作为横坐标。

　　那什么才是UTM网关合适的硬件方案呢?如果要在上述三种方案中选择一种的话，非X86架构莫属，当然，随着技术的发展，还有可能出现第四种防火墙的解决方案，可以做为实现UTM网关的完美平台，但这是后话，值得我们期待。X86平台的主要缺陷在于64Bytes的小包不能达到线速。但在实际用户中，除非是DOS、DDOS攻击才会产生大量的的小包，用户正常的应用不可能产生大量的小包。如果在基于X86平台的UTM产品中，解决好DOS和DDOS攻击的问题，那么，X86平台就是UTM网关理所当然的解决方案。对于这个问题，已经有产品开发了防DOS、DDOS攻击的功能，不但可以防御来自外网的DOS攻击而且能够防御来自企业内部网络的DOS、DDOS攻击，这样我们的UTM产品就解决了这个问题，使网关的稳定性和可靠性大大加强，在UTM整体性能方面优越于NP、ASIC.在遇到大规模的DOS、DDOS攻击时，也不会占用太多的CPU资源。

　　既然选择了X86做为UTM网关的硬件平台，那么，还会存在一个问题：“如果UTM网关处理的业务比较多，是否会影响网络速度?”，比较简单的答复是这样的：在CPU占用低于90%的时候，是不会影响网络速度的。因为UTM网关虽然集成了众多的功能，并且要求主CPU来处理这所有的业务。但从业务的方面来看，是独立的，如：收发邮件的数据就不会被做为通过HTTP上网的数据来处理，通过HTTP上网的数据也不会被做为邮件的数据来处理，所以当一个数据包通过UTM时，是分业务分流程处理的，在CPU占用90%以下时，CPU完全可以实时的处理这些业务。但如果CPU占用超过了90%，那怎么办?X86的平台是不是不能解决了?答案是否定的，对于这个问题，X86的平台的方案有两种解决方法：

　　方法一：支持多颗CPU.部分高端设备都配备了2颗以上CPU，更高端的设备甚至配备4颗CPU，这样CPU的处理能力也就不会成为瓶颈。

　　方法二：使用加速卡。比如把邮件过滤做成一个加速卡安全在系统中，在主CPU发现某个数据包为邮件数据时，把该数据包交给加速卡来完成，不占用主CPU资源。

　　综上所述可以得出一个结论，X86架构是UTM网关理想的硬件平台，目前来看，没有其它平台可以代替。