安全和性能：两者不可兼得？

随着云计算、大数据和移动互联网等新技术的发展，互联网为社会带来进一步的变革。但同时也产生了大量的网络安全问题，主要集中在病毒、蠕虫、恶意代码，网页篡改，垃圾邮件等应用层攻击，传统的防火墙设备采用单一的安全防范技术对上述威胁已经难以应付。2004年，业界提出“统一威胁管理”的概念，即将防病毒、入侵检测和防火墙等安全设备划归统一威胁管理(Unified Threat Management，简称UTM)。虽然UTM集成了多种功能，但如果用户需要同时开启多项功能，其性能下降严重。我们对多家传统UTM厂商的性能参数进行分析，在UTM多种功能开启的应用场景下，对比单纯防火墙应用性能下降达70%~90%不等。而当前，威 胁环境前所未有的恶劣，基于应用的防护逐渐成为边界防护的刚性需求，传统UTM已然满足不了应用场景下的应用层防护性能上的需求。对于UTM，我们可以总 结为“安全有余、性能不足”。

安全和性能：两者不可得兼?

华为在深耕安全10多年后，推出其下一代防火墙产品USG6000系 列，实现安全和性能的完美融合，在打开所有威胁防护下，能够实现万兆级的应用层全威胁防御。华为USG6000采用NG-Security硬件平台和智能 感知引擎(IAE，Intelligent Awareness Engine)技术，全面覆盖1G-40G应用层防护场景。

NG-Security硬件平台是华为公司全新一代高性能系列安全产品的硬件平台。NG-Security硬件平台采用“多核MIPS”+“硬件协 处理加速”+“高速SwitchFabric”的架构，通过高速总线实现多核CPU与业务处理模块、接口扩展模块之间的通信。NG_Security硬件 平台同时进行了冗余设计，提高硬件可靠性。增强了性能和功能的扩展，进一步实现了存储的扩展，满足网络安全设备对本地日志存储的需要。

1、华为NG-Security硬件平台采用64位高性能新一代多核MIPS平台，MIPS架构基于一种固定长度的定期编码指令集，其精简的指令集、指令与高速数据缓存分层的设计、并发的多级流水线、以及专门为网络报文吞吐所设计的高速接口及DMA能力，结合华为公司电信级的嵌入式实时操作系统， 保证了华为下一代墙平台处理的高性能。同时，在NG_Security硬件平台的高端机型，还可多扩展一块CPU处理板，即相当于实现1+1的CPU扩展 能力，每颗CPU均为多核MIPS处理器，这样的弹性扩展能力可实现硬件处理能力的翻倍。

2、华为NG-Security硬件平台集成了IPSec、SSL加解密运算、压缩解压缩、模式匹配、以及硬盘RAID的硬件协处理器。使得本来应该由CPU软件来计算处理的特定、重复的耗费CPU性能的业务，如加解密、压缩解压缩、模式匹配等，由协处理器来完成，其处理能力将有质的飞跃。同时 CPU就不需要参与此类复杂计算，对CPU的消耗大大降低，使CPU集中实现擅长的网络报文的处理。

3、华为NG-Security 硬件平台选用容量达480Gbps的交换芯片作为多核CPU、业务处理模块、扩展接口模块之间的互联总线，高容量的交换总线为模块之间的提供的足够的带 宽，保证了各模块之间的业务交换。同时选用高速率的SAS硬盘，支持300GB大容量，为用户提供实时记录日志和报表，减少CPU与外围网管采集软件的交互流量和性能消耗，进一步提高CPU的利用率，并且为用户提供实时大容量的日志和报表记录。

另外，华为下一代防火墙采用全新架构的智能感知引擎(IAE, Intelligence Aware Engine)，通过该项技术，能够实现下一代防火墙的核心安全功能，同时能够带来全功能和高性能的全新用户体验。

IAE是一体化的内容安全业务处理框架和一系列安全特性或组件的集合，配合各种安全知识库，以及和安全智能中心实时联动，是方便各种产品在其上进行 内容安全业务的定制、扩展、集成和快速发布的安全服务程序。 简单来讲：IAE = 安全框架(流+代理) + 安全特性组件 + 配套知识库 + 安全智能中心联动。传统威胁检测引擎根据逐个报文进行威胁特征匹配，这种方式容易造成攻击者逃避检测。IAE摒弃了此种方式，将报文根据会话进行重组，并 进行协议解码和特征匹配，更加精准的检测各层协议中的威胁。在检测过程中，基于多核CPU架构，IAE采用了一次解析，多业务并行处理的架构。其核心的应用解析和特征匹配处理由硬件加速模块高速处理，各个安全业务并行的跟踪处理结果并更新状态，当威胁特征的条件都符合时，立即根据安全策略触发响应动作，而 当条件不符合时，IAE会自动调整跟踪状态，确保检测安全的流量高速转发。这种架构确保了多种安全业务开启情况下，对整体性能影响最小。

华为下一代防火墙通过其软硬件的创新，在相同防火墙性能的条件下启用应用威胁防护特性后，性能下降在50%以内，实现真正意义上的万兆全防御性能，达到业界顶尖水平，为客户提供全网络最佳的性能体验。安全和性能两者兼得。