淺析FPGA在安全產(chǎn)品中的應(yīng)用

在安全產(chǎn)品中，X86、NP、ASIC、FPGA各自代表了不同的體系架構(gòu)。然而，無論是媒體還是廠商，都難以將一種架構(gòu)的差異與產(chǎn)品的優(yōu)劣捆綁在一起，不過面對FPGA在IPS中的“殺手”級優(yōu)勢，以及針對市場上愈演愈烈的架構(gòu)之爭，《網(wǎng)絡(luò)世界》有必要與讀者一起分享技術(shù)上的來龍去脈。 


寫在討論之前


在閱讀本文之前，我們請讀者牢記產(chǎn)業(yè)經(jīng)濟(jì)學(xué)上的三個要素：技術(shù)、成本與市場需求。因?yàn)樵贔PGA在安全產(chǎn)品的應(yīng)用進(jìn)程中，始終離不開這三個支點(diǎn)。


另外，我們也需要明確以下問題：


第一，F(xiàn)PGA（Field-Programmable Gate Array，現(xiàn)場可編程門陣列）在現(xiàn)代數(shù)字電路設(shè)計中發(fā)揮著越來越重要的作用。從設(shè)計簡單的接口電路到設(shè)計復(fù)雜的狀態(tài)機(jī)，甚至設(shè)計“System On Chip”（片上系統(tǒng)），F(xiàn)PGA所扮演的角色已經(jīng)不容忽視。


第二，F(xiàn)PGA正越來越多地作為現(xiàn)代電子系統(tǒng)的核心部分。因?yàn)镕PGA硬件可重新配置且可用性、精密性不斷提高，可以輕易配合系統(tǒng)規(guī)格隨時改變的要求，這樣可以為用戶帶來充足的靈活性。


第三，F(xiàn)PGA是一種高速可編程電子器件，并非“職業(yè)殺手”，其自身的物理特性決定了，有些工作容易發(fā)揮其設(shè)計優(yōu)勢，而有些則適得其反。


在明確了上述三個特征之后，接下來記者將會與讀者一起分享FPGA在網(wǎng)絡(luò)安全市場中的故事。同時，我們也非常感謝為本次專題提供芯片技術(shù)支持的Xilinx公司，以及我們的合作伙伴：Juniper、神州數(shù)碼、SINFOR、SonicWall、TipingPoint、WatchGuard。


FPGA的靈活魅力


在網(wǎng)絡(luò)安全產(chǎn)品設(shè)計的時候，可以采用多種半導(dǎo)體解決方案，相對來講，目前主要采用的體系架構(gòu)包括了X86、NP、ASIC、FPGA四種。相對來講，CPU與NP的聯(lián)系更緊密，而ASIC與FPGA的關(guān)系更相似。


不過，若從器件角度分析，傳統(tǒng)上大多廣義地歸結(jié)為ASIC和可編程器件兩類。在安全產(chǎn)品中，兩種類別的主要原理與應(yīng)用并無多大區(qū)別。傳統(tǒng)上認(rèn)為，ASIC可以為固定功能提供較高性能，但靈活度相當(dāng)惡劣。


而可編程解決方案可提供較高的系統(tǒng)速率，包括復(fù)雜功能（特殊和異常處理）、靈活性。目前在安全產(chǎn)品設(shè)計中使用的可編程解決方案主要有兩類：NP和FPGA。NP可提供以處理器為中心（即以軟件為中心）的可編程特性，而FPGA則提供以硬件為中心的可編程特性。


Xilinx公司提供的報告指出，NP最初被用于設(shè)計網(wǎng)絡(luò)設(shè)備中的現(xiàn)成器件，這些器件在各方面提供靈活性和擴(kuò)展性的同時，還提供了充分的性能。大多數(shù)NP均帶有多種經(jīng)過優(yōu)化的嵌入式RISC CPU以及適用于通用分組處理功能的類ASIC硬件電路。每個RISC引擎經(jīng)過優(yōu)化以執(zhí)行特定任務(wù)。 


相對于NP，F(xiàn)PGA是對數(shù)據(jù)進(jìn)行高速并行處理的器件，具有更強(qiáng)的靈活性和擴(kuò)展性。TippingPoint公司技術(shù)經(jīng)理李臻表示，在其公司IPS產(chǎn)品中采用的 Virtex-II Pro FPGA芯片，已經(jīng)包含了高性能的可編程架構(gòu)、嵌入式PowerPC處理器和3.125Gbps收發(fā)器。通過增強(qiáng)網(wǎng)絡(luò)特性，F(xiàn)PGA可提供高性能的數(shù)據(jù)和安全控制處理功能。目前，網(wǎng)絡(luò)處理內(nèi)核和分組處理參考設(shè)計均適合于采用FPGA平臺設(shè)計。此外，F(xiàn)PGA還支持所有的通用并行（單端和差動）和串行系統(tǒng)接口標(biāo)準(zhǔn)，以使其輕松地與任何協(xié)議進(jìn)行接口并與線路卡上的任何器件相連。


Xilinx公司的FPGA解決方案專家Anil認(rèn)為，在網(wǎng)絡(luò)安全產(chǎn)品的開發(fā)中，盡管二層和三層處理在ASIC中很容易實(shí)現(xiàn)，但為了在類似的傳輸流中區(qū)分不同的優(yōu)先級，還需要在四層和五層中進(jìn)行更深層的分組處理。而FPGA僅僅需要一塊芯片就可以更深入地處理這些分組，不僅降低了軟件的復(fù)雜度，而且降低了功耗（相比于NP或ASIC）。這是因?yàn)镕PGA中的硬件并行處理完全可以同RISC的處理方法相媲美。


另外，在網(wǎng)絡(luò)安全產(chǎn)品設(shè)計中，升級性仍然是關(guān)鍵問題之一，而這包括了產(chǎn)品體系結(jié)構(gòu)的軟、硬兩個方面?！笆聦?shí)上，相對于NP開發(fā)中的軟件難以移植問題，無疑增加了設(shè)計上的風(fēng)險。” Anil表示，“FPGA擁有標(biāo)準(zhǔn)化的基于平臺和工具集方法的工具，可以實(shí)現(xiàn)軟件在各代FPGA中的無縫移植。而在硬件方面，NP只在處理器中提供可編程特性，其類似ASIC的定制硬件并不能直接進(jìn)行編程，而FPGA則要輕松許多?！?


IPS上的奇葩


基于FPGA的特性，在IPS上采用的FPGA技術(shù)最為有代表。TippingPoint的技術(shù)經(jīng)理李臻表示，在IPS中FPGA擅長把一些安全特征轉(zhuǎn)化成邏輯，在實(shí)現(xiàn)過程中能夠同時配批上千條規(guī)則，其并行速度超過普通CPU，而且相對于并行ASIC，其靈活性占有較大優(yōu)勢。畢竟，各種安全攻擊的變化很快，也許今天寫的過濾器一個月后就要改寫了。


同時，對于IPS這種采用In Line模式的設(shè)備，必須保證最小的誤報與漏報率，而基于FPGA實(shí)現(xiàn)的移動偏移量檢測，則是必須的手段。因?yàn)閷魜碚f，一般都是混合在正常的網(wǎng)絡(luò)流量中。換句話說，其在一個IP包里面的位置（偏移量）是不固定的。


一般IPS需要在流量中不斷尋找可疑特征，以便引起觸發(fā)機(jī)制，但要注意，這個可疑特征不一定就是攻擊行為。因此IPS必須抓到大量的可疑特征，然后交給CPU進(jìn)行驗(yàn)證，以便判斷是否為攻擊。但在這個過程中，最關(guān)鍵的一點(diǎn)就是，這個抓取可疑特征的速度一定要快，否則就會導(dǎo)致漏報。因此如果僅靠CPU做所有的工作，其速度無法保證。而利用FPGA的高速度幫助進(jìn)行基層篩選，然后交由CPU確認(rèn)，就可以最大限度地確保設(shè)備架構(gòu)的優(yōu)化。


“在整個特征抓取過程中，偏移量可以是不定的，比如內(nèi)容字節(jié)的不定長度。而NP一般只能進(jìn)行固定偏移量的抓取，比如從IP包頭結(jié)束開始56個字節(jié)地方有特征，然后去查找。但如果需要對整個PageLoad里面1500個字節(jié)都掃描一便，NP的開銷太大。FPGA利用哈希算法來控制，從PageLoad中取片斷，然后做算法，再到表里面去查?！崩钫檎f。


另外，他覺得在IPS中采用FPGA，可以最大程度保護(hù)用戶投資。這個投資保護(hù)分為兩個方面：第一，F(xiàn)PGA的性能優(yōu)勢具有良好的抗小包攻擊能力。因?yàn)閷τ赬86架構(gòu)來講，基于中斷的CPU處理方式在對抗小包的時候性能損耗太大。其實(shí)這個也很好理解，一般安全設(shè)備保護(hù)的多為服務(wù)器，而服務(wù)器的CPU往往要比安全設(shè)備中用的好，如果服務(wù)器都擋不住小包，安全設(shè)備又如何防范？為此，用戶往往需要購買單獨(dú)的防御DDoS的設(shè)備，增加了安全成本。而相對于CPU，F(xiàn)PGA在這方面具備很強(qiáng)的性能優(yōu)勢。


第二，F(xiàn)PGA的擴(kuò)展性較好。在的IPS中使用的FPGA往往有一定的預(yù)留性，比如一個常見的800萬門的FPGA芯片，一般實(shí)際使用僅為200萬門左右。預(yù)留的部分就是為了安全設(shè)備日后升級所用（甚至可以進(jìn)行不用重起的FPGA升級）。雖然使用CPU的安全產(chǎn)品也可以做到低利用率，但其壓力的承受與升級會有挑戰(zhàn)。比如在4G左右的吞吐率情況下，打開500條安全規(guī)則，配置2顆CPU。如果用戶線路的流量逐年增加，而微軟每月發(fā)布的漏洞也超過5個，其他的系統(tǒng)漏洞也不斷更新，而新的攻擊也會出現(xiàn)，在這個情況下，一般不到一年就會增加到800條規(guī)則。而CPU利用率的預(yù)留很難在安全算法不斷變化的情況下界定，同時一旦CPU需要增加或者升級，其往往要帶動軟件設(shè)計的升級，以便更好的負(fù)載均衡或者任務(wù)分擔(dān)，其復(fù)雜度也要超過FPGA。


到期的契約？


正如本文開頭所講的，F(xiàn)PGA并非職業(yè)殺手，其高速、靈活的特征在IPS上具有殺手級潛力，但在其他的安全領(lǐng)域則未必如此。對于目前發(fā)展如火如荼的UTM以及高端防火墻市場，體系架構(gòu)的爭論還是很激烈。

WatchGuard亞太區(qū)技術(shù)總監(jiān)葉建輝認(rèn)為，ASIC的發(fā)展速度一定不及通用CPU，用來發(fā)展新一代ASIC的時間，通用CPU可能已經(jīng)經(jīng)歷三至四代。相應(yīng)的，F(xiàn)PGA的問題也是如此。所以公司決定采取通用CPU作為發(fā)展UTM安全平臺的架構(gòu)。從目前的情況看，通用CPU對比專用器件在處理一般安全功能方面沒有很大的性能差距，近期更有雙核這類高性價比技術(shù)的出現(xiàn)，進(jìn)一步提升了CPU的性能。


雖然FPGA與ASIC相比相對靈活，可以比較靈活地處理IDS/IPS及防病毒所需更新的簽名功能（Signature），但對如今市場對UTM的需求期望，無論是ASIC或FPGA都顯得無法靈活處理。


他指出，在安全產(chǎn)品只提供防火墻及VPN功能的時代，ASIC的設(shè)計已經(jīng)足夠。雖然ASIC不夠靈活，但它可提供快速處理包過濾這類特定的功能。然后安全產(chǎn)品又加入了IDS/IPS及防病毒等需要快速模式匹配及更新簽名的功能，此時FPGA比較靈活的架構(gòu)就可派上用場。但如今UTM安全平臺除了以上的功能，還有防垃圾郵件、防間諜軟件及URL/內(nèi)容過濾等只有通用CPU來架構(gòu)會才能實(shí)現(xiàn)的功能。這些UTM功能不同防火墻/VPN/IDS/IPS，不是單一特定功能或模式匹配，所以用FPGA不能實(shí)現(xiàn)大幅提高性能的目的，而在通用CPU架構(gòu)上同時使用軟件可實(shí)現(xiàn)更高的整體性能。


利用CPU架構(gòu)，WatchGuard的智能分層安全引擎（ILS）在安全操作系統(tǒng)和軟件上整合了多種UTM功能。由于有很多攻擊并不針對某一項(xiàng)安全功能，智能分層安全引擎能在不同安全層面上互相溝通，所以更能有效的捍衛(wèi)受保護(hù)的網(wǎng)絡(luò)。 


SINFOR的技術(shù)經(jīng)理葉宜斌認(rèn)為，X86架構(gòu)是實(shí)現(xiàn)UTM最好的平臺。因?yàn)榇蠖鄶?shù)的網(wǎng)關(guān)型產(chǎn)品都采用這種模式。畢竟UTM的發(fā)展趨勢是一個設(shè)備中集中越來也多的功能，這個是要求需要很高的擴(kuò)展性，而內(nèi)容過濾也是目前CPU的強(qiáng)項(xiàng)。但他不排除今后會在中高端UTM產(chǎn)品中加入FPGA芯片。


SonicWall北方區(qū)技術(shù)經(jīng)理蔡永生認(rèn)為，由于UTM的環(huán)境影響，很可能多內(nèi)核的安全處理器會更加有優(yōu)勢。因?yàn)闉榘踩珣?yīng)用而設(shè)計的多內(nèi)核安全處理器比FPGA有更大的靈活性。只要通過軟件升級，安全設(shè)備可以不斷地更新以防御最新的安全威脅，而且性能不比PFGA差。在此基礎(chǔ)上，利用一套高性能的DPI深度包檢測引擎，實(shí)現(xiàn)病毒，入侵和間諜軟件的掃描。


另外，他始終認(rèn)為，對于大量部署的設(shè)備而言，讓客戶升級FPGA是有難度的，而且存在燒寫限制。不過在這一點(diǎn)上，TippingPoint指出其數(shù)字疫苗方式（類似Signature）非常便于用戶下載、升級，且每周一次的疫苗發(fā)布不會突破FPGA的壽命。


作為近兩年在安全領(lǐng)域突飛猛進(jìn)的本土企業(yè)代表，神州數(shù)碼網(wǎng)絡(luò)的安全技術(shù)經(jīng)理王景輝認(rèn)為，在不同的需求和不同的環(huán)境下，安全廠商會根據(jù)自己的產(chǎn)品定位來選擇相應(yīng)的技術(shù)手段。不過對于不同的技術(shù)本身，他覺得也許不存在好與壞的差異。


據(jù)悉，在神州數(shù)碼網(wǎng)絡(luò)最新推出的UTM產(chǎn)品中，采用的也是X86架構(gòu)，其核心在于保證性能與多功能的前提下，實(shí)現(xiàn)最豐富的應(yīng)用。他認(rèn)為對于安全產(chǎn)品，特別是具有內(nèi)容控制的產(chǎn)品，必須提供靈活與使用便利的能力，同時還要為用戶提供優(yōu)秀的性價比。在目前情況下，F(xiàn)PGA的高成本與低功能集成特征，無法滿足UTM的需要。


同時，他也指出，目前國內(nèi)市場上的UTM產(chǎn)品主要集中在中低端的100M左右產(chǎn)品，在這個吞吐率下，使用X86架構(gòu)不會帶來瓶頸，相反還可以提供更加靈活的部署方案。而如果今后隨著雙核技術(shù)以及CPU技術(shù)的進(jìn)一步發(fā)展，加上對吞吐率要求的提高，不排除會在相關(guān)產(chǎn)品中加入FPGA的可能性，但這還是要看市場的發(fā)展。


另外，神州數(shù)碼網(wǎng)絡(luò)的產(chǎn)品經(jīng)理?xiàng)钛闳罕硎?，利用X86架構(gòu)不僅可以獲得高功能集成，而且可以利用軟件確保與周圍設(shè)備的聯(lián)動配合。目前神州數(shù)碼網(wǎng)絡(luò)打算將UTM產(chǎn)品部署到自己的全網(wǎng)安全解決方案當(dāng)中，以便獲得最佳的安全性與易用性。


作為在眾多安全領(lǐng)域都有涉足的Juniper，其產(chǎn)品線涵蓋了防火墻、VPN、IPS/IDS、UTM等多個領(lǐng)域，而在不同的產(chǎn)品中，CPU、NP、ASIC、FPGA也都有使用。


Juniper技術(shù)經(jīng)理王衛(wèi)對于不同技術(shù)在安全產(chǎn)品中的應(yīng)用看得十分清楚，他覺得各種技術(shù)、體系架構(gòu)就像一個個名詞，本身沒有優(yōu)劣之分，只有在不同環(huán)境下，不同產(chǎn)品中，采用最適合技術(shù)的選擇。


比如高端防火墻的吞吐率可以達(dá)到30G，而在這個模式下，沒有用戶會去考慮其防病毒的特點(diǎn)，因此用ASIC來實(shí)現(xiàn)無疑是合適的。如果用X86架構(gòu)做，也許滿滿一機(jī)箱的CPU也能做到，但是成本、功耗都是大問題。同樣的道理，如果僅僅是一款百兆防火墻，純粹的CPU可以獲得最佳的性價比。


但他覺得目前爭論的焦點(diǎn)在于百兆防火墻和千兆防火墻的入口，多種技術(shù)會有交叉。因此出現(xiàn)CPU+NP+ASIC的架構(gòu)就不足以為怪。而FPGA也是同樣的道理，對于千兆以上，萬兆以下的產(chǎn)品，F(xiàn)PGA有可能，但前提是成本。其實(shí)很多高端產(chǎn)品在設(shè)計模擬階段用FPGA，但是固定下來后會燒成ASIC。不過到達(dá)萬兆甚至更高，則很難說了。


總而言之，他覺得在安全產(chǎn)品中，變化可能性較高的產(chǎn)品用FPGA比較合適，而UTM則基本與FPGA無緣，因?yàn)橄鄬碚f，這么多年來查病毒就是CPU做的比較好。


最后，王衛(wèi)提出了一個非常有意思的觀點(diǎn)：可編程器件的界限會越來越模糊，ASIC已經(jīng)可以編程，NP和FPGA更加加強(qiáng)了這方面的能力，未來可變化的能力各種體系都有，將來任何一種手段都可以實(shí)現(xiàn)靈活的能力。因此未來在體系結(jié)構(gòu)選擇中，依然會是：在什么環(huán)境下，什么吞吐能力下，選擇最合適的技術(shù)。


百家爭鳴的體系架構(gòu)設(shè)計


Juniper

CPU、NP、ASIC、FPGA各種體系架構(gòu)都有使用，認(rèn)為安全產(chǎn)品可以分為100M、100M--1G、1G--10G、10G以上四個階段，每個階段的芯片選擇與架構(gòu)設(shè)計具有明顯的特點(diǎn)。


神州數(shù)碼

另一家具有全系列產(chǎn)品的網(wǎng)絡(luò)廠商，希望借自身的全網(wǎng)安全方案將防火墻、VPN、IDS、UTM以及桌面保護(hù)系統(tǒng)進(jìn)行整合，同時將在多種架構(gòu)中進(jìn)行最適合的取舍，確保整體安全方案的聯(lián)動與優(yōu)化。


SINFOR

在UTM與VPN中頗有實(shí)力的本土廠商，分別擁有X86架構(gòu)和NP+ASIC架構(gòu)兩條線的產(chǎn)品，并對FPGA很感興趣。


SonicWall

出色的防火墻及UTM廠商，對雙核技術(shù)分析得很透徹，認(rèn)為多內(nèi)核安全處理器將會促使FPGA的殺手契約到期，同時擁有專利的DPI技術(shù)。


TipingPoint

業(yè)界公認(rèn)的最強(qiáng)IPS制造商，唯一獲得NSS評測金獎的IPS廠商，憑借在FPGA上的技術(shù)優(yōu)勢，取得了很大的轟動效應(yīng)，據(jù)悉即將推出基于FPGA的萬兆IPS。


WatchGuard

一家優(yōu)秀的UTM廠商，而且一直表示將進(jìn)軍國內(nèi)的高端應(yīng)用市場，因此非常關(guān)注UTM在應(yīng)用上的全功能性，有專利的ILS技術(shù)。