<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>
          <label id="pryje"></label>

          關(guān) 閉

          新聞中心

          EEPW首頁 > 安全與國防 > 淺析FPGA在安全產(chǎn)品中的應(yīng)用

          淺析FPGA在安全產(chǎn)品中的應(yīng)用

          ——
          作者:趙曉濤 時間:2007-05-28 來源:網(wǎng)絡(luò)世界 收藏
          產(chǎn)品中,X86、NP、ASIC、FPGA各自代表了不同的體系架構(gòu)。然而,無論是媒體還是廠商,都難以將一種架構(gòu)的差異與產(chǎn)品的優(yōu)劣捆綁在一起,不過面對FPGA在IPS中的“殺手”級優(yōu)勢,以及針對市場上愈演愈烈的架構(gòu)之爭,《網(wǎng)絡(luò)世界》有必要與讀者一起分享技術(shù)上的來龍去脈。 


          寫在討論之前


          在閱讀本文之前,我們請讀者牢記產(chǎn)業(yè)經(jīng)濟(jì)學(xué)上的三個要素:技術(shù)、成本與市場需求。因為在FPGA在產(chǎn)品的應(yīng)用進(jìn)程中,始終離不開這三個支點。


          另外,我們也需要明確以下問題:


          第一,F(xiàn)PGA(Field-Programmable Gate Array,現(xiàn)場可編程門陣列)在現(xiàn)代數(shù)字電路設(shè)計中發(fā)揮著越來越重要的作用。從設(shè)計簡單的接口電路到設(shè)計復(fù)雜的狀態(tài)機(jī),甚至設(shè)計“System On Chip”(片上系統(tǒng)),F(xiàn)PGA所扮演的角色已經(jīng)不容忽視。


          第二,F(xiàn)PGA正越來越多地作為現(xiàn)代電子系統(tǒng)的核心部分。因為FPGA硬件可重新配置且可用性、精密性不斷提高,可以輕易配合系統(tǒng)規(guī)格隨時改變的要求,這樣可以為用戶帶來充足的靈活性。


          第三,F(xiàn)PGA是一種高速可編程電子器件,并非“職業(yè)殺手”,其自身的物理特性決定了,有些工作容易發(fā)揮其設(shè)計優(yōu)勢,而有些則適得其反。


          在明確了上述三個特征之后,接下來記者將會與讀者一起分享FPGA在網(wǎng)絡(luò)市場中的故事。同時,我們也非常感謝為本次專題提供芯片技術(shù)支持的Xilinx公司,以及我們的合作伙伴:Juniper、神州數(shù)碼、SINFOR、SonicWall、TipingPoint、WatchGuard。


          FPGA的靈活魅力


          在網(wǎng)絡(luò)安全產(chǎn)品設(shè)計的時候,可以采用多種半導(dǎo)體解決方案,相對來講,目前主要采用的體系架構(gòu)包括了X86、NP、ASIC、FPGA四種。相對來講,CPU與NP的聯(lián)系更緊密,而ASIC與FPGA的關(guān)系更相似。


          不過,若從器件角度分析,傳統(tǒng)上大多廣義地歸結(jié)為ASIC和可編程器件兩類。在安全產(chǎn)品中,兩種類別的主要原理與應(yīng)用并無多大區(qū)別。傳統(tǒng)上認(rèn)為,ASIC可以為固定功能提供較高性能,但靈活度相當(dāng)惡劣。


          而可編程解決方案可提供較高的系統(tǒng)速率,包括復(fù)雜功能(特殊和異常處理)、靈活性。目前在安全產(chǎn)品設(shè)計中使用的可編程解決方案主要有兩類:NP和FPGA。NP可提供以處理器為中心(即以軟件為中心)的可編程特性,而FPGA則提供以硬件為中心的可編程特性。


          Xilinx公司提供的報告指出,NP最初被用于設(shè)計網(wǎng)絡(luò)設(shè)備中的現(xiàn)成器件,這些器件在各方面提供靈活性和擴(kuò)展性的同時,還提供了充分的性能。大多數(shù)NP均帶有多種經(jīng)過優(yōu)化的嵌入式RISC CPU以及適用于通用分組處理功能的類ASIC硬件電路。每個RISC引擎經(jīng)過優(yōu)化以執(zhí)行特定任務(wù)。 


          相對于NP,F(xiàn)PGA是對數(shù)據(jù)進(jìn)行高速并行處理的器件,具有更強(qiáng)的靈活性和擴(kuò)展性。TippingPoint公司技術(shù)經(jīng)理李臻表示,在其公司IPS產(chǎn)品中采用的 Virtex-II Pro FPGA芯片,已經(jīng)包含了高性能的可編程架構(gòu)、嵌入式PowerPC處理器和3.125Gbps收發(fā)器。通過增強(qiáng)網(wǎng)絡(luò)特性,F(xiàn)PGA可提供高性能的數(shù)據(jù)和安全控制處理功能。目前,網(wǎng)絡(luò)處理內(nèi)核和分組處理參考設(shè)計均適合于采用FPGA平臺設(shè)計。此外,F(xiàn)PGA還支持所有的通用并行(單端和差動)和串行系統(tǒng)接口標(biāo)準(zhǔn),以使其輕松地與任何協(xié)議進(jìn)行接口并與線路卡上的任何器件相連。


          Xilinx公司的FPGA解決方案專家Anil認(rèn)為,在網(wǎng)絡(luò)安全產(chǎn)品的開發(fā)中,盡管二層和三層處理在ASIC中很容易實現(xiàn),但為了在類似的傳輸流中區(qū)分不同的優(yōu)先級,還需要在四層和五層中進(jìn)行更深層的分組處理。而FPGA僅僅需要一塊芯片就可以更深入地處理這些分組,不僅降低了軟件的復(fù)雜度,而且降低了功耗(相比于NP或ASIC)。這是因為FPGA中的硬件并行處理完全可以同RISC的處理方法相媲美。


          另外,在網(wǎng)絡(luò)安全產(chǎn)品設(shè)計中,升級性仍然是關(guān)鍵問題之一,而這包括了產(chǎn)品體系結(jié)構(gòu)的軟、硬兩個方面?!笆聦嵣?,相對于NP開發(fā)中的軟件難以移植問題,無疑增加了設(shè)計上的風(fēng)險?!?nbsp;Anil表示,“FPGA擁有標(biāo)準(zhǔn)化的基于平臺和工具集方法的工具,可以實現(xiàn)軟件在各代FPGA中的無縫移植。而在硬件方面,NP只在處理器中提供可編程特性,其類似ASIC的定制硬件并不能直接進(jìn)行編程,而FPGA則要輕松許多?!?


          IPS上的奇葩


          基于FPGA的特性,在IPS上采用的FPGA技術(shù)最為有代表。TippingPoint的技術(shù)經(jīng)理李臻表示,在IPS中FPGA擅長把一些安全特征轉(zhuǎn)化成邏輯,在實現(xiàn)過程中能夠同時配批上千條規(guī)則,其并行速度超過普通CPU,而且相對于并行ASIC,其靈活性占有較大優(yōu)勢。畢竟,各種安全攻擊的變化很快,也許今天寫的過濾器一個月后就要改寫了。


          同時,對于IPS這種采用In Line模式的設(shè)備,必須保證最小的誤報與漏報率,而基于FPGA實現(xiàn)的移動偏移量檢測,則是必須的手段。因為對攻擊來說,一般都是混合在正常的網(wǎng)絡(luò)流量中。換句話說,其在一個IP包里面的位置(偏移量)是不固定的。


          一般IPS需要在流量中不斷尋找可疑特征,以便引起觸發(fā)機(jī)制,但要注意,這個可疑特征不一定就是攻擊行為。因此IPS必須抓到大量的可疑特征,然后交給CPU進(jìn)行驗證,以便判斷是否為攻擊。但在這個過程中,最關(guān)鍵的一點就是,這個抓取可疑特征的速度一定要快,否則就會導(dǎo)致漏報。因此如果僅靠CPU做所有的工作,其速度無法保證。而利用FPGA的高速度幫助進(jìn)行基層篩選,然后交由CPU確認(rèn),就可以最大限度地確保設(shè)備架構(gòu)的優(yōu)化。


          “在整個特征抓取過程中,偏移量可以是不定的,比如內(nèi)容字節(jié)的不定長度。而NP一般只能進(jìn)行固定偏移量的抓取,比如從IP包頭結(jié)束開始56個字節(jié)地方有特征,然后去查找。但如果需要對整個PageLoad里面1500個字節(jié)都掃描一便,NP的開銷太大。FPGA利用哈希算法來控制,從PageLoad中取片斷,然后做算法,再到表里面去查?!崩钫檎f。


          另外,他覺得在IPS中采用FPGA,可以最大程度保護(hù)用戶投資。這個投資保護(hù)分為兩個方面:第一,F(xiàn)PGA的性能優(yōu)勢具有良好的抗小包攻擊能力。因為對于X86架構(gòu)來講,基于中斷的CPU處理方式在對抗小包的時候性能損耗太大。其實這個也很好理解,一般安全設(shè)備保護(hù)的多為服務(wù)器,而服務(wù)器的CPU往往要比安全設(shè)備中用的好,如果服務(wù)器都擋不住小包,安全設(shè)備又如何防范?為此,用戶往往需要購買單獨的防御DDoS的設(shè)備,增加了安全成本。而相對于CPU,F(xiàn)PGA在這方面具備很強(qiáng)的性能優(yōu)勢。


          第二,F(xiàn)PGA的擴(kuò)展性較好。在的IPS中使用的FPGA往往有一定的預(yù)留性,比如一個常見的800萬門的FPGA芯片,一般實際使用僅為200萬門左右。預(yù)留的部分就是為了安全設(shè)備日后升級所用(甚至可以進(jìn)行不用重起的FPGA升級)。雖然使用CPU的安全產(chǎn)品也可以做到低利用率,但其壓力的承受與升級會有挑戰(zhàn)。比如在4G左右的吞吐率情況下,打開500條安全規(guī)則,配置2顆CPU。如果用戶線路的流量逐年增加,而微軟每月發(fā)布的漏洞也超過5個,其他的系統(tǒng)漏洞也不斷更新,而新的攻擊也會出現(xiàn),在這個情況下,一般不到一年就會增加到800條規(guī)則。而CPU利用率的預(yù)留很難在安全算法不斷變化的情況下界定,同時一旦CPU需要增加或者升級,其往往要帶動軟件設(shè)計的升級,以便更好的負(fù)載均衡或者任務(wù)分擔(dān),其復(fù)雜度也要超過FPGA。


          到期的契約?


          正如本文開頭所講的,F(xiàn)PGA并非職業(yè)殺手,其高速、靈活的特征在IPS上具有殺手級潛力,但在其他的安全領(lǐng)域則未必如此。對于目前發(fā)展如火如荼的UTM以及高端防火墻市場,體系架構(gòu)的爭論還是很激烈。

          WatchGuard亞太區(qū)技術(shù)總監(jiān)葉建輝認(rèn)為,ASIC的發(fā)展速度一定不及通用CPU,用來發(fā)展新一代ASIC的時間,通用CPU可能已經(jīng)經(jīng)歷三至四代。相應(yīng)的,F(xiàn)PGA的問題也是如此。所以公司決定采取通用CPU作為發(fā)展UTM安全平臺的架構(gòu)。從目前的情況看,通用CPU對比專用器件在處理一般安全功能方面沒有很大的性能差距,近期更有雙核這類高性價比技術(shù)的出現(xiàn),進(jìn)一步提升了CPU的性能。


          雖然FPGA與ASIC相比相對靈活,可以比較靈活地處理IDS/IPS及防病毒所需更新的簽名功能(Signature),但對如今市場對UTM的需求期望,無論是ASIC或FPGA都顯得無法靈活處理。


          他指出,在安全產(chǎn)品只提供防火墻及VPN功能的時代,ASIC的設(shè)計已經(jīng)足夠。雖然ASIC不夠靈活,但它可提供快速處理包過濾這類特定的功能。然后安全產(chǎn)品又加入了IDS/IPS及防病毒等需要快速模式匹配及更新簽名的功能,此時FPGA比較靈活的架構(gòu)就可派上用場。但如今UTM安全平臺除了以上的功能,還有防垃圾郵件、防間諜軟件及URL/內(nèi)容過濾等只有通用CPU來架構(gòu)會才能實現(xiàn)的功能。這些UTM功能不同防火墻/VPN/IDS/IPS,不是單一特定功能或模式匹配,所以用FPGA不能實現(xiàn)大幅提高性能的目的,而在通用CPU架構(gòu)上同時使用軟件可實現(xiàn)更高的整體性能。


          利用CPU架構(gòu),WatchGuard的智能分層安全引擎(ILS)在安全操作系統(tǒng)和軟件上整合了多種UTM功能。由于有很多攻擊并不針對某一項安全功能,智能分層安全引擎能在不同安全層面上互相溝通,所以更能有效的捍衛(wèi)受保護(hù)的網(wǎng)絡(luò)。 


          SINFOR的技術(shù)經(jīng)理葉宜斌認(rèn)為,X86架構(gòu)是實現(xiàn)UTM最好的平臺。因為大多數(shù)的網(wǎng)關(guān)型產(chǎn)品都采用這種模式。畢竟UTM的發(fā)展趨勢是一個設(shè)備中集中越來也多的功能,這個是要求需要很高的擴(kuò)展性,而內(nèi)容過濾也是目前CPU的強(qiáng)項。但他不排除今后會在中高端UTM產(chǎn)品中加入FPGA芯片。


          SonicWall北方區(qū)技術(shù)經(jīng)理蔡永生認(rèn)為,由于UTM的環(huán)境影響,很可能多內(nèi)核的安全處理器會更加有優(yōu)勢。因為為安全應(yīng)用而設(shè)計的多內(nèi)核安全處理器比FPGA有更大的靈活性。只要通過軟件升級,安全設(shè)備可以不斷地更新以防御最新的安全威脅,而且性能不比PFGA差。在此基礎(chǔ)上,利用一套高性能的DPI深度包檢測引擎,實現(xiàn)病毒,入侵和間諜軟件的掃描。


          另外,他始終認(rèn)為,對于大量部署的設(shè)備而言,讓客戶升級FPGA是有難度的,而且存在燒寫限制。不過在這一點上,TippingPoint指出其數(shù)字疫苗方式(類似Signature)非常便于用戶下載、升級,且每周一次的疫苗發(fā)布不會突破FPGA的壽命。


          作為近兩年在安全領(lǐng)域突飛猛進(jìn)的本土企業(yè)代表,神州數(shù)碼網(wǎng)絡(luò)的安全技術(shù)經(jīng)理王景輝認(rèn)為,在不同的需求和不同的環(huán)境下,安全廠商會根據(jù)自己的產(chǎn)品定位來選擇相應(yīng)的技術(shù)手段。不過對于不同的技術(shù)本身,他覺得也許不存在好與壞的差異。


          據(jù)悉,在神州數(shù)碼網(wǎng)絡(luò)最新推出的UTM產(chǎn)品中,采用的也是X86架構(gòu),其核心在于保證性能與多功能的前提下,實現(xiàn)最豐富的應(yīng)用。他認(rèn)為對于安全產(chǎn)品,特別是具有內(nèi)容控制的產(chǎn)品,必須提供靈活與使用便利的能力,同時還要為用戶提供優(yōu)秀的性價比。在目前情況下,F(xiàn)PGA的高成本與低功能集成特征,無法滿足UTM的需要。


          同時,他也指出,目前國內(nèi)市場上的UTM產(chǎn)品主要集中在中低端的100M左右產(chǎn)品,在這個吞吐率下,使用X86架構(gòu)不會帶來瓶頸,相反還可以提供更加靈活的部署方案。而如果今后隨著雙核技術(shù)以及CPU技術(shù)的進(jìn)一步發(fā)展,加上對吞吐率要求的提高,不排除會在相關(guān)產(chǎn)品中加入FPGA的可能性,但這還是要看市場的發(fā)展。


          另外,神州數(shù)碼網(wǎng)絡(luò)的產(chǎn)品經(jīng)理楊雁群表示,利用X86架構(gòu)不僅可以獲得高功能集成,而且可以利用軟件確保與周圍設(shè)備的聯(lián)動配合。目前神州數(shù)碼網(wǎng)絡(luò)打算將UTM產(chǎn)品部署到自己的全網(wǎng)安全解決方案當(dāng)中,以便獲得最佳的安全性與易用性。


          作為在眾多安全領(lǐng)域都有涉足的Juniper,其產(chǎn)品線涵蓋了防火墻、VPN、IPS/IDS、UTM等多個領(lǐng)域,而在不同的產(chǎn)品中,CPU、NP、ASIC、FPGA也都有使用。


          Juniper技術(shù)經(jīng)理王衛(wèi)對于不同技術(shù)在安全產(chǎn)品中的應(yīng)用看得十分清楚,他覺得各種技術(shù)、體系架構(gòu)就像一個個名詞,本身沒有優(yōu)劣之分,只有在不同環(huán)境下,不同產(chǎn)品中,采用最適合技術(shù)的選擇。


          比如高端防火墻的吞吐率可以達(dá)到30G,而在這個模式下,沒有用戶會去考慮其防病毒的特點,因此用ASIC來實現(xiàn)無疑是合適的。如果用X86架構(gòu)做,也許滿滿一機(jī)箱的CPU也能做到,但是成本、功耗都是大問題。同樣的道理,如果僅僅是一款百兆防火墻,純粹的CPU可以獲得最佳的性價比。


          但他覺得目前爭論的焦點在于百兆防火墻和千兆防火墻的入口,多種技術(shù)會有交叉。因此出現(xiàn)CPU+NP+ASIC的架構(gòu)就不足以為怪。而FPGA也是同樣的道理,對于千兆以上,萬兆以下的產(chǎn)品,F(xiàn)PGA有可能,但前提是成本。其實很多高端產(chǎn)品在設(shè)計模擬階段用FPGA,但是固定下來后會燒成ASIC。不過到達(dá)萬兆甚至更高,則很難說了。


          總而言之,他覺得在安全產(chǎn)品中,變化可能性較高的產(chǎn)品用FPGA比較合適,而UTM則基本與FPGA無緣,因為相對來說,這么多年來查病毒就是CPU做的比較好。


          最后,王衛(wèi)提出了一個非常有意思的觀點:可編程器件的界限會越來越模糊,ASIC已經(jīng)可以編程,NP和FPGA更加加強(qiáng)了這方面的能力,未來可變化的能力各種體系都有,將來任何一種手段都可以實現(xiàn)靈活的能力。因此未來在體系結(jié)構(gòu)選擇中,依然會是:在什么環(huán)境下,什么吞吐能力下,選擇最合適的技術(shù)。


          百家爭鳴的體系架構(gòu)設(shè)計


          Juniper

          CPU、NP、ASIC、FPGA各種體系架構(gòu)都有使用,認(rèn)為安全產(chǎn)品可以分為100M、100M--1G、1G--10G、10G以上四個階段,每個階段的芯片選擇與架構(gòu)設(shè)計具有明顯的特點。


          神州數(shù)碼

          另一家具有全系列產(chǎn)品的網(wǎng)絡(luò)廠商,希望借自身的全網(wǎng)安全方案將防火墻、VPN、IDS、UTM以及桌面保護(hù)系統(tǒng)進(jìn)行整合,同時將在多種架構(gòu)中進(jìn)行最適合的取舍,確保整體安全方案的聯(lián)動與優(yōu)化。


          SINFOR

          在UTM與VPN中頗有實力的本土廠商,分別擁有X86架構(gòu)和NP+ASIC架構(gòu)兩條線的產(chǎn)品,并對FPGA很感興趣。


          SonicWall

          出色的防火墻及UTM廠商,對雙核技術(shù)分析得很透徹,認(rèn)為多內(nèi)核安全處理器將會促使FPGA的殺手契約到期,同時擁有專利的DPI技術(shù)。


          TipingPoint

          業(yè)界公認(rèn)的最強(qiáng)IPS制造商,唯一獲得NSS評測金獎的IPS廠商,憑借在FPGA上的技術(shù)優(yōu)勢,取得了很大的轟動效應(yīng),據(jù)悉即將推出基于FPGA的萬兆IPS。


          WatchGuard

          一家優(yōu)秀的UTM廠商,而且一直表示將進(jìn)軍國內(nèi)的高端應(yīng)用市場,因此非常關(guān)注UTM在應(yīng)用上的全功能性,有專利的ILS技術(shù)。




          關(guān)鍵詞: FPGA專題 FPGA專題安全 安全

          評論


          相關(guān)推薦

          技術(shù)專區(qū)

          關(guān)閉
          看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线 欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();