依托FPGA開(kāi)發(fā)高性能網(wǎng)絡(luò )安全處理平臺

通過(guò)FPGA來(lái)構建一個(gè)低成本、高性能、開(kāi)放架構的數據平面引擎可以為網(wǎng)絡(luò )安全設備提供性能提高的動(dòng)力。

隨著(zhù)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，性能成為制約網(wǎng)絡(luò )處理的一大瓶頸問(wèn)題。FPGA作為一種高速可編程器件，為網(wǎng)絡(luò )安全流量處理提供了一條低成本、高性能的解決之道。

網(wǎng)絡(luò )安全的核心任務(wù)之一是對IP流量的解析、識別和處理，也就是在IP網(wǎng)絡(luò )通信中經(jīng)常提到的“數據平面”。網(wǎng)絡(luò )通信數據平面具備如下特點(diǎn)：1.需要處理多種物理層接口，隨著(zhù)安全的觸角向網(wǎng)絡(luò )核心延伸，網(wǎng)絡(luò )安全設備需要面對的網(wǎng)絡(luò )接口也在向高端延伸，從低端的100M/1000M以太網(wǎng)向高端的萬(wàn)兆以太網(wǎng)甚至城域網(wǎng)級別的2.5GPOS（接口）、10GPOS乃至40GPOS接口延伸；2.數據平面處理流程在網(wǎng)絡(luò )層(IP)和會(huì )話(huà)層(TCP/UDP)相對標準化；3.數據平面需要具備分析處理應用層(L7)內容的能力，而應用層分析的算法，如內容匹配、特征識別等將需要巨大的計算能力。

應對五大技術(shù)挑戰

恒揚科技是一家專(zhuān)注于為網(wǎng)絡(luò )安全廠(chǎng)商提供高性能網(wǎng)絡(luò )通信數據平面基礎平臺的技術(shù)型公司。正是由于數據平面的上述特點(diǎn)，我們認識到，通過(guò)FPGA來(lái)構建一個(gè)低成本、高性能、開(kāi)放架構的數據平面引擎可以為網(wǎng)絡(luò )安全設備提供性能提高的動(dòng)力。要實(shí)現這樣一個(gè)引擎，需要應對如下技術(shù)挑戰：

1.需要具備多種接口上高速網(wǎng)絡(luò )報文的處理能力：安全解決方案正在和網(wǎng)絡(luò )通信融合，這種融合必然要求網(wǎng)絡(luò )安全應用不再拘泥于簡(jiǎn)單的100M、1000M局域網(wǎng)接口，針對處理類(lèi)似POS接口上的城域網(wǎng)、廣域網(wǎng)流量，處理正在成為應用主流的10G接口乃至40G接口，每一代新的FPGA都提供了更豐富的接口，性能也不斷提高?，F在FPGA可提供大于1Gbps的LVDS（低壓差分信號）接口，高速SERDES（并串行與串并行轉換器）接口則可支持高達10Gbps的速率，再加上FPGA的可編程特性，使得設計者可以快速地響應新的接口標準，推出自己的產(chǎn)品。而FPGA內部資源的不斷增加，則允許設計者在不斷增加的網(wǎng)絡(luò )帶寬面前，仍然可以開(kāi)發(fā)出實(shí)現多種安全處理的設備。

2.單板密度、功耗要求：一直以來(lái)，FPGA都在快速發(fā)展當中，密度更高，接口類(lèi)型更豐富，性能更高。因此，FPGA可支持更多的功能，單板的密度也得以增加。在傳統的認知中，FPGA常常被掛上高功耗的標簽。其實(shí)，現在情況正在發(fā)生變化。舉例來(lái)說(shuō)，FPGA廠(chǎng)家已經(jīng)成為IC新生產(chǎn)工藝的應用先驅?zhuān)谥髁髌骷校?5nm和40nm工藝已經(jīng)被廣泛應用。當從90nm工藝轉到65nm工藝時(shí)，FPGA的核心電壓從1.2V降到1.0V，動(dòng)態(tài)功耗就下降了30%。同時(shí)，FPGA廠(chǎng)家在新一代的器件中都不斷地進(jìn)行著(zhù)結構上的優(yōu)化。此外，我們結合多年FPGA應用設計的經(jīng)驗，可以在架構設計、算法優(yōu)化、設計優(yōu)化上不斷調整性能和功耗的平衡，實(shí)現最優(yōu)配置，從而進(jìn)一步降低功耗。

3.高效處理基礎網(wǎng)絡(luò )業(yè)務(wù)：通過(guò)FPGA識別并管理網(wǎng)絡(luò )會(huì )話(huà)，可以極大地降低CPU識別跟蹤會(huì )話(huà)需要消耗的計算能力。在我們的芯片中，實(shí)現了網(wǎng)絡(luò )層和會(huì )話(huà)層協(xié)議分析和跟蹤算法，同時(shí)，通過(guò)對內存訪(fǎng)問(wèn)算法和內存控制器的優(yōu)化，我們的單顆芯片中最高可以實(shí)現10G線(xiàn)速(小包)的會(huì )話(huà)建立和跟蹤能力。

4.DPI（深度包檢測技術(shù)）能力：業(yè)界已經(jīng)有很多廠(chǎng)家嘗試用FPGA芯片或者ASIC芯片實(shí)現一個(gè)完整的正則表達式搜索，但因為各種各樣的原因，其并沒(méi)有在網(wǎng)絡(luò )安全領(lǐng)域被大規模應用起來(lái)。我們用FPGA算法和TCAM（高速路由查找技術(shù)）器件互相配合，并結合流管理算法，可以實(shí)現超過(guò)4G的全流量字符串特征匹配，為DPI應用提供了一個(gè)低成本、輕量級的流量捕獲引擎。

5.以需求和成本為核心靈活進(jìn)行方案選擇和遷移：根據接口、性能要求的不同，只有靈活選擇合適的芯片才能讓這個(gè)方案具備成本上的競爭優(yōu)勢。我們通過(guò)對IP庫的建設，逐步形成了一套可以靈活裁減、擴充和移植的IPCore功能集合，而各種接口和性能規格的數據平面引擎總可以根據成本的需求，在成熟代碼庫的基礎上快速組合而成，有效地兼顧了需求、成本、研發(fā)周期和產(chǎn)品成熟度。

數據平面引擎助推應用

一個(gè)好的基于FPGA的數據平面引擎并不僅僅是一套IPCore的組合，更重要的是它必須是一個(gè)可以讓用戶(hù)直接應用起來(lái)的軟硬件實(shí)體。FPGA應用在網(wǎng)絡(luò )安全領(lǐng)域已經(jīng)叫好很多年了，但一直沒(méi)有像X86一樣流行起來(lái)，一個(gè)主要的原因就是從技術(shù)到產(chǎn)品的進(jìn)入“門(mén)檻”太高。如何將IPCore變成實(shí)體的硬件，如何將這樣一個(gè)硬件平臺和廠(chǎng)商既有的成熟軟件平臺緊密結合？只有回答了這個(gè)問(wèn)題，FPGA在網(wǎng)絡(luò )安全領(lǐng)域的應用才可能真正實(shí)現應用規模的突破。

恒揚科技提出的“數據平面引擎”就是希望能夠為網(wǎng)絡(luò )安全應用的開(kāi)發(fā)廠(chǎng)商提供一套直接可用的、開(kāi)放的硬件平臺：一方面，用以FPGA技術(shù)為核心開(kāi)發(fā)標準的網(wǎng)絡(luò )接口和處理卡來(lái)實(shí)現這個(gè)數據平面，如可以和服務(wù)器、工控機結合的PCI-E插卡，可以和cPCI、ATCA結合的工業(yè)標準插卡，網(wǎng)絡(luò )安全廠(chǎng)家可以非常方便地將它們和運行自己軟件的X86結合到一起，以完全相同的一套X86軟件實(shí)現從低端千兆到高端10G乃至核心40G的安全應用；另一方面，通過(guò)軟件應用開(kāi)發(fā)包的方式把FPGA實(shí)現的業(yè)務(wù)功能開(kāi)放給網(wǎng)絡(luò )安全應用開(kāi)發(fā)廠(chǎng)商，應用廠(chǎng)商完全可以在不對現有X86軟件應用進(jìn)行大修改的前提下方便地集成FPGA的功能，有效降低應用開(kāi)發(fā)廠(chǎng)家的研發(fā)成本和研發(fā)風(fēng)險。

回顧并放眼網(wǎng)絡(luò )安全應用領(lǐng)域，FPGA以其可編程、高性能的特性，正在成為網(wǎng)絡(luò )安全數據平面開(kāi)發(fā)者的首要選擇之一。然而，只有將數據平面引擎實(shí)體化、標準化，使其成為像網(wǎng)卡一樣簡(jiǎn)單、易集成、易應用的標準組件，FPGA和高性能硬件平臺才可能實(shí)現在這個(gè)領(lǐng)域的規?；瘧?。隨著(zhù)網(wǎng)絡(luò )安全產(chǎn)業(yè)鏈中提供標準化中間件的廠(chǎng)商逐步成熟，高性能網(wǎng)絡(luò )安全應用也一定會(huì )加速發(fā)展。