近几年来,伴随着互联网的高速普及和社会化发展,用户不仅仅是信息的浏览者,同时也是信息的制造者。这些信息所带来的价值,让更多的黑客们不再仅仅局限于传统的破坏式攻击,更多转为了通过系统漏洞针对有价值信息的篡改、窃取。而这些攻击手段已经是传统状态防火墙所不能拦截防御的。作为安全防护的第一道防线,下一代防火墙的出现,不仅继承了传统状态防火墙的全部功能,同时具备多种应用层过滤技术,以面对用户日益增长的业务流量和隐藏在应用层之中的攻击。网神下一代极速防火墙产品运营总监陈超在规划网神下一代极速防火墙产品功能的同时,也深刻的感觉到下一代防火墙强大的功能,要求产品不仅需要强大性能支撑,更要做到应用层处理的准确和快速。否则,极大的转发延迟即便保证了用户的业务安全,也无法保证用户的业务正常进行。
依赖于多核技术的成熟和硬件的高速发展,大部分的下一代防火墙产品可以采用多核架构并通过硬件的堆叠来提升产品处理速度及整机性能,但传统的多核架构由于设计上的不足,因此靠硬件的堆叠仍然无法解决软件层次上的瓶颈问题,同时还会提高整机的成本及能耗。
在网神下一代极速防火墙总架构师王刚的带领下,网神下一代极速防火墙团队充分调研市场上主要的防火墙产品及下一代防火墙多采用的SMP架构后,总结出传统SMP架构下产品的三大不足。同时通过改进传统多核SMP架构产品的三大不足,网神下一代极速防火墙团队研发出更加优化的多核并行处理AMP+架构,让网神下一代极速防火墙实现了CPU利用的最大化,并提升了应用层处理速度,极大的缩短了整机转发延迟。
l 改进一:异步并发的无锁化工作体系
传统多核SMP架构下产品,第一大不足就是CPU在进行用户数据处理过程时,会被系统某些重要资源(如逻辑资源)占用,原本在处理的数据进度会因为系统的保护机制而被锁定(有锁化),这样原本的数据处理就会进入等待状态,待重要资源处理完毕后锁定解除再继续进行。有锁化最直接的表现就是用户数据处理时间变长,转发延迟增大。
网神下一代极速防火墙采用的多核AMP+架构,将网神下一代极速防火墙整体分为了三大部分:配置管理平面、控制平面、数据平面,每个平面负责各自不同的任务,实现整体异步处理体系。同时严格限制了系统中对重要资源的定义。CPU不再会频繁被重要资源占用。这样,在用户数据处理的过程中,就最大限度的保证了数据处理过程的不间断。在异步并发的无锁化工作体系下,用户数据处理的时间大大缩短,转发延迟也大大降低。
l 改进二:更优化的网口数据收发处理技术
传统多核SMP架构下产品,第二大不足就是为了实现CPU的并行处理,在SMP架构下网口的数据收发处理会与CPU进行人为的绑定。如网口1的数据收发处理由CPU1完成,网口2的数据收发处理由CPU2完成,这样,当网口1和网口2都存在数据收发时,CPU1和CPU2就能实现并行处理。但是这样的处理方式,在网口故障或闲置时,与之绑定的CPU就会闲置,在数据收发处理上,CPU的利用其实并没有实现最大化,另一方面,当某个CPU故障时,与之绑定的网口数据就无法再继续进行处理。
网神下一代极速防火墙采用的多核AMP+架构,优化了网口数据收发处理,CPU不再与网口进行绑定,而是由CPU0来负责将网口的收发包队列根据数据平面上CPU的个数平均分配到每个CPU上,这样就保证了数据平面CPU的并行度,无论有多少个网口存在数据收发,都能让数据平面上所有CPU工作,实现了CPU利用的最大化。当某个网口闲置或故障时,不影响CPU0对数据收发包队列的平均分配,CPU的利用仍然是最大化的。另一方面,当某个CPU故障时,网口收发包队列仍然平均分配给正常工作的剩余CPU,不影响网口数据收发处理,在架构层级上提高了设备的可靠性。而实现CPU利用的最大化,就是为了实现数据处理效率的最大化。
l 改进三:单引擎一次性数据处理技术
传统多核SMP架构下产品,第三大不足就是传统防火墙或UTM大多以Linux系统为基础,数据的基本转发功能做在Linux系统的内核部分,高级功能(例如IPS、防病毒、内容过滤等)都做在用户空间,这样就会导致在运行高级防护时,数据需要从内核送到用户态,处理完后再从用户态送回内核,然后再发送出去。这样做的最直接问题就是增大了应用层数据的处理时间及转发延迟,这也就是UTM产品在开启应用层处理功能之后,转发延迟大大提升的原因。
网神下一代极速防火墙采用的采用的多核AMP+架构,使用了单引擎一次性数据处理技术,整个数据的接收、数据的处理(包括应用识别、入侵防御等高级功能),数据的发送,都在数据平面完成,不涉及数据包的拷贝,进程切换等问题。同时数据的处理在整个转发阶段都使用同一个会话。这就极大的提高了应用层的处理速度,降低了整体数据转发的延迟。
在网神AMP+架构针对传统多核SMP架构产品的改进和优化设计的支持下,网神下一代极速防火墙同时采用了经过市场近十年考验完全自主知识产权的网神第三代SecOS操作系统,减少了因操作系统漏洞带来的安全性问题,以及操作系统升级、维护对防火墙功能的影响。同时也减少了因为硬件平台的更换带来的重复开发问题。配合多核AMP+架构本身实现的架构层级的冗余,第三代SecOS操作系统基于自主研发的多冗余备份系统Multi-HA架构在系统上又为网神下一代极速防火墙提供了一个来自系统层级的冗余,更进一步提高了设备的可靠性。
历时三年,沉下心静,从基础做牢。AMP+架构使得网神下一代极速防火墙在整机性能和处理速度上突破了传统SMP架构下的软件性能瓶颈,让网神下一代极速防火墙不用依靠硬件的堆叠,单板处理性能就能达到160G,为网神下一代极速防火墙的多种应用层过滤技术提供了坚实的性能基础。在面对多种多样的网络攻击及未知的攻击威胁下,网神下一代极速防火墙让用户的安全产品不再成为网络转发中的负担,而是实实在在的防护。
