浅谈网络安全的硬件设备·概述随着互联网的飞速发展，基于互联网的各种应用也无处不在，对于网络安全的功能和性能的要求也越来越复杂和越来越高。

现今的网络安全产品，已经从过去单一的防火墙和VPN，到入侵检测，到增加了防病毒功能的UTM,再到现在基于行为和内容管理的下一代防火墙。

从过去的百兆产品到了千兆产品，而现在对万兆产品的需求也越来越大。

有很多人很容易混淆网安产品和通讯产品，往往觉得网络安全产品和通讯产品的交换机，路由器差不多，最多就是在通讯产品增加了安全功能。

其实这是非常错误的，简单来说一般的通讯产品只对三层内的协议进行分析、处理和转发，而网络安全产品就是要对三层和三层以上的数据及内容进行分析、处理和转发。

传统通讯产品一般会把处理机制分成两个层面，一个数据层，一个是管理层。

数据层主要是对数据包进行转发，而管理层只是对三层以内的数据特别是包头处理，例如建立各种转发的表项等，等管理层面处理完之后或者连接建立以后，发给数据层进行转发。

而同一个数据连接的数据包就不需要再经过管理层就可以直接进行转发了。

这样的机制就大大提高了数据的转发效率和传输能力。

所以传统的通讯设备往往能到千兆线速、万兆线速的性能，其数据层一般是由交换芯片实现，而管理层则由CPU(处理器)来实现。

因为传统的通讯产品对三层以上的数据基本不做处理，所以他们对CPU处理能力特别是运算能力要求不是很高。

而网络安全产品因为要对三层以上的数据包进行处理，不能单纯的分为数据层和管理层，数据层和管理层是相对比较模糊的，数据包需要经过大量分析和处理之后才能进行转发。

应该分为数据层和处理层，所以要求其有很高的转发能力和处理能力。

·硬件架构技术发展历程早期X86基于以上特性，最先应用于网络安全的硬件架构产品是基于CISC(复杂指令集)即x86处理器的产品。

为什么是x86架构呢？首先要从操作系统说起，网络安全产品很多都是基于Linux开发，因为Linux系统内已经嵌入很多基本的网络安全模块比如防火墙功能等，再者因为是开源的缘故使后续的很多安全功能很容易加载在系统之上。

而我们也知道所谓的x86系统，主要是基于Int el架构的硬件系统，而这种系统在PC上得到了最广泛的应用。

早期的x86产品主要是由CPU、北桥和南桥三部分组成，CPU(处理器)进行数据处理，北桥挂内存和图像处理器，南桥挂各种I. O接口。

这种架构有利于复杂图形数据处理和各种数据处理，再加CPU的主频不断提高使其处理能力很高但功耗也很高。

由于I.O一般都采用传统的PCI总线上挂载网卡的方式，而且总线上会挂载多个PCI设备使本来带宽就不大的总线开销大大增加，所以传输数据包的效率就大大降低。

以33MHz 32位PCI总线上挂载4个PCI网卡来说，经过测试64Byte小包只有20MByte的性能，大包也不能达到百兆线速。

〃PowerPC由于X86架构上的这些问题，后来出现了RISC处理器，就是精简指令集处理器。

首先是飞思卡尔的PowerPC处理器，此处理器是SOC架构，把内存管理器和所有的I/O都集中在一个芯片上，而且使用了像GMII/SGMII/Xauio等高速通讯总线，大大提高了包传输效率。

PowerPC是一种R ISC多发射体系结构，飞思卡尔凭借其Power PC架构的系列处理器霸守在通信处理器市场，优点是PowerPC的指令格式简单统一，长度固定，寻址方式也经过优化，提供了更高级的扩展能力。

在硬件规模相当的情况下，RISC处理器可比CISC处理器的速度快40%—70%不等。

而且对于处理必须的纠错能力和安全性能来说，RISC先天具有非常好的发挥空间。

实时嵌入式操作系统，飞思卡尔的PowerQUICC系列处理器由嵌入式的PowerPC核和通信处理模块CPM两部分集成而来。

这种双处理器的结构由于CPM承接了嵌入式Power PC核的外围接口任务，另外支持微码复用，比较适合在通信行业使用。

因为有以上的特点使得PowerPC的转发能力非常强，一般在单纯转发的情况下可以达到千兆线速。

缺点是：由于RISC结构的特点，硬件和软件的兼容性都不强，运算能力比CISC低。

近年来PowerPC也推出了多核的产品，但由于以上的特性主要还是在通讯类产品应用很多，而在网络安全上的应用很少。

缺点：1）主频低，一般不到2 G，计算能力要弱于X86，不适合用在IPS、UTM等对内容层处理较高的应用。

2）PowerPC主要流行的实时操作系统Vxworks已经被竞争对手Intel收购，飞思卡尔准备走两条路：一条是与其它实时操作系统厂商更紧密的合作；另一个将会寻求在Linux上开发实时操作系统。

3）多核方面以及计算能力不如X86和Mips发展好，不适合做高端防火墙以及IPS等产品4）由于RISC结构的特点，硬件和软件的兼容性都不强。

MIPS近年来出现了另外一种RISC结构处理器-MIPS,由于过去的x86平台不能做到64Byte小包转发性能到线速，而一些小规模的新型公司抓住了这个机会，发展出多核MIPS处理器，以弥补x86的不足。

MIPS处理器有以下的特点：1)MIPS多核基于精简指令集，运算能力一般，转发能力强，将来的发展趋势仍然是提供强的转发能力，适当提高运算能力，将来支持单周期多指令，支持浮点数运算；目前两主要芯片厂商如Cavium公司及Netlogic (原RMI) 公司均采用的是Mi ps架构，其中Cavium公司已经推出16核CPU，每个核的主频为600MHz，总的处理能力可达9.6GHz，新一代的OCTEON II系列,支持1至32个Core,最高主频为1.5G；而RMI公司也推出了8核CPU，每个核的主频为1.2GHz，总的处理能力也达到了9.6GHz，下一代即将推出XLP 系列8核32线程,主频2.4G。

2)网口总线采用通讯设备用的SGMII, XAUI等高速总线，使数据包不用通过中断而直接传送到CPU进行处理和转发，大大提高了转发性能。

3)为了弥补运算能力的不足，内嵌了Ipsec,SSL等加密引擎，使VPN的性能得到很大的提高。

Cavium芯片还内嵌了正则表达式引擎，主要是内容对比功能，但由于能放置的规则库太少，而且非常难用，所以只能在测试是跑少量的病毒或IPS规则能发挥一些作用，但在实际运用中是很难表现出效能的。

4)功耗低；X86是针对计算机应用的通用CPU，为通用性计算设计，主频、Cache、浮点运算等都增加了功耗，一般为了增加10％～15％的计算能力，就会增加15~20W的功耗。

MIPS多核处理器针对嵌入式应用，一方面要求功耗低，另一方面与其他元器件的整合性相比要高的多。

相比之下，MIPS多核处理器的功耗一般不会超过30W。

缺点：1）虽然是多线程技术，但是是单发射流水线，在本身软件已经针对Cache优化的比较好的情况下，这种多线程技术没多大用处。

2）虽然转发能力好，但运算能力差，对于要求高运算能力的报文处理能力低下，比如VPN,内容过滤和防病毒运用性能很差；虽然，加上了内容对比引擎但因为配置的不灵活，无法发挥其效能。

·硬件架构技术发展趋势现在回头再谈谈CISC架构在近几年的发展。

Intel对南北桥架构进行了很大改变，去掉了北桥，把内存直接挂在处理器上，这样大大提高了内存的处理效率。

对I.O带宽进行了很大的提升，由原来的PCI并行总线提高到PCIE的高速串行总线，带宽一下提升到了2.5Gbs/通道，而最新的P CIE三代带宽已经到达8Gbs/通道，处理器由原来的单核多线程也发展到了多核多线程。

这样的架构突破了过往的I.O瓶颈，把内存控制器集成到CPU内，又大大提供了内存访问效率，从而使转发效能已经和RISC处理器一样或者更高，而且延时也大大降低。

这样的架构，也使通讯系统数据层和控制层可以在x86系统内得以很好的实现。

下面列举一些x86系统这几年推出的技术：1. 64位处理器技术这里的64位技术是相对于32位而言的。

64bit处理器并非现在才有的，目前主流CPU使用的64位技术主要有AMD公司的AMD64位技术、Intel公司的EM64T技术和Intel公司的IA-64等技术。

2. 超线程技术多线程技术可以在支持多线程的操作系统和软件上，有效的增强处理器在多任务、多线程处理上的处理能力。

3. 多核技术由于CPU的主频不断提升，功耗不断增加，流水线过长和工艺水平的限制导致单核处理器出现瓶颈。

随之AMD和Intel推出了能够普及应用的多核处理器；多核心微处理器允许一个计算设备在不需要将多核心包括在独立物理封装时执行某些形式的线程级并行处理（Thread-Level Par allelism，TLP），这种形式的TLP通常被认为是芯片级别的多处理（Chip-level MultiProcessing，CMP）。

x86多核处理器标志着计算技术的一次重大飞跃。

现在的处理器已经可以支持8个以上的核心，及4个以上的超线程，下一代软件应用程序将会利用多核处理器飞速发展。

4. 主动管理技术英特尔主动管理技术为提高IT效率清除了主要障碍：缺乏独立于平台的网络控制和通信标准。

其优势包括：通过更准确的资产管理报告，有可能节省大量资产管理和客户机支持费用，以及每年签署维护合同产生的额外费用。

5. 虚拟技术作为一项诞生于40多年前的技术，实践证明虚拟化能够给企业带来诸多好处。

整合遏制服务器蔓延，破解利用率困局，让数据中心更可靠，有效减少TCO6. DDI/O 加速技术英特尔DDI/O加速技术的主要特性表现为：可操作性、可升级性和可靠性。

英特尔的I/O 加速技术是在“加载”方案下衍生出来的平台化网络I/O加速技术，该技术在英特尔推出的SandyBrid ge架构的处理器产品中得到了集中体现。

新的I/O加速通过增添芯片组和网卡来管理Cache和内存交易。

·架构之间的较量基于以上的处理器特性，Intel推出了DPDK(Data Plane Design Kit)软件包，在Intel的多核架构下，把处理器的内核按照需求灵活的分配为数据层和处理层。

这样的软件架构，既能达到快速转发的效能，也能达到高速运算的性能。

在将数据包经过处理层快速处理之后，经过数据层快速转发，从而形成一个非常高效的机制。

而RISC处理器虽然有很多内核，但由于运算能力低下，无法对7层以上的数据包进行高速有效的处理，致使性能无法与x86抗衡。

对于RISC特别是M IPS处理器，我们可以做一下对比：1. 转发能力在intel Sandy bridge平台下，通过DPDK的作用使用单CPU即可达到40Gbps以上的转发能力。

而MIPS的Cavium58XX 用全部16个内核做转发性能也只有20Gbps，但已经没有其余的内核进行包处理了。