防火墙：多核，指引安全未来

更高的要求，更大的挑战

随着Web2.0、移动互联网等IT新技术的飞速发展，网络正在改变着人们的生活。同时，对网络安全产品提出了更高的要求和更大的挑战，其中最突出的有两点：

1. 更高的IO吞吐性能。性能是个永恒的话题，随着越来越多的视频、语音等多媒体数据在网络上传输，越来越多的P2P、IM应用的广泛开展，如今的信息量和传统的文本形式相比呈现指数级增长，网络带宽一扩再扩。新的形势，要求安全设备具备更高的IO吞吐性能。

2. 更强的应用层数据处理能力。随着网络应用的日益复杂化和多样化，层出不穷的网络攻击逐步由网络层和传输层向应用层转变，由固定端口协议向非固定端口协议转变，由协议固定报头向深度协议报文转变。新的形势，要求安全产品具备更强的应用层数据处理能力。

[[4321]]

2004年，告别Pentium时代，Intel推出Core 2双核处理器

2005年，Cavium、RMI相继推出商用的MIPS多核处理器

2007年，Checkpoint率先发布基于x86多核的Power系列产品

2008年，Cisco、Juniper相继发布多核系列安全产品

应对这些要求和挑战，传统架构的安全产品准备好了吗？

架构之争，多核指引未来

从本质上来说，网络设备主要解决两个问题：IO能力和数据包处理能力。传统架构在这两个方面面临着不可调和的矛盾：

1. 大部分安全产品是采用单核x86 CPU来构建的，高度稳定、灵活的x86尽管很好的解决了数据包处理的问题。但是受限于南北桥结构和PCI总线能力，在IO能力上表现不尽如人意。同时，基于摩尔定律快速发展的传统CPU技术面临着以平方关系急剧增长的能耗问题，以及由此衍生的散热问题的巨大挑战和困扰。

2. NP和ASIC技术广泛应用于交换机和路由器产品，通过对数据包的快速转发而解决了网络设备的IO问题。但是NP和ASIC架构面对应用层的数据包处理时，不够灵活的弱点暴露无疑，完全无法适用应用趋势的发展，因此，纯粹的NP和ASIC架构的安全产品势必会被淘汰。

面对困境，多核技术应运而生，目前的多核技术主要包含x86多核和MIPS多核两种。

x86多核产品一出来即引起广泛关注，也被业界一致看好，主要原因如下：

1. 最新的PCI-E总线是直接从北桥接出来的独占式总线，相比以前通过南桥—>北桥—>FSB—>CPU的共享式PCI总线，IO效率大大提高

2. PCI-E总线单条通道的单向带宽达到2Gbps，现在做得多的可达16通道，双向可达到64Gbps的吞吐量，从根本上解决了IO性能问题

3. 具备30多年PC经验的x86架构，具备高度的功能灵活性，在复杂数据处理方面具备独天厚地的优势，在强调应用层数据处理能力的今天尤为合适

4. x86多核通过分布式方式，有效解决了单核CPU面临的能耗问题和散热问题

5. 2007年，Intel发布Tolapai低功耗处理器，全面进军嵌入式和网络通信市场，网络安全作为网络通信的主要市场，受到Intel的高度关注

6. Intel技术实力强大，产品商用化程度极高，成熟可靠

7. 网络安全的关键在于软件，众多软件厂商已经在x86多核的开发上具备强大的实力和丰富的经验

MIPS多核自2005年以来获得了快速发展，代表的公司有Cavium和RMI两家，主要特点有

1. MIPS多核基于精简指令集，IO效率高，功耗低

2. MIPS多核也可以采用PCI-E总线，不存在南北桥结构，吞吐能力强

3. MIPS多核扩展能力强，Cavium公司已经推出16核CPU，每个核600Mhz，总的处理能力可达9.6Ghz；而RMI公司也推出了8核CPU，每个核1.2Ghz，总的处理能力也达到了9.6Ghz

4. MIPS多核在交换机、路由器上有广泛应用，但是网络安全产品方面缺乏足够的经验，产品的成熟度还有待市场的考验。

5. MIPS多核在固定数据处理方面效率很高，面对7层复杂数据的查找和处理效率大大降低。

6. 无论是Cavium公司，还是RMI公司，整体技术实力和Intel还有相当的差距。

全新平台，应用安全

在技术发展最前沿，把握客户应用趋势，率先推出了融合高性能、深度安全检测、易扩展升级的下一代多核防火墙RG-WALL1600系列。通过实现CPU核任务调度的动态分配技术、并行设计算法、核间系统开销最小等关键技术，合理地划分了任务，大大减少了核间通信，有效地降低串行执行比例和降低交互开销，实现了多核的有效调度，双核的处理性能即可较单核提升40%-60%，八核架构则达到万兆线速。

同时，多核架构还为每一个核提供了额外的协处理器，使每个单独的核在芯片上具有额外的安全性硬件加速能力。多核平台的集成可以明显提高分析处理性能，使得防火墙的性能得到了极大的提升。
不仅突破性能瓶颈，锐捷网络新一代防火墙还在功能上取得了巨大的突破，全面诠释应用安全：

1. 通过万兆光模块，配合万兆交换机和路由器等基础网络平台，帮助客户构建真正的无瓶颈全万兆安全网络。

2. 支持高可用的SSL 科学解决方案，继PPTP、L2TP、IPSec 科学之外，为用户提供的全面的科学解决方案。

3. 全面支持硬件模块化和软件模块化，不仅稳定可靠，而且灵活易扩展，很好地保护用户投资。

4. 内置安全助手，可以主动扫描网络活动主机，开放端口，操作系统版本和服务器版本，并添加到安全策略中去，为网络安全管理提供关键信息。

5. 高可靠性的业务监控，不仅可以提供CPU、内存、用户连接数等信息监控，而且可提供链路级、科学隧道和应用业务（如HTTP等）层面的状态检测，能实现自动负载均衡和故障切换。

6. 可选支持Bypass，保证网络始终可用，彻底解决用户关心的单点故障问题。