淺析FPGA在安全產(chǎn)品中的應(yīng)用

在安全產(chǎn)品中，X86、NP、ASIC、FPGA各自代表了不同的體系架構(gòu)。然而，無(wú)論是媒體還是廠商，都難以將一種架構(gòu)的差異與產(chǎn)品的優(yōu)劣捆綁在一起，不過(guò)面對(duì)FPGA在IPS中的“殺手”級(jí)優(yōu)勢(shì)，以及針對(duì)市場(chǎng)上愈演愈烈的架構(gòu)之爭(zhēng)，《網(wǎng)絡(luò)世界》有必要與讀者一起分享技術(shù)上的來(lái)龍去脈。 


寫在討論之前


在閱讀本文之前，我們請(qǐng)讀者牢記產(chǎn)業(yè)經(jīng)濟(jì)學(xué)上的三個(gè)要素：技術(shù)、成本與市場(chǎng)需求。因?yàn)樵贔PGA在安全產(chǎn)品的應(yīng)用進(jìn)程中，始終離不開(kāi)這三個(gè)支點(diǎn)。


另外，我們也需要明確以下問(wèn)題：


第一，F(xiàn)PGA（Field-Programmable Gate Array，現(xiàn)場(chǎng)可編程門陣列）在現(xiàn)代數(shù)字電路設(shè)計(jì)中發(fā)揮著越來(lái)越重要的作用。從設(shè)計(jì)簡(jiǎn)單的接口電路到設(shè)計(jì)復(fù)雜的狀態(tài)機(jī)，甚至設(shè)計(jì)“System On Chip”（片上系統(tǒng)），F(xiàn)PGA所扮演的角色已經(jīng)不容忽視。


第二，F(xiàn)PGA正越來(lái)越多地作為現(xiàn)代電子系統(tǒng)的核心部分。因?yàn)镕PGA硬件可重新配置且可用性、精密性不斷提高，可以輕易配合系統(tǒng)規(guī)格隨時(shí)改變的要求，這樣可以為用戶帶來(lái)充足的靈活性。


第三，F(xiàn)PGA是一種高速可編程電子器件，并非“職業(yè)殺手”，其自身的物理特性決定了，有些工作容易發(fā)揮其設(shè)計(jì)優(yōu)勢(shì)，而有些則適得其反。


在明確了上述三個(gè)特征之后，接下來(lái)記者將會(huì)與讀者一起分享FPGA在網(wǎng)絡(luò)安全市場(chǎng)中的故事。同時(shí)，我們也非常感謝為本次專題提供芯片技術(shù)支持的Xilinx公司，以及我們的合作伙伴：Juniper、神州數(shù)碼、SINFOR、SonicWall、TipingPoint、WatchGuard。


FPGA的靈活魅力


在網(wǎng)絡(luò)安全產(chǎn)品設(shè)計(jì)的時(shí)候，可以采用多種半導(dǎo)體解決方案，相對(duì)來(lái)講，目前主要采用的體系架構(gòu)包括了X86、NP、ASIC、FPGA四種。相對(duì)來(lái)講，CPU與NP的聯(lián)系更緊密，而ASIC與FPGA的關(guān)系更相似。


不過(guò)，若從器件角度分析，傳統(tǒng)上大多廣義地歸結(jié)為ASIC和可編程器件兩類。在安全產(chǎn)品中，兩種類別的主要原理與應(yīng)用并無(wú)多大區(qū)別。傳統(tǒng)上認(rèn)為，ASIC可以為固定功能提供較高性能，但靈活度相當(dāng)惡劣。


而可編程解決方案可提供較高的系統(tǒng)速率，包括復(fù)雜功能（特殊和異常處理）、靈活性。目前在安全產(chǎn)品設(shè)計(jì)中使用的可編程解決方案主要有兩類：NP和FPGA。NP可提供以處理器為中心（即以軟件為中心）的可編程特性，而FPGA則提供以硬件為中心的可編程特性。


Xilinx公司提供的報(bào)告指出，NP最初被用于設(shè)計(jì)網(wǎng)絡(luò)設(shè)備中的現(xiàn)成器件，這些器件在各方面提供靈活性和擴(kuò)展性的同時(shí)，還提供了充分的性能。大多數(shù)NP均帶有多種經(jīng)過(guò)優(yōu)化的嵌入式RISC CPU以及適用于通用分組處理功能的類ASIC硬件電路。每個(gè)RISC引擎經(jīng)過(guò)優(yōu)化以執(zhí)行特定任務(wù)。 


相對(duì)于NP，F(xiàn)PGA是對(duì)數(shù)據(jù)進(jìn)行高速并行處理的器件，具有更強(qiáng)的靈活性和擴(kuò)展性。TippingPoint公司技術(shù)經(jīng)理李臻表示，在其公司IPS產(chǎn)品中采用的 Virtex-II Pro FPGA芯片，已經(jīng)包含了高性能的可編程架構(gòu)、嵌入式PowerPC處理器和3.125Gbps收發(fā)器。通過(guò)增強(qiáng)網(wǎng)絡(luò)特性，F(xiàn)PGA可提供高性能的數(shù)據(jù)和安全控制處理功能。目前，網(wǎng)絡(luò)處理內(nèi)核和分組處理參考設(shè)計(jì)均適合于采用FPGA平臺(tái)設(shè)計(jì)。此外，F(xiàn)PGA還支持所有的通用并行（單端和差動(dòng)）和串行系統(tǒng)接口標(biāo)準(zhǔn)，以使其輕松地與任何協(xié)議進(jìn)行接口并與線路卡上的任何器件相連。


Xilinx公司的FPGA解決方案專家Anil認(rèn)為，在網(wǎng)絡(luò)安全產(chǎn)品的開(kāi)發(fā)中，盡管二層和三層處理在ASIC中很容易實(shí)現(xiàn)，但為了在類似的傳輸流中區(qū)分不同的優(yōu)先級(jí)，還需要在四層和五層中進(jìn)行更深層的分組處理。而FPGA僅僅需要一塊芯片就可以更深入地處理這些分組，不僅降低了軟件的復(fù)雜度，而且降低了功耗（相比于NP或ASIC）。這是因?yàn)镕PGA中的硬件并行處理完全可以同RISC的處理方法相媲美。


另外，在網(wǎng)絡(luò)安全產(chǎn)品設(shè)計(jì)中，升級(jí)性仍然是關(guān)鍵問(wèn)題之一，而這包括了產(chǎn)品體系結(jié)構(gòu)的軟、硬兩個(gè)方面?！笆聦?shí)上，相對(duì)于NP開(kāi)發(fā)中的軟件難以移植問(wèn)題，無(wú)疑增加了設(shè)計(jì)上的風(fēng)險(xiǎn)?！?nbsp;Anil表示，“FPGA擁有標(biāo)準(zhǔn)化的基于平臺(tái)和工具集方法的工具，可以實(shí)現(xiàn)軟件在各代FPGA中的無(wú)縫移植。而在硬件方面，NP只在處理器中提供可編程特性，其類似ASIC的定制硬件并不能直接進(jìn)行編程，而FPGA則要輕松許多?！?


IPS上的奇葩


基于FPGA的特性，在IPS上采用的FPGA技術(shù)最為有代表。TippingPoint的技術(shù)經(jīng)理李臻表示，在IPS中FPGA擅長(zhǎng)把一些安全特征轉(zhuǎn)化成邏輯，在實(shí)現(xiàn)過(guò)程中能夠同時(shí)配批上千條規(guī)則，其并行速度超過(guò)普通CPU，而且相對(duì)于并行ASIC，其靈活性占有較大優(yōu)勢(shì)。畢竟，各種安全攻擊的變化很快，也許今天寫的過(guò)濾器一個(gè)月后就要改寫了。


同時(shí)，對(duì)于IPS這種采用In Line模式的設(shè)備，必須保證最小的誤報(bào)與漏報(bào)率，而基于FPGA實(shí)現(xiàn)的移動(dòng)偏移量檢測(cè)，則是必須的手段。因?yàn)閷?duì)攻擊來(lái)說(shuō)，一般都是混合在正常的網(wǎng)絡(luò)流量中。換句話說(shuō)，其在一個(gè)IP包里面的位置（偏移量）是不固定的。


一般IPS需要在流量中不斷尋找可疑特征，以便引起觸發(fā)機(jī)制，但要注意，這個(gè)可疑特征不一定就是攻擊行為。因此IPS必須抓到大量的可疑特征，然后交給CPU進(jìn)行驗(yàn)證，以便判斷是否為攻擊。但在這個(gè)過(guò)程中，最關(guān)鍵的一點(diǎn)就是，這個(gè)抓取可疑特征的速度一定要快，否則就會(huì)導(dǎo)致漏報(bào)。因此如果僅靠CPU做所有的工作，其速度無(wú)法保證。而利用FPGA的高速度幫助進(jìn)行基層篩選，然后交由CPU確認(rèn)，就可以最大限度地確保設(shè)備架構(gòu)的優(yōu)化。


“在整個(gè)特征抓取過(guò)程中，偏移量可以是不定的，比如內(nèi)容字節(jié)的不定長(zhǎng)度。而NP一般只能進(jìn)行固定偏移量的抓取，比如從IP包頭結(jié)束開(kāi)始56個(gè)字節(jié)地方有特征，然后去查找。但如果需要對(duì)整個(gè)PageLoad里面1500個(gè)字節(jié)都掃描一便，NP的開(kāi)銷太大。FPGA利用哈希算法來(lái)控制，從PageLoad中取片斷，然后做算法，再到表里面去查。”李臻說(shuō)。


另外，他覺(jué)得在IPS中采用FPGA，可以最大程度保護(hù)用戶投資。這個(gè)投資保護(hù)分為兩個(gè)方面：第一，F(xiàn)PGA的性能優(yōu)勢(shì)具有良好的抗小包攻擊能力。因?yàn)閷?duì)于X86架構(gòu)來(lái)講，基于中斷的CPU處理方式在對(duì)抗小包的時(shí)候性能損耗太大。其實(shí)這個(gè)也很好理解，一般安全設(shè)備保護(hù)的多為服務(wù)器，而服務(wù)器的CPU往往要比安全設(shè)備中用的好，如果服務(wù)器都擋不住小包，安全設(shè)備又如何防范？為此，用戶往往需要購(gòu)買單獨(dú)的防御DDoS的設(shè)備，增加了安全成本。而相對(duì)于CPU，F(xiàn)PGA在這方面具備很強(qiáng)的性能優(yōu)勢(shì)。


第二，F(xiàn)PGA的擴(kuò)展性較好。在的IPS中使用的FPGA往往有一定的預(yù)留性，比如一個(gè)常見(jiàn)的800萬(wàn)門的FPGA芯片，一般實(shí)際使用僅為200萬(wàn)門左右。預(yù)留的部分就是為了安全設(shè)備日后升級(jí)所用（甚至可以進(jìn)行不用重起的FPGA升級(jí)）。雖然使用CPU的安全產(chǎn)品也可以做到低利用率，但其壓力的承受與升級(jí)會(huì)有挑戰(zhàn)。比如在4G左右的吞吐率情況下，打開(kāi)500條安全規(guī)則，配置2顆CPU。如果用戶線路的流量逐年增加，而微軟每月發(fā)布的漏洞也超過(guò)5個(gè)，其他的系統(tǒng)漏洞也不斷更新，而新的攻擊也會(huì)出現(xiàn)，在這個(gè)情況下，一般不到一年就會(huì)增加到800條規(guī)則。而CPU利用率的預(yù)留很難在安全算法不斷變化的情況下界定，同時(shí)一旦CPU需要增加或者升級(jí)，其往往要帶動(dòng)軟件設(shè)計(jì)的升級(jí)，以便更好的負(fù)載均衡或者任務(wù)分擔(dān)，其復(fù)雜度也要超過(guò)FPGA。


到期的契約？


正如本文開(kāi)頭所講的，F(xiàn)PGA并非職業(yè)殺手，其高速、靈活的特征在IPS上具有殺手級(jí)潛力，但在其他的安全領(lǐng)域則未必如此。對(duì)于目前發(fā)展如火如荼的UTM以及高端防火墻市場(chǎng)，體系架構(gòu)的爭(zhēng)論還是很激烈。

WatchGuard亞太區(qū)技術(shù)總監(jiān)葉建輝認(rèn)為，ASIC的發(fā)展速度一定不及通用CPU，用來(lái)發(fā)展新一代ASIC的時(shí)間，通用CPU可能已經(jīng)經(jīng)歷三至四代。相應(yīng)的，F(xiàn)PGA的問(wèn)題也是如此。所以公司決定采取通用CPU作為發(fā)展UTM安全平臺(tái)的架構(gòu)。從目前的情況看，通用CPU對(duì)比專用器件在處理一般安全功能方面沒(méi)有很大的性能差距，近期更有雙核這類高性價(jià)比技術(shù)的出現(xiàn)，進(jìn)一步提升了CPU的性能。


雖然FPGA與ASIC相比相對(duì)靈活，可以比較靈活地處理IDS/IPS及防病毒所需更新的簽名功能（Signature），但對(duì)如今市場(chǎng)對(duì)UTM的需求期望，無(wú)論是ASIC或FPGA都顯得無(wú)法靈活處理。


他指出，在安全產(chǎn)品只提供防火墻及VPN功能的時(shí)代，ASIC的設(shè)計(jì)已經(jīng)足夠。雖然ASIC不夠靈活，但它可提供快速處理包過(guò)濾這類特定的功能。然后安全產(chǎn)品又加入了IDS/IPS及防病毒等需要快速模式匹配及更新簽名的功能，此時(shí)FPGA比較靈活的架構(gòu)就可派上用場(chǎng)。但如今UTM安全平臺(tái)除了以上的功能，還有防垃圾郵件、防間諜軟件及URL/內(nèi)容過(guò)濾等只有通用CPU來(lái)架構(gòu)會(huì)才能實(shí)現(xiàn)的功能。這些UTM功能不同防火墻/VPN/IDS/IPS，不是單一特定功能或模式匹配，所以用FPGA不能實(shí)現(xiàn)大幅提高性能的目的，而在通用CPU架構(gòu)上同時(shí)使用軟件可實(shí)現(xiàn)更高的整體性能。


利用CPU架構(gòu)，WatchGuard的智能分層安全引擎（ILS）在安全操作系統(tǒng)和軟件上整合了多種UTM功能。由于有很多攻擊并不針對(duì)某一項(xiàng)安全功能，智能分層安全引擎能在不同安全層面上互相溝通，所以更能有效的捍衛(wèi)受保護(hù)的網(wǎng)絡(luò)。 


SINFOR的技術(shù)經(jīng)理葉宜斌認(rèn)為，X86架構(gòu)是實(shí)現(xiàn)UTM最好的平臺(tái)。因?yàn)榇蠖鄶?shù)的網(wǎng)關(guān)型產(chǎn)品都采用這種模式。畢竟UTM的發(fā)展趨勢(shì)是一個(gè)設(shè)備中集中越來(lái)也多的功能，這個(gè)是要求需要很高的擴(kuò)展性，而內(nèi)容過(guò)濾也是目前CPU的強(qiáng)項(xiàng)。但他不排除今后會(huì)在中高端UTM產(chǎn)品中加入FPGA芯片。


SonicWall北方區(qū)技術(shù)經(jīng)理蔡永生認(rèn)為，由于UTM的環(huán)境影響，很可能多內(nèi)核的安全處理器會(huì)更加有優(yōu)勢(shì)。因?yàn)闉榘踩珣?yīng)用而設(shè)計(jì)的多內(nèi)核安全處理器比FPGA有更大的靈活性。只要通過(guò)軟件升級(jí)，安全設(shè)備可以不斷地更新以防御最新的安全威脅，而且性能不比PFGA差。在此基礎(chǔ)上，利用一套高性能的DPI深度包檢測(cè)引擎，實(shí)現(xiàn)病毒，入侵和間諜軟件的掃描。


另外，他始終認(rèn)為，對(duì)于大量部署的設(shè)備而言，讓客戶升級(jí)FPGA是有難度的，而且存在燒寫限制。不過(guò)在這一點(diǎn)上，TippingPoint指出其數(shù)字疫苗方式（類似Signature）非常便于用戶下載、升級(jí)，且每周一次的疫苗發(fā)布不會(huì)突破FPGA的壽命。


作為近兩年在安全領(lǐng)域突飛猛進(jìn)的本土企業(yè)代表，神州數(shù)碼網(wǎng)絡(luò)的安全技術(shù)經(jīng)理王景輝認(rèn)為，在不同的需求和不同的環(huán)境下，安全廠商會(huì)根據(jù)自己的產(chǎn)品定位來(lái)選擇相應(yīng)的技術(shù)手段。不過(guò)對(duì)于不同的技術(shù)本身，他覺(jué)得也許不存在好與壞的差異。


據(jù)悉，在神州數(shù)碼網(wǎng)絡(luò)最新推出的UTM產(chǎn)品中，采用的也是X86架構(gòu)，其核心在于保證性能與多功能的前提下，實(shí)現(xiàn)最豐富的應(yīng)用。他認(rèn)為對(duì)于安全產(chǎn)品，特別是具有內(nèi)容控制的產(chǎn)品，必須提供靈活與使用便利的能力，同時(shí)還要為用戶提供優(yōu)秀的性價(jià)比。在目前情況下，F(xiàn)PGA的高成本與低功能集成特征，無(wú)法滿足UTM的需要。


同時(shí)，他也指出，目前國(guó)內(nèi)市場(chǎng)上的UTM產(chǎn)品主要集中在中低端的100M左右產(chǎn)品，在這個(gè)吞吐率下，使用X86架構(gòu)不會(huì)帶來(lái)瓶頸，相反還可以提供更加靈活的部署方案。而如果今后隨著雙核技術(shù)以及CPU技術(shù)的進(jìn)一步發(fā)展，加上對(duì)吞吐率要求的提高，不排除會(huì)在相關(guān)產(chǎn)品中加入FPGA的可能性，但這還是要看市場(chǎng)的發(fā)展。


另外，神州數(shù)碼網(wǎng)絡(luò)的產(chǎn)品經(jīng)理?xiàng)钛闳罕硎荆肵86架構(gòu)不僅可以獲得高功能集成，而且可以利用軟件確保與周圍設(shè)備的聯(lián)動(dòng)配合。目前神州數(shù)碼網(wǎng)絡(luò)打算將UTM產(chǎn)品部署到自己的全網(wǎng)安全解決方案當(dāng)中，以便獲得最佳的安全性與易用性。


作為在眾多安全領(lǐng)域都有涉足的Juniper，其產(chǎn)品線涵蓋了防火墻、VPN、IPS/IDS、UTM等多個(gè)領(lǐng)域，而在不同的產(chǎn)品中，CPU、NP、ASIC、FPGA也都有使用。


Juniper技術(shù)經(jīng)理王衛(wèi)對(duì)于不同技術(shù)在安全產(chǎn)品中的應(yīng)用看得十分清楚，他覺(jué)得各種技術(shù)、體系架構(gòu)就像一個(gè)個(gè)名詞，本身沒(méi)有優(yōu)劣之分，只有在不同環(huán)境下，不同產(chǎn)品中，采用最適合技術(shù)的選擇。


比如高端防火墻的吞吐率可以達(dá)到30G，而在這個(gè)模式下，沒(méi)有用戶會(huì)去考慮其防病毒的特點(diǎn)，因此用ASIC來(lái)實(shí)現(xiàn)無(wú)疑是合適的。如果用X86架構(gòu)做，也許滿滿一機(jī)箱的CPU也能做到，但是成本、功耗都是大問(wèn)題。同樣的道理，如果僅僅是一款百兆防火墻，純粹的CPU可以獲得最佳的性價(jià)比。


但他覺(jué)得目前爭(zhēng)論的焦點(diǎn)在于百兆防火墻和千兆防火墻的入口，多種技術(shù)會(huì)有交叉。因此出現(xiàn)CPU+NP+ASIC的架構(gòu)就不足以為怪。而FPGA也是同樣的道理，對(duì)于千兆以上，萬(wàn)兆以下的產(chǎn)品，F(xiàn)PGA有可能，但前提是成本。其實(shí)很多高端產(chǎn)品在設(shè)計(jì)模擬階段用FPGA，但是固定下來(lái)后會(huì)燒成ASIC。不過(guò)到達(dá)萬(wàn)兆甚至更高，則很難說(shuō)了。


總而言之，他覺(jué)得在安全產(chǎn)品中，變化可能性較高的產(chǎn)品用FPGA比較合適，而UTM則基本與FPGA無(wú)緣，因?yàn)橄鄬?duì)來(lái)說(shuō)，這么多年來(lái)查病毒就是CPU做的比較好。


最后，王衛(wèi)提出了一個(gè)非常有意思的觀點(diǎn)：可編程器件的界限會(huì)越來(lái)越模糊，ASIC已經(jīng)可以編程，NP和FPGA更加加強(qiáng)了這方面的能力，未來(lái)可變化的能力各種體系都有，將來(lái)任何一種手段都可以實(shí)現(xiàn)靈活的能力。因此未來(lái)在體系結(jié)構(gòu)選擇中，依然會(huì)是：在什么環(huán)境下，什么吞吐能力下，選擇最合適的技術(shù)。


百家爭(zhēng)鳴的體系架構(gòu)設(shè)計(jì)


Juniper

CPU、NP、ASIC、FPGA各種體系架構(gòu)都有使用，認(rèn)為安全產(chǎn)品可以分為100M、100M--1G、1G--10G、10G以上四個(gè)階段，每個(gè)階段的芯片選擇與架構(gòu)設(shè)計(jì)具有明顯的特點(diǎn)。


神州數(shù)碼

另一家具有全系列產(chǎn)品的網(wǎng)絡(luò)廠商，希望借自身的全網(wǎng)安全方案將防火墻、VPN、IDS、UTM以及桌面保護(hù)系統(tǒng)進(jìn)行整合，同時(shí)將在多種架構(gòu)中進(jìn)行最適合的取舍，確保整體安全方案的聯(lián)動(dòng)與優(yōu)化。


SINFOR

在UTM與VPN中頗有實(shí)力的本土廠商，分別擁有X86架構(gòu)和NP+ASIC架構(gòu)兩條線的產(chǎn)品，并對(duì)FPGA很感興趣。


SonicWall

出色的防火墻及UTM廠商，對(duì)雙核技術(shù)分析得很透徹，認(rèn)為多內(nèi)核安全處理器將會(huì)促使FPGA的殺手契約到期，同時(shí)擁有專利的DPI技術(shù)。


TipingPoint

業(yè)界公認(rèn)的最強(qiáng)IPS制造商，唯一獲得NSS評(píng)測(cè)金獎(jiǎng)的IPS廠商，憑借在FPGA上的技術(shù)優(yōu)勢(shì)，取得了很大的轟動(dòng)效應(yīng)，據(jù)悉即將推出基于FPGA的萬(wàn)兆IPS。


WatchGuard

一家優(yōu)秀的UTM廠商，而且一直表示將進(jìn)軍國(guó)內(nèi)的高端應(yīng)用市場(chǎng)，因此非常關(guān)注UTM在應(yīng)用上的全功能性，有專利的ILS技術(shù)。