博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 3993|回复: 2

一条防火墙招标参数引发的讨论

[复制链接]
发表于 2020-5-12 06:26:45 | 显示全部楼层 |阅读模式
一条防火墙招标参数引发的讨论
Akane
2017-12-06共446767人围观 ,发现 12 个不明物体企业安全


某天深夜1点多,某业界知名安全大厂的“防火墙产品吐槽群”里突然活跃起来……  

首先,该公司一位销售在公司群里发问,求助各位大神,有一家企业客户要招标买一台防火墙,下面这个要求我们怎么应对?客户的预算只有10万元。

1.★采用非X86架构,支持交流双电源,千兆电口≥8个,非复用千兆光口≥8个,万兆光口≥2个,SSLVPN并发用户≥5000个;IPSecVPN吞吐量≥15Gbit/s  

2.扩展插槽≥6个,最大接口数≥64个千兆接口+14个万兆接口(提供设备满配照片),支持硬件电口Bypass卡(提供Bypass卡配置截图),支持≥600G硬盘  

此时,群里的产品经理恰巧看到这条信息,顿时胸中升起一股邪火,睡意全无……  

NND,这年头做防火墙的厂商,都是操着卖白粉的心,赚着卖白菜的钱啊!  

IPSec吞吐量15G,SSLVPN并发5000个,最多能支持78个接口,这得是旗舰级产品的性能和规格啊,预算才10万块?  

不过,多年积累的“职(shou)业(nue)素(jing)养(li)”让产品经理很快开始意识到自己的愚蠢。  

人家有错吗?你怎么又忘记了以客户为中心思考问题了?难道你不想花最少的钱买最好的东西吗?人家是衣食父母,你要从自身找问题……  

可是……可是……,这第一句话就写着“采用非X86架构”,就算我愿意“贱卖”,也得有个参与的机会啊。  

这里有必要做一个科普,当前业界主流的下一代防火墙硬件架构有两类,一类是“X86”架构,采用Intel处理芯片;另一类则是所谓的“多核”架构(其实这么叫并不准确,因为X86所采用的Intel也早就是多核了,专业上应被称为“MIPS”)。大部分有安全背景的厂商采用了“X86”架构,而一些数通背景厂商则更为青睐“MIPS”架构。  

“质疑……强烈的质疑!”产品经理在第一时间回复,要求采用非X86架构是不合理的需求。  

很快,产品经理写好了质疑函:  

对招标书中防火墙产品要求为“非X86架构”的强烈质疑说明  

1.从产业情况来看,X86架构是下一代防火墙产品的主流硬件架构,被国内外多数领导厂商普遍采用。以国内厂商来说,市场排名位居前五的厂商中,大部分都使用X86架构,例如天融信(多年防火墙市场排名第一)、启明/网御(多年UTM市场排名第一)、深信服(2016年UTM市场排名第二)、360企业安全(2016年UTM市场排名第三)、东软、绿盟等;  

2.从实际运用来看,X86架构的下一代防火墙多年来被广泛运用于各级政府机关、国家部委、央企、军队、教育等各行各业各个领域,这种架构的下一代防火墙不存在共性的、影响用户使用的缺陷;  

3.从技术角度而言,X86架构的下一代防火墙产品完全能够满足本次招标要求中对于设备的性能和功能要求。并且,随着Intel芯片的持续升级及相关软件技术的成熟运用,采用X86架构的下一代防火墙产品支持更为灵活的软件编码(适合复杂的应用层运算)、具备更高的应用层处理性能(符合下一代防火墙产品的核心要求),已成为行业公认的技术优势。  

综合以上,要求所投产品为“非X86架构”缺乏合理性,且不符合产业现状、行业运用情况和主流技术趋势,该要求屏蔽了众多主流厂商参与项目竞争的机会,无益于维持良好的市场和招标秩序。因此,我们强烈建议,去除招标要求中与此相关的技术要求。  

此时,同样没睡的售前跳了出来。  

售前:这质疑,能行吗?市场上采用非X86架构的下一代防火墙确实也不少于三家啊,数通类厂商不都在用吗?如果客户不改掉这条,下一步咱们怎么办?  

产品经理:你放心,我们不是一个人在战斗!采用X86架构的厂商更多,这条要求屏蔽了很多主流厂商,他们一定会跳出来质疑的。至少也要把“星号”去掉啊,否则大家连参与的机会都没有。  

这时,群里一直潜水的研发大神看不下去了。  

研发大神:太不合理了!我来给你们添把柴火!  

1.今天的X86已经不是十几年前那个饱受诟病的“低能平台”了,当年X86性能表现欠佳,是因为硬件的总线瓶颈造成的,而这个问题早已随着Intel产品的迭代彻底解决了,现在最高端的X86处理器不光在应用层性能上不输于同档次的“MIPS”,在网络层性能上也不落下风;  

2.众所周之,下一代防火墙强调应用层的安全防护能力(对应的功能包括应用识别与控制、入侵防御、病毒防护、URL过滤等),而对于这些典型的计算密集型应用,X86具有先天的优势。  

一定要澄清一个误区,CPU的核数多少、主频高低并非决定处理性能的全部因素,还有一项更重要的指标IPC(instructionpercycle,每周期执行指令数)却往往不为人知,而这项指标高低则由多方面决定,包括处理器的架构和工艺、象多发射、跳转预测、大的内存带宽和缓存(Cache)等。  

就拿缓存来说,由于Intel处理器内置了大容量的高速缓存,使得下一代防火墙系统频繁读取各类特征库时(如应用特征库、URL分类库、IPS威胁特征、病毒特征等),能够极大的减少系统频繁访问内存的次数,从而避免其所带来的延迟,这样才能保证下一代防火墙在同时开启多种安全功能的情况下,性能依然可以维持在可用的范围,而这一点却是MIPS所比不了的。  

为什么这么说?没有对比就没有伤害,同样是高端处理器,“IntelXEONE52680v3”的缓存是30M,而MIPS架构的CaviumCN7890处理器(Cavium是MIPS架构采用最为普遍的一种处理器,CN7890是其最高端型号),缓存容量仅有16M。由于X86架构灵活扩展的特性,高端的盒式X86设备普遍会采用两颗CPU,这样其缓存容量就会翻倍为60M,这个差距就更加明显了。  

此时,研发大神越说越不淡定,全然置领(L)导(P)大人的“横眉冷对”于不顾,以紧急集合的速度起床、开电脑……  

研发大神:无图无真相,我把他们官网上的截图放出来,大家自己看!  

先放Cavium的:【传送门

再看看Intel的:【传送门

3.另外还有个“猛料”要爆,对于采用Cavium处理器的大多数厂商来说,当前其实遇到了一个更为棘手的问题。  

Cavium最新一代MIPS处理器产品OCTEONIII系列自2015年上市以来,迄今已有近3年没有迭代更新了。  

去年有一篇报道指出,该厂商酝酿了新的技术转型,正在放弃MIPS架构而转向ARM。英文好的自己看: 【传送门

我个人的判断是,这个情况对于采用该处理器的MIPS架构防火墙无疑是个坏消息,势必会严重制约产品的性能提升和更新换代。如果这个情况得不到改善,这些厂商可能不得不把平台迁移到X86上来,而硬件和软件的切换成本是极高的。并且,两种架构天生就存在差异,就算软件系统适配了新的硬件平台,也难免会“水土不服”,性能指标恐怕难以和从前相提并论!  

此时,刚才提问的销售暗想,程序猿还真是有(hen)内(men)涵(sao),这哪是一把柴火,简直就是一串导弹啊!虽不明,但觉厉,我还是得再探探底,看看是不是又在“忽悠”。  

销售:原来是这样?……  

可是为什么很多客户会认为“X86”天生就是矮穷挫、“非X86”天生就是高富帅?  

还有人说“非X86”的下一代防火墙在测试中性能要高过“X86”好多倍?  

一直“静观其变”的产品线总裁老王终于也按耐不住了。  

老王:存在即合理,各种架构都有自己适合和不适的场景,最先进的隐形战机也有自己的飞行极限。正所谓外行看热闹,内行看门道。  

在防火墙的部署场景里,有些用户只希望下一代防火墙做基础的访问控制和攻击防护,更为看重的是产品对网络层的转发性能和延时,这比较符合非X86架构产品的特点。  

而又有一些用户认为性能、接口都足够用,更关注的是下一代防火墙的安全防护能力,比如是否能精确的控制应用、是否能及时的阻断攻击、是否能实现更深入的可视化以进行积极防御,这些是下一代防火墙更为强调的,显然X86架构更为合适。不过,从市场趋势来看,当前第二类场景的需求更为旺盛,毕竟下一代防火墙是安全体系的第一道防线。  

至于你说的测试,同样要考虑场景以及对应场景下的真实需求,就像有人说“抛开剂量谈毒性都是耍流氓”,其实抛开场景谈测试也是耍流氓啊!比如说,对于一些关注安全能力的用户而言,单看防火墙是否能拦截测试仪表模拟出来的攻击来评判其安全防护能力,就显得草率了,事实上测试仪表的特征都是已知的,只要做一些针对性的优化,测试数据一定会很漂亮,有所“准备”的厂商在测试前其实就已经知道结果了。  

当然,我们作为专业的安全提供商,要能够帮助用户更加清楚的认清自己的真正需求,这才是我们的价值所在。大家辛苦,早点休息吧!  

销售:感谢各位大神,明天就想办法跟用户去沟通!  

不日,该项目宣布招标计划延期……

 楼主| 发表于 2020-5-12 06:29:06 | 显示全部楼层
回复 1# network
ARM、X86和MIPS主流架构优缺点分析

展开
三种主流芯片架构

1. ARM
ARM是高级精简指令集的简称(Advanced RISC Machine),它是一个32位的精简指令集架构,但也配备16位指令集,一般来讲比等价32位代码节省达35%,却能保留32位系统的所有优势。
ARM处理器的主要特点是:

体积小、低功耗、低成本、高性能——ARM被广泛应用在嵌入式系统中的最重要的原因
支持Thumb(16位)/ARM(32位)双指令集,能很好的兼容8位/16位器件;
大量使用寄存器,指令执行速度更快;
大多数数据操作都在寄存器中完成;
寻址方式灵活简单,执行效率高;
指令长度固定。
Load_store结构:在RISC中,所有的计算都要求在寄存器中完成。而寄存器和内存的通信则由单独的指令来完成。而在CSIC中,CPU是可以直接对内存进行操作的。
流水线处理方式
2. MIPS
MIPS架构(英语:MIPS architecture,为Microprocessor without interlocked piped stages architecture的缩写,亦为Millions of Instructions Per Second的相关语),是一种采取精简指令集(RISC)的处理器架构,1981年出现,由MIPS科技公司开发并授权,广泛被使用在许多电子产品、网络设备、个人娱乐装置与商业装置上。最早的MIPS架构是32位,最新的版本已经变成64位。
它的基本特点是:

包含大量的寄存器、指令数和字符
可视的管道延时时隙
这些特性使MIPS架构能够提供最高的每平方毫米性能和当今SoC设计中最低的能耗。

3. X86
X86架构是芯片巨头Intel设计制造的一种微处理器体系结构的统称。如果这样说你不理解,那么当我说出8086,80286等这样的词汇时,相信你肯定马上就理解了,正是基于此,X86架构这个名称被广为人知。

如今,我们所用的PC绝大部分都是X86架构。可见X86架构普及程度,这也和Intel的霸主地位密切相关。

x86采用CISC(Complex Instruction Set Computer,复杂指令集计算机)架构。与采用RISC不同的是,在CISC处理器中,程序的各条指令是按顺序串行执行的,每条指令中的各个操作也是按顺序串行执行的。顺序执行的优点是控制简单,但计算机各部分的利用率不高,执行速度慢。

总结:

————————————————
版权声明:本文为CSDN博主「bad_good_man」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/bad_good_man/article/details/50299749
 楼主| 发表于 2020-5-12 06:44:35 | 显示全部楼层
回复 2# network

基于多核MIPS64芯片的综合安全网关设计与实现】连载二:关键词:芯片,安全,网关 时间:2017-05-13 08:56:18 来源:网络整理 作者:Ioter











4 基于M IPS64 安全处理器的高速安全网关软件架构原理

面向下一代网络的高速安全网关基本软件架构如图3 所示。

( 1) 高效资源调度管理系统
高效资源调度管理系统这是整个系统的软件核心, 采用多级并行处理机制, 如图4 所示。这种处理机制保障了网关对网络流量进行L 7 处理的时候, 对网络吞吐量的影响最小。多级并行处理机制帮助网关在L2 ~ L 7 的网络流量处理上从网络数据接入、网络数据包内容检测、应用层数据集成、应用层数据过滤等几个方面采用并行处理的机制。



图3 基于MIPS64 安全处理器的高速安全网关软件架构原理

这种并行处理机制将充分利用MIPS64 多核安全处理芯片的多个内核的特点, 其内置的每一个内核( core) 上都具有针对包处理( Packet Processing) 、T CP 检查、队列/调度( Queuing/ Scheduing ) 、服务质量( QoS) 、加解密( IPSec/ SSL) 、深度包检测( Deep Inspection) 、压缩/解压缩、模式匹配等硬件加速的功能。由于MIPS64 系列能够支持最多16 个内核, 高效资源调度管理系统能够动态地对这些内核进行分配, 根据网络数据流量的情况, 安排一定数量的内核进行底层包处理、TCP 检查, 以及QoS 功能, 从而满足基本的网络数据处理/ 防火墙的要求。系统也会安排一定数量的内核完成网络数据的加解密功能, 满足VPN 功能的需求。同时, 还要安排一定数量的内核进行数据包深度检测, 满足入侵防范和入侵管理功能( IMS/ IPS) 的要求。对于应用层的安全功能, 资源调度管理系统会安排MIPS64 芯片的内核提供硬件级的模式匹能, 从而满足病毒防范、垃圾邮件过滤以及Web 过滤等应用层过滤的需求。



图4 高效资源调度管理结构框图

高效资源调度管理系统采用动态调整管理的模式来动态安排MIPS64 的内核来实现网络层以及应用层的网络以及安全功能。高效资源调度管理系统将通过对网络数据的分析, 包括网络数据的组成、网络数据的吞吐量、对网络数据的预测, 以及网络和安全功能的性能消耗等。通过这些分析, 高效资源调度管理系统会动态地安排MIPS64 处理器种不同的内核来完成不同的任务, 从而达到最优的整体系统处理性能。

( 2) 智能知识库
智能知识库是多功能网关中共享的数据资源, 用于各功能模块的工作依据和相互之间的功能协调。

智能知识库的主体由有机组织起来的大量的具体应用场合的规则数据库形成。智能知识库与软件既有相通之处但又不能等同, 它是相对动态的, 其本身并不实现某项具体功能, 但软件系统又能在它的辅助下大幅度提高逻辑分析的效率、准确率和覆盖率。

智能知识库的/ 智能0体现在其动态库和静态库相结合的数据库结构。通用静态库即一些已知的、成熟的、相对稳定的安全和逻辑规则, 而动态更新库则是在实际运行过程中, 对具体网络环境根据一定的算法进行统计、归纳和分析后得出的经验规则数据。

如图5 所示, 资源调度系统既读取通用的静态库和动态更新库, 又能够根据具体的网络环境进行统计分析, 将适合具体网络环境的逻辑规则添加到动态更新库中。这可以避免完全依赖系统算法而产生的片面性, 有效提高处理性能, 使得基于MIPS64安全处理硬件架构的系统不会将大量硬件资源消耗单纯的算法上, 同时也大幅度降低了算法的复杂和设计难度。



图5 智能知识库的联动调度

( 3) 开放式、可扩展接口支持
开放式、可扩展接口支持是面向下一代网络的高速安全网关的重要组成部分。它主要包括硬件接口和软件接口两种类型, 如图6 所示。既可在设计的基础上形成统一描述语言和结构标准, 同时也可公用部分支持公开的典型接口。

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-28 04:20 , Processed in 0.089786 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表