多核适合做防火墙么

network

多核适合做防火墙么
看了很多人讨论多核产品是否适合作为防火墙，我也想来说几句。
我在安全业内已经10年了，对产品还算是略有了结。
现在推多核的主要是RMI和CAVIUM，都有1-8核的产品，下面让我来分析一下多核是否适合做防火墙。
1. 有人说多核计算能力高
这恐怕是从多核有多个核推论出来的，但是你知不知道，有多个核并不等于就是计算能力强大，RMI 和Cavium都是MIPS64内核，他的计算能力有多强呢？我原来的一个同事曾经做过测试，RMI的产品，一个核及相当于Pentium200左右，塔尖应该都知道，Intel 的CPU 的计算能力是最强的，而计算能力和COU 的主频还是有很大关系的。RMI盒Cavium的主频只有1G左右，计算能力很低的。
2. 多核网络吞吐量高
这个没错，但是谁会只看网络吞吐量来设计产品，如果这样用ASIC 肯定比多核还快，想要多少吞吐量都能实现。
3. 所谓强大的正则表达式
前面有人提到了这个，那你肯定希望产品使用该功能进行IDS、病毒功能，进行深度包分析。可你知道在之前有个厂家solidum（好像是这个，我记不太清楚了），是专门做这个的，该公司的产品２００２年就出来了，可以和Intel NP配合实现线速，编程甚至比正则表达式更灵活，但是后来怎么了，还是没有推起来，失败了。为什么呢？因为没有人去使用它，代码改起来的工作量几乎无法计算，现有所有的病毒苦荷IDS特征分析都是在X８６上实现的，根本改不到那上面去。
至于你的正则表达式，除非有哪家公司愿意推倒了原有工作，重新编写代码，重新分析病毒才有可能实现，估计这样的公司没等成功就倒闭了。
4. 内置加密引擎
这点倒是不错，CAVIUM支持该功能，可以实现高速加解密，但是内置之后最大的问题是算法无法更换和升级，不过2-3年内倒是不用担心，现有的算法应该够用了，但是密钥长度不能增加就会是个问题了。
RMI就没有该功能了。

下面说说多核的问题：
1. 多核如何处理
恐怕这是所有人最大的问题，这么多的核，软件能用起来，不会打架么，不会产生安全漏洞么，这个就不知道了，这是软件人员要头疼的了，系统安全评估就更难做了。
2. 多核涉及国家安全
看了这个题目，可能有人就会骂了，你简直胡说，多核怎么可能和国家安全扯上边。我说能，就是有那么点可能。
大家都知道，不管是RMI、CAVIUM、INTEL、AMD都是美国生产的，美国的东西都是有后门的，这大家也知道。难道RMI和Cavium中有没有后门。
有人又说了，X86也有后门呀，难道你不担心么。这个我确实不担心，因为Intel、AMD是全球发售产品的，而且几乎所有人都会使用他们的产品，即使有后门，不到最后关头，他们不敢使用。但是 RMI和Cavium就不一样了，他们的产品都是直接发售给你的，他们甚至可以控制到每一颗芯片的流向，这样就可以在芯片中加入特定的后门，只对你的系统起作用，海湾战争中就已有先例了。
你看看是不是涉及国家安全了。

下面再分析分析多核适合做哪些防火墙
说了这么多，抛掉前面讲的，多核终归是一种技术上的进步，是否适合做防火墙呢，这得从防火墙的功能说起。现在的防火墙基本上都是作为网络边界来使用的，所处的地位就造成了防火墙越来越复杂，UTM也就诞生了，大家都希望防火墙能做很多事，恨不得所有都有防火墙承担。而防火墙面临的网络环境却是越来越复杂了，网络应用一天比一天多，安全漏洞永远堵不完，病毒越来越狡猾，这个迫使防火墙的功能不断在增加。不过，我倒觉得这是个机会，为什么这么说呢。以前，我们一提到核心交换网、门户网站，网络游戏等就知道，他们肯定没有防火墙，至少是没有网络防火墙，为什么，应为他们流量太大了，现有的防火墙都受不了。多核产品出来倒是个机遇，让我们可以把防火墙重新分分类，可以分为核心网防火墙和边界防火墙。
核心网防火墙不需要什么反病毒、反入侵功能，只要做好状态监测就可以了，这种防火墙强调的是性能，倒是很适合多核。
边界防火墙就是向UTM发展，功能很多，性能不一定要求很高，可以使用X86加ASIC或FPGA来实现。现在的Fortinet就是朝这个方向发展的。

多核另一个用途就是接入服务器和边界路由器，比如网吧路由器，这个市场倒是很适合多核，还有就是Internet网关路由器，比如小区宽带出口、学校出口等需要大量NAT的地方，这些都适合多核。

如果要我来做防火墙，我认为最好的结构是 X86+多核，多核主要负责网络层，X86负责应用层，这样就比较完美了，当然，X86也是不断向前发展的，比如 IOAT就是很好的技术，缓存的大小也会对性能有影响的。

network

近段时间，服务器新技术可谓层出不穷，先是Intel的EM64T大军杀到，接着双核心、CELL技术呼声高涨，现在，Intel又发布了一项新的芯片技术，将原本集成在网卡上的TCP/IP卸载引擎(TCP/IP Offload Engine，TOE)嵌入到处理器之中。 　　
这项技术看上去似乎对CPU性能的提升不会有很大帮助，但Intel指出，由于CPU的性能和网络带宽的提高，目前速度的瓶颈已经转移到了传输TCP/IP数据的方法中，而这项称之为“Intel I/O加速技术”(I/OAT)的附加功能够加快CPU中的协议堆叠，从而使芯片能够专注于本身的任务而无需花费太多的时间用于等待子系统所要求的网络流量。该技术还支持由芯片组执行的数据拷贝、数据和指令的并行处理、以及网络控制器的直接内存访问等功能。Intel声称，在测试环境下，集成于芯片的TOE功能在性能上要比依赖于一张独立网卡的性能提高90%。 　　
对于此项技术十分乐观的Intel数字娱乐部营销经理史蒂芬-切诺维介绍说，I/OAT集成了存储加速技术，能够减轻CPU在处理RAID-6存储过程中的负担。不过，由于这项技术依赖于内存控制器，因此只能应用于新的芯片而无法对旧的CPU提供兼容性支持。另外，I/OAT也无法适用于非Intel架构的产品，对于异类网络可能会产生难以预测的后果。同时I/OAT在处理器中也将默认设置为常开状态，但这不会给病毒木马或蠕虫带来可乘之机。 　　
根据Intel的开发计划表，搭配I/OAT技术的芯片至少要到2006年才能量产。

network

在视频数据处理中，服务器是通过检查接收、处理和响应客户请求完成客户视频请求。基于INTEL的I/O加速技术，在核心的CPU、北桥、网卡、IO等内嵌了专用的数据搬运和处理单元，所有的数据校验用数据搬运都由不同部件的单元来处理，降低了CPU约40%的开销，同时数据由专用部件完成，处理性能提升80%，数据处理流程由原来的用户、网卡、北桥、CPU、内存、北桥、存储IO，直接转变为由网卡、芯片组、CPU的IOAT处理单元来完成，将性能限制瓶颈降至最低限度，IOAT技术加快了TCP/IP的处理，并提升了整个服务器平台的数据移动效率。同时IOAT技术可以在多个千兆位以太网卡进行无缝扩展，可有效扩展至8个千兆以太网。

  IOAT技术是一个安全灵活的选择，它可以避免因为依赖于第三方硬件厂商进行网络堆栈更新而产生的相关支持风险。IOAT技术还能过保持对CPU内网络堆栈处理的控制，可保护关键网络配置，如分组和故障切换。降低了IT部门的支持风险。

network

英特尔I/O AT和下一代IOAT2技术概览
　2007年4月18日，英特尔在北京国际会议中心举行2007春季技术峰会。下午1：50分召开了《英特尔I/O AT和下一代技术概览》技术交流会。临近大会虽然还有一定距离时间，但是我们在这间会议室里看到所有的位子已经作无缺席，连后排的空隙也都排满了嘉宾。　　本次会议议程主要分为三个新闻点，分别是：1我们为何需要IOAT？ 2IOAT是怎样工作的？ 3下一代IOAT技术介绍。
我们为何需要IOAT
　　随着网络的数据不断增长，网络数据流出/入及服务器要求资源延展。据IDC统计：iSCSI存储系统以及连接的服务器可以在以太网上推动高达600%的数据包数量增长。在调查中还显示目前已有22%的服务器进行了虚拟化，还有45%的服务器有部署虚拟化的打算。
　　英特尔I/O加速技术的主要特性表现为：可操作性、可升级性和可靠性。安装I/O AT加速补丁可以帮助企业解决系统效率和可靠性问题。
IOAT是怎样工作的
　　数据包访问到网卡——ISR——延迟调用——TCP/IP之间互相传送最后在经过内存控制器，网络I/O数据流处理期间的主要性能问题：CPU不可避免地多次存取内存，设备到应用程序的系统开销，系统资源利用，以上时间皆浪费CPU时钟周期。英特尔I/OAT技术支持Linux2.6.28内核，支持Novell SUSE*Linux Enterprise10，微软server2003 Scalable Network Pack，另外在VMware ESX*3.x在VMworld 2006上已有演示。
　　除此之外，I/OAT技术还可以提高前端服务器需求，通过这项技术可以接收数百或数千个并发TCP连接，同时拥有较短的连接时间以及较小的I/O（2KB或更小）。
下一代IOAT技术介绍　英特尔I/OAT2有哪些新的性能？
　　新的技术有益于数据中心网络I/O的增强性能，主要是从多端口10GbE、虚拟化、网络存储、应用快速响应、附加协议和附加的平台级加速。新一代的I/OAT2技术在原有基础上增加了直接高级缓存访问（DCA），MSI-X、中断快速响应、头部分离/复制等技术。在直接高速缓存访问的问题在于CPU不可避免多次存取内存。工作过程是使CPU高速缓存中的数据可以优先访问。优势是来自CPU更低的数据存取延迟。
新特性-快速响应性能增强
感觉——降低反应时间使以太网性能看上去更出色。
事实——更快的中断速度=快速反应
改进——选择性中断行为的流量区别、直接内存访问、MSI-X
优势——应用程序可以快速响应
新特性—头部复制/分离
头部分离
　　将来自数据/有效负载的TCP，IP头部放入不同的内存缓冲中。头部分离用于缓存预热——预取头部放入高速缓存。头部的尺寸可能不同，但是，并不是所有头部都适合这个尺寸（可变长度可达256B）。
头部复制
　　代替分离头部和数据并把它们放置在不同的缓冲中，头部复制是将头部进行拷贝并放置于不同的缓冲当中，然后将整个数据包放入另一个缓冲当中。比起头部分离机制，头部复制可用于更长的头部（典型为60-128字节）。
总结：
　　网络I/O需求正在快速增长，使用IOAT技术可以帮助IT企业“事半功倍”。下一代IOAT2可与10GBE扩充，更快的CPU和更多的内核，更快的响应时间，更出色的虚拟化支持，与主流操作系统紧密结合，这一切都将在基于Stoakley平台发推出时得到实现。