突破性能瓶颈指日可待
5月28日,启明星辰在京宣布推出万兆多核UTM平台,这标志着启明星辰在多核UTM研发方面达到了国际领先水平。
据介绍,启明星辰万兆多核UTM平台USG-10000是基于Cavium多核技术开发的。经验丰富的专用产品开发团队,十余年入侵检测技术方面的积累,多年的UTM产品开发经验,使得启明星辰能够轻松驾驭多核平台。
目前,该平台已经实现了防火墙和IPS功能,最高防火墙性能为25.45Gbps,最高IPS性能为11.74Gbps,均达到了万兆的水平,尤其是IPS万兆处理能力,代表了国内的最高水平,同时也是全球第二家达到此水平的厂商,进入了国际领导者行列。
万兆UTM需求在哪里?
2007年是中国UTM市场爆炸式增长的一年,增长率超过80%,下半年同比增长速度甚至超过了100%,用户对UTM产品的认知度和美誉度在不断攀升,UTM产品已经成为解决网络边界安全的首选产品。
启明星辰从4年前进入UTM领域,一直把用户价值放在首位,致力于UTM产业的推进。2005年发布了第一代“叠加式”的UTM产品,2007年发布了 “一体化”的UTM产品,在传统x86平台上实现了较高的UTM性能,能够满足政府、中小企业用户的网络边界安全防护需求。启明星辰注意到,在高校、大企业、电信运营商等行业,用户对UTM也非常感兴趣,从功能的专业性而言完全可以满足这些行业用户的需求,但采购不踊跃,根本原因还是在于性能不足。
早在2006年研发“一体化”UTM的时候,启明星辰就清晰地看到了这块需求,也就是从那个时候,开始对高端UTM产品的性能问题进行预研。经过近半年的预研,有了初步的结论:在目前现存的CPU、NP、ASIC、Multi-Core等硬件平台中,CPU性能低,NP性能适中开发难度大有些象鸡肋,ASIC难以实现应用层安全功能,而灵活性和性能兼备的多核成为最适合高端UTM产品的技术;同时经过对芯片厂商、技术路线、关键点等方面的分析,确认在多核上实现高性能UTM是完全可行的。
多核UTM存在的技术难题
可行,并不意味着一帆风顺。在国外,2005年就有厂商在多核上开始研发高性能的UTM产品,但进展缓慢。这是因为多核技术本身比较复杂,全面的驾驭多核存在很多难题。
首先,由于多核芯片内存在多个处理器,传统的操作系统根本无法运行,必须对操作系统进行重新构架和开发,其中包括内存管理,定时器管理,文件管理等诸多操作系统功能,这本身就是很大难题。
其次,在多核上实现UTM的业务调度是重大难题。业务处理一般有并行和串行两种模式:并行方式下,普通处理方式在多流多核分配时,无法保证唯一性,这需要实现智能业务并行化调度,在多核平台上保证唯一性,同时实现对多个内核资源的充分挖掘和利用;串行方式下,需要根据各个功能模块占用系统资源不同进行相应的分配,以保证没有性能瓶颈,这样当功能模块或平台发生变化时,牵一而动百,软件业务流程需要做相应开发调整,调理不当,就会出现性能多核处理器内的性能瓶颈。可以看出来,不管是采用并行处理方式还是串行处理方式,都会存在业务调度方面的难题。
再次,在采用并行化处理方式时,面临应用层检测效率难题。软件架构要求每个核均能实现所有的功能,包括防火墙、入侵防御、防病毒、内容过滤、P2P 控制等,对应用层数据的分别检测非常耗费系统资源,这会导致单核产生性能瓶颈产生;为了避免单核瓶颈,需要尽量提高应用层检测效率。
最后,驾驭了多核之后,通过软件设计和实现,充分挖掘多核的性能也是世界级难题。这个可以从较宏观的角度看下,全球范围内,2005年就有部分安全厂商投入研发基于多核平台的UTM产品;截止到2008年5月,据不完全统计,全球发布基于多核高端产品的厂商9家;其中绝大多数实现了防火墙性能达到万兆;但仅有1家国外厂商真正完成了多核UTM产品的开发,达到商用的水平,研发历时2年半;这充分说明在多核处理器上实现全功能、高性能是一个世界级的难题。
充分认识和评估这些难题后,从2007年5月开始,启明星辰组建了一支素质过硬的队伍,这个队伍具备超过10年的专用硬件平台开发经验,成功研发各类基于NP、ASIC、FPGA、TCAM等专用硬件平台的高端路由器、交换机、防火墙产品,完全具备驾驭多核平台的能力。
同时,启明星辰选定了Cavium的OCTEON作为多核技术的合作平台,在后续的一年中投入2000万元,连续攻克操作系统重构多个难题,突破业务并行调度难题,突破单核故障自动恢复难题,实现了对多核处理器的全面驾驭。
经过一年半的大力投入,启明星辰目前已经攻克了全部可预见难题,国内第一款真正意义上的万兆UTM即将问世,而阻碍UTM进一步发展的性能问题也将得到有效解决。