到期的契约?
正如本文开头所讲的,FPGA并非职业杀手,其高速、灵活的特征在IPS上具有杀手级潜力,但在其他的安全领域则未必如此。对于目前发展如火如荼的UTM以及高端防火墙市场,体系架构的争论还是很激烈。
WatchGuard亚太区技术总监叶建辉认为,ASIC的发展速度一定不及通用CPU,用来发展新一代ASIC的时间,通用CPU可能已经经历三至四代。相应的,FPGA的问题也是如此。所以公司决定采取通用CPU作为发展UTM安全平台的架构。从目前的情况看,通用CPU对比专用器件在处理一般安全功能方面没有很大的性能差距,近期更有双核这类高性价比技术的出现,进一步提升了CPU的性能。
虽然FPGA与ASIC相比相对灵活,可以比较灵活地处理IDS/IPS及防病毒所需更新的签名功能(Signature),但对如今市场对UTM的需求期望,无论是ASIC或FPGA都显得无法灵活处理。
他指出,在安全产品只提供防火墙及VPN功能的时代,ASIC的设计已经足够。虽然ASIC不够灵活,但它可提供快速处理包过滤这类特定的功能。然后安全产品又加入了IDS/IPS及防病毒等需要快速模式匹配及更新签名的功能,此时FPGA比较灵活的架构就可派上用场。但如今UTM安全平台除了以上的功能,还有防垃圾邮件、防间谍软件及URL/内容过滤等只有通用CPU来架构会才能实现的功能。这些UTM功能不同防火墙/VPN/IDS/IPS,不是单一特定功能或模式匹配,所以用FPGA不能实现大幅提高性能的目的,而在通用CPU架构上同时使用软件可实现更高的整体性能。
利用CPU架构,WatchGuard的智能分层安全引擎(ILS)在安全操作系统和软件上整合了多种UTM功能。由于有很多攻击并不针对某一项安全功能,智能分层安全引擎能在不同安全层面上互相沟通,所以更能有效的捍卫受保护的网络。
SINFOR的技术经理叶宜斌认为,X86架构是实现UTM最好的平台。因为大多数的网关型产品都采用这种模式。毕竟UTM的发展趋势是一个设备中集中越来也多的功能,这个是要求需要很高的扩展性,而内容过滤也是目前CPU的强项。但他不排除今后会在中高端UTM产品中加入FPGA芯片。
SonicWall北方区技术经理蔡永生认为,由于UTM的环境影响,很可能多内核的安全处理器会更加有优势。因为为安全应用而设计的多内核安全处理器比FPGA有更大的灵活性。只要通过软件升级,安全设备可以不断地更新以防御最新的安全威胁,而且性能不比PFGA差。在此基础上,利用一套高性能的DPI深度包检测引擎,实现病毒,入侵和间谍软件的扫描。
另外,他始终认为,对于大量部署的设备而言,让客户升级FPGA是有难度的,而且存在烧写限制。不过在这一点上,TippingPoint指出其数字疫苗方式(类似Signature)非常便于用户下载、升级,且每周一次的疫苗发布不会突破FPGA的寿命。
作为近两年在安全领域突飞猛进的本土企业代表,神州数码网络的安全技术经理王景辉认为,在不同的需求和不同的环境下,安全厂商会根据自己的产品定位来选择相应的技术手段。不过对于不同的技术本身,他觉得也许不存在好与坏的差异。
据悉,在神州数码网络最新推出的UTM产品中,采用的也是X86架构,其核心在于保证性能与多功能的前提下,实现最丰富的应用。他认为对于安全产品,特别是具有内容控制的产品,必须提供灵活与使用便利的能力,同时还要为用户提供优秀的性价比。在目前情况下,FPGA的高成本与低功能集成特征,无法满足UTM的需要。
同时,他也指出,目前国内市场上的UTM产品主要集中在中低端的100M左右产品,在这个吞吐率下,使用X86架构不会带来瓶颈,相反还可以提供更加灵活的部署方案。而如果今后随着双核技术以及CPU技术的进一步发展,加上对吞吐率要求的提高,不排除会在相关产品中加入FPGA的可能性,但这还是要看市场的发展。
另外,神州数码网络的产品经理杨雁群表示,利用X86架构不仅可以获得高功能集成,而且可以利用软件确保与周围设备的联动配合。目前神州数码网络打算将UTM产品部署到自己的全网安全解决方案当中,以便获得最佳的安全性与易用性。
作为在众多安全领域都有涉足的Juniper,其产品线涵盖了防火墙、VPN、IPS/IDS、UTM等多个领域,而在不同的产品中,CPU、NP、ASIC、FPGA也都有使用。
Juniper技术经理王卫对于不同技术在安全产品中的应用看得十分清楚,他觉得各种技术、体系架构就像一个个名词,本身没有优劣之分,只有在不同环境下,不同产品中,采用最适合技术的选择。
比如高端防火墙的吞吐率可以达到30G,而在这个模式下,没有用户会去考虑其防病毒的特点,因此用ASIC来实现无疑是合适的。如果用X86架构做,也许满满一机箱的CPU也能做到,但是成本、功耗都是大问题。同样的道理,如果仅仅是一款百兆防火墙,纯粹的CPU可以获得最佳的性价比。
但他觉得目前争论的焦点在于百兆防火墙和千兆防火墙的入口,多种技术会有交叉。因此出现CPU+NP+ASIC的架构就不足以为怪。而FPGA也是同样的道理,对于千兆以上,万兆以下的产品,FPGA有可能,但前提是成本。其实很多高端产品在设计模拟阶段用FPGA,但是固定下来后会烧成ASIC。不过到达万兆甚至更高,则很难说了。
总而言之,他觉得在安全产品中,变化可能性较高的产品用FPGA比较合适,而UTM则基本与FPGA无缘,因为相对来说,这么多年来查病毒就是CPU做的比较好。
最后,王卫提出了一个非常有意思的观点:可编程器件的界限会越来越模糊,ASIC已经可以编程,NP和FPGA更加加强了这方面的能力,未来可变化的能力各种体系都有,将来任何一种手段都可以实现灵活的能力。因此未来在体系结构选择中,依然会是:在什么环境下,什么吞吐能力下,选择最合适的技术。
到期的契约?
正如本文开头所讲的,FPGA并非职业杀手,其高速、灵活的特征在IPS上具有杀手级潜力,但在其他的安全领域则未必如此。对于目前发展如火如荼的UTM以及高端防火墙市场,体系架构的争论还是很激烈。
WatchGuard亚太区技术总监叶建辉认为,ASIC的发展速度一定不及通用CPU,用来发展新一代ASIC的时间,通用CPU可能已经经历三至四代。相应的,FPGA的问题也是如此。所以公司决定采取通用CPU作为发展UTM安全平台的架构。从目前的情况看,通用CPU对比专用器件在处理一般安全功能方面没有很大的性能差距,近期更有双核这类高性价比技术的出现,进一步提升了CPU的性能。
虽然FPGA与ASIC相比相对灵活,可以比较灵活地处理IDS/IPS及防病毒所需更新的签名功能(Signature),但对如今市场对UTM的需求期望,无论是ASIC或FPGA都显得无法灵活处理。
他指出,在安全产品只提供防火墙及VPN功能的时代,ASIC的设计已经足够。虽然ASIC不够灵活,但它可提供快速处理包过滤这类特定的功能。然后安全产品又加入了IDS/IPS及防病毒等需要快速模式匹配及更新签名的功能,此时FPGA比较灵活的架构就可派上用场。但如今UTM安全平台除了以上的功能,还有防垃圾邮件、防间谍软件及URL/内容过滤等只有通用CPU来架构会才能实现的功能。这些UTM功能不同防火墙/VPN/IDS/IPS,不是单一特定功能或模式匹配,所以用FPGA不能实现大幅提高性能的目的,而在通用CPU架构上同时使用软件可实现更高的整体性能。
利用CPU架构,WatchGuard的智能分层安全引擎(ILS)在安全操作系统和软件上整合了多种UTM功能。由于有很多攻击并不针对某一项安全功能,智能分层安全引擎能在不同安全层面上互相沟通,所以更能有效的捍卫受保护的网络。
SINFOR的技术经理叶宜斌认为,X86架构是实现UTM最好的平台。因为大多数的网关型产品都采用这种模式。毕竟UTM的发展趋势是一个设备中集中越来也多的功能,这个是要求需要很高的扩展性,而内容过滤也是目前CPU的强项。但他不排除今后会在中高端UTM产品中加入FPGA芯片。
SonicWall北方区技术经理蔡永生认为,由于UTM的环境影响,很可能多内核的安全处理器会更加有优势。因为为安全应用而设计的多内核安全处理器比FPGA有更大的灵活性。只要通过软件升级,安全设备可以不断地更新以防御最新的安全威胁,而且性能不比PFGA差。在此基础上,利用一套高性能的DPI深度包检测引擎,实现病毒,入侵和间谍软件的扫描。
另外,他始终认为,对于大量部署的设备而言,让客户升级FPGA是有难度的,而且存在烧写限制。不过在这一点上,TippingPoint指出其数字疫苗方式(类似Signature)非常便于用户下载、升级,且每周一次的疫苗发布不会突破FPGA的寿命。
作为近两年在安全领域突飞猛进的本土企业代表,神州数码网络的安全技术经理王景辉认为,在不同的需求和不同的环境下,安全厂商会根据自己的产品定位来选择相应的技术手段。不过对于不同的技术本身,他觉得也许不存在好与坏的差异。
据悉,在神州数码网络最新推出的UTM产品中,采用的也是X86架构,其核心在于保证性能与多功能的前提下,实现最丰富的应用。他认为对于安全产品,特别是具有内容控制的产品,必须提供灵活与使用便利的能力,同时还要为用户提供优秀的性价比。在目前情况下,FPGA的高成本与低功能集成特征,无法满足UTM的需要。
同时,他也指出,目前国内市场上的UTM产品主要集中在中低端的100M左右产品,在这个吞吐率下,使用X86架构不会带来瓶颈,相反还可以提供更加灵活的部署方案。而如果今后随着双核技术以及CPU技术的进一步发展,加上对吞吐率要求的提高,不排除会在相关产品中加入FPGA的可能性,但这还是要看市场的发展。
另外,神州数码网络的产品经理杨雁群表示,利用X86架构不仅可以获得高功能集成,而且可以利用软件确保与周围设备的联动配合。目前神州数码网络打算将UTM产品部署到自己的全网安全解决方案当中,以便获得最佳的安全性与易用性。
作为在众多安全领域都有涉足的Juniper,其产品线涵盖了防火墙、VPN、IPS/IDS、UTM等多个领域,而在不同的产品中,CPU、NP、ASIC、FPGA也都有使用。
Juniper技术经理王卫对于不同技术在安全产品中的应用看得十分清楚,他觉得各种技术、体系架构就像一个个名词,本身没有优劣之分,只有在不同环境下,不同产品中,采用最适合技术的选择。
比如高端防火墙的吞吐率可以达到30G,而在这个模式下,没有用户会去考虑其防病毒的特点,因此用ASIC来实现无疑是合适的。如果用X86架构做,也许满满一机箱的CPU也能做到,但是成本、功耗都是大问题。同样的道理,如果仅仅是一款百兆防火墙,纯粹的CPU可以获得最佳的性价比。
但他觉得目前争论的焦点在于百兆防火墙和千兆防火墙的入口,多种技术会有交叉。因此出现CPU+NP+ASIC的架构就不足以为怪。而FPGA也是同样的道理,对于千兆以上,万兆以下的产品,FPGA有可能,但前提是成本。其实很多高端产品在设计模拟阶段用FPGA,但是固定下来后会烧成ASIC。不过到达万兆甚至更高,则很难说了。
总而言之,他觉得在安全产品中,变化可能性较高的产品用FPGA比较合适,而UTM则基本与FPGA无缘,因为相对来说,这么多年来查病毒就是CPU做的比较好。
最后,王卫提出了一个非常有意思的观点:可编程器件的界限会越来越模糊,ASIC已经可以编程,NP和FPGA更加加强了这方面的能力,未来可变化的能力各种体系都有,将来任何一种手段都可以实现灵活的能力。因此未来在体系结构选择中,依然会是:在什么环境下,什么吞吐能力下,选择最合适的技术。
举报