 |
|
|
|
|
|
| |
 案例背景分析
作为全球最大的半导体芯片和通用微处理器制造商,英特尔公司在产品和技术的开
发上一直都遵循开放和标准化的原则,这使得它的产品获得了广泛的适用性,不
但在个人电脑和服务器等传统计算机领域获得了尽人皆知的成功,在对数据处理
能力要求越来越高的网络通信和网络安全领域,英特尔的产品和解决方案也开始发挥出至
关重要的作用,并引领相关技术和行业的发展。通过与广大下游厂商的合作,英特尔高性
能、低功耗的通用处理器和平台产品已经为通信设备提供了强大的计算能力、高可用性和
高稳定性。在此基础上,英特尔正在致力于将其先进的技术和产品引入到近年来在网络信
息安全领域备受关注的 UTM 产品领域,通过构建新一代基于英特尔低电压双核处理器和
网络处理器的 UTM 产品为用户提供了更好的选择。
在以下的案例中,英特尔融合创新技术,为整合式安全产品提供的解决方案,帮助传统的
信息安全产品用户和大量 IT 资源短缺的企业成功实现了网络和信息安全的集中管理,从
容应对来自企业外部和内部的网络攻击,为统一的防火墙、防病毒、入侵防御等企业信息
安全防护搭建了高性能、高效率的硬件平台,展现了基于英特尔网络处理器和通用处理器
产品在 UTM 市场的广阔的市场空间和发展前景。
UTM简介及市场分析
UTM(Unified Threat Management)意为统一威胁管理,是在 2004 年 9 月由 IDC 提出
的信息安全概念。基于这一概念的网络安全设备一般将防病毒、防火墙、入侵防御等网络
信息安全功能集于一身,通过整合先进的硬件、软件和网络技术,为用户特别是企业的 IT
系统管理部门提供一站式的解决方案,协助他们完成诸如阻止网络用户访问恶意网站、保
护网络程序、网关杀毒、邮件过滤、网络监控、SSL/IPSec VPN 以及集中管理多台 UTM
的功能。UTM 的诞生与近几年飞速发展的互联网络有着直接的关系。仅仅在几年前,人
们还可以如数家珍地讲述各种流行的安全漏洞和攻击手段,而现在,每天都有数百种新病
毒被释放到互联网上,而各种主流软件平台的安全漏洞更是数以千计。通过系统漏洞进行
自动化攻击并繁殖的蠕虫病毒、寄生在计算机内提供各种后门和跳板的特洛伊木马、利用
Zombies 进行淹没式破坏的分布式拒绝攻击、利用各种信息向用户传输垃圾信息及诱骗信息...这些攻击方式让缺乏保护的计算机设备面临的安全困
境是无法估量的。而传统的防病毒软件只能用于防范计算
机病毒、防火墙只能针对非法访问通信进行过滤,而入侵
检测系统只能被用来识别特定的恶意攻击行为,在这种情
况下,防御类型繁多且更具智能化的攻击行为,需要安全
产品具有更高的智能,从更多的渠道获取信息并更好的使
用这些信息,以协同能力面对日益复杂的攻击手段。因此
在今天的安全产品市场上,整合式的安全设备日益受到用
户的欢迎,行业人士普遍认为UTM类型的产品将成为网络安
全设备市场的主流。
传统的网络安全产品及 UTM 大致分为三种类型,分别是基
于 ASIC 架构的防火墙、基于网络处理器(NP)架构的防
火墙和 UTM 产品,以及基于 X86 架构的 UTM 产品。基
于 ASIC 架构的安全产品,通过专用的芯片处理网口接收到
的信息,并集成了路由、NAT、防火墙规则匹配等安全机
制,大量的信息可以不用经过主 CPU 处理,提高了系统的
数据处理效率,但由于其芯片功能单一、开发升级维护的
周期较长,也无法在芯片一级完成杀毒、邮件过滤、网络
监控等功能,作为功能相对简单的防火墙是完全适用的,
但无法满足多功能集成的 UTM 设备的要求。NP 架构的网
络安全产品,通过网络处理器(Network Processor)来处理
来自网口的数据,其性能与 ASIC 相差不多。每个微引擎
(NPE)采用微码编程,灵活性/可编程性比 ASIC 强很多,
但是由于网络处理器的整体性能不高,也无法完成诸如网
关杀毒、垃圾邮件过滤、访问监控等复杂功能。基于 X86
架构的 UTM 解决方案,虽然其主 CPU 性能强大,但是由
于其所采用的中断机制,使得当主 CPU 处理大量的网络
数据时,要频繁的响应中断及 I/O 请求,导致小包通过率
低,对于通过产生大量小包的 DOS、DDOS 攻击,常常束
手无策,并且由于要占用大量系统资源处理小包,会产生
CPU 性能瓶颈。
为了解决传统的硬件平台产生的诸多问题和困难,面对日
益复杂的网络安全现状,实现高性能的 UTM 硬件平台,英
特尔公司融合先进的网络处理器技术和通用处理器技术,
打造 Intel® IA+IXP2400 架构的异构处理器平台,实现了网
络处理器和通用处理器的优势互补。
英特尔公司的角色
英特尔公司作为全球芯片创新的领先企业,在过去的 30
多年中,通过将先进的芯片和平台技术不断引入到行业中
来,在数据计算、信息处理、网络通信等诸多领域引发了
巨大的变革。面对信息安全领域的巨大挑战,特别是以大
数据吞吐、高性能处理、多功能集成为特点的新一代 UTM
设备的兴起,英特尔将融合双核架构、先进制程、多种创
新技术的面向嵌入式计算的低电压/超低电压版双核至强
处理器引入其中,构建了新一代基于 IA+IXP2400 架构的
UTM 平台。不仅如此,英特尔还与国内一流的科研机构合
作,为业界提供了高效、易用、稳定、可移植的融合先进
软硬件技术的 UTM 解决方案。
英特尔公司推出的第二代网络处理器 IXP2400,提供了在
任何端口上处理任何协议的灵活性、从 ATM 到 IP 网络
的平稳移植能力、面向定制操作的线速处理能力、特性升
级、以及新兴标准支持等特性,是千兆以太网应用的最佳
选择。在基于 IA+IXP2400 架构的 UTM 硬件平台上可以发
挥其在并行和流水线处理方面具备的优势,通过 IXP2400
中微引擎的高速处理能力,可以将 IA 处理器从频繁的中
断、IO 操作和沉重的 2-4 层安全处理、流量转发负载中解
放出来。IA 架构处理器采用英特尔® 低电压/超低电压版双
核至强® 处理器,其先进的处理器架构、强大的计算能力、
优异的性能功耗比为硬件平台提供了出色的数据处理能
力,可以满足防病毒、网络监控、流量管理、内容过滤等
复杂任务,应用多核技术,进一步提高了大流量、多任务
的并行处理能力。两者结合,实现了 UTM 平台整体性能的
显著提升。
为了最大程度地降低异构处理器平台的软件开发、管理的
难度, 充分发挥硬件平台的性能优势, 为广大安全设
备厂商提供可编程、可移植、高可用性的应用平台,英特
尔与北京大学计算机科学技术研究所合作,开发了先进
的网络安全业务平台软件(包)SEP(Security Engineering
Package),以帮助安全厂商快速、便利地开发出基于
IA+IXP2400 架构的高性能网络安全产品,或将已有的网
络安全高层业务模块平滑移植到新的硬件平台上。据北京
大学计算机科学技术研究所的技术人员介绍,SEP 通过屏蔽 NP 硬件细节,可以帮助开发人员跨越异构平台和 NP 应
用开发的技术壁垒,通过采用为绝大多数安全厂商熟悉的
Linux 环境,为网络安全高层业务模块(如防病毒、入侵检
测、内容过滤等)提供灵活简便的集成框架,使得安全厂
商能够将资源集中于自己熟悉的技术平台、熟悉或关注的
技术领域,从而减少开发资源投入,缩短产品研发周期,
赢得市场先机。
SEP 与 IA+IXP2400 架构的硬件平台相融合,通过高性能
的硬件平台、精良的软件体系结构设计、独特而高效的通
信协议和通信层设计,为业界提供了面向 UTM 等高端网络
安全应用的全新解决方案。北京大学计算机科学技术研究
所的相关人士表示,“通过与英特尔的合作,我们进一步
加强了在企业信息安全方面的技术和产品研发。我们相信
在英特尔先进的芯片技术的支持下、在英特尔和业界的共
同推动下,一定会有更多性能更为优异的安全产品出现,
为企业的信息安全管理带来更大的帮助。”
案例总结
本案例旨在通过英特尔® IA+IXP2400 架构平台及其与北
京大学计算机科学技术研究所合作开发的网络安全平台业
务软件(包)SEP 在 UTM 产品上的应用,展现了英特尔先
进的芯片技术和平台产品在信息安全领域的巨大影响。作
为全球芯片创新的领先企业,英特尔不仅提供高性能的网
络处理器、通用处理器和平台产品为行业发展注入强大动
力,还进一步与科研机构和业界伙伴合作,通过提供融合
先进软硬件技术的解决方案消除了高端网络安全产品的发
展桎梏。这些充分反映了英特尔作为行业领袖,在致力于
开拓全新的技术疆域和应用业务的同时,在推动整个行业
进步和发展方面做出的积极表率。
|
|
|
|
|
|
|
|
|
