——訪銳捷網絡安全產品經理孫含元

針對目前網絡設備市場中，多核業務在安全產品中的應用情況，《網絡世界》對銳捷網絡安全產品經理孫含元進行了深度訪談。

《網絡世界》：為什么很多安全產品都采用多核處理器？與單一的ASIC、NP架構相比，多核的優勢是什么？

孫含元：從本質上來說，網絡設備主要解決兩個問題：IO能力和數據包處理能力。在信息量呈現指數級增長和層出不窮的網絡攻擊逐步由網絡層和傳輸層向應用層轉變的大背景下，傳統架構在這兩個方面面臨著不可調和的矛盾：

♦ 單核x86 CPU來構建的產品，受限于南北橋結構和PCI總線能力，在IO能力上表現不盡如人意。同時，主頻提高帶來的以平方速度增長的能耗問題和由此衍生的散熱問題日益突出。

♦  NP和ASIC技術通過對固定格式數據包的快速轉發而解決了網絡設備的IO問題。但是NP和ASIC架構面對應用層的數據包處理時，不夠靈活的弱點暴露無疑，無法適用應用趨勢的發展。

面對困境，多核技術應運而生，不僅解決了傳統的x86、NP和ASIC架構面臨的問題，而且還具備并行處理、任務分離、散熱容易等先天性技術優勢。

《網絡世界》：多核帶來了哪些技術挑戰？銳捷網絡是如何解決的？

孫含元：多核帶來的技術挑戰主要是兩個方面：

多核之間的有效調度和協調處理。從硬件特性上，多核相對單核來說占據明顯優勢，必將取代單核。但不是使用多核處理器就能大大提高產品性能。多核之間的調度和協調處理就是多核技術面臨的嚴峻挑戰。針對該情況，銳捷網絡在防火墻操作系統上不斷地完善，而且還在內核和驅動層方面進行大力優化。實現了CPU核任務調度的動態分配技術、并行設計算法、核間系統開銷更小等關鍵技術，合理劃分任務，大大減少了核間通信，能有效降低串行執行比例和降低交互開銷，實現了多核的有效調度。

如何保障安全功能開啟后的可用性。目前市場現有的防火墻發展情況來看，大部分廠商都已經實現了多項功能聚一身的防火墻，但是面開啟防火墻功能后，經常會出現網絡訪問效率急劇下降、防火墻無法管理，防火墻宕機等很多問題。因此，如何保障安全功能開啟后的可用性是多核技術必須要面對和解決的問題。銳捷網絡通過SecOS II專用操作系統來進行優化，通過超立方多維環狀并行算法實現對防火墻數據任務調度、并行處理、管理和控制，實現了如何駕馭更多處理器核、減少串行比例、降低系統開銷，做到了功能開啟，網絡安全無憂。

《網絡世界》：銳捷多核防火墻采用的是什么品牌的處理器？您認為Intel多核處理器各自的優勢是什么？

孫含元：銳捷多核防火墻使用了Intel多核處理器。

Intel多核處理器的特點：

1 新的PCI-E總線是直接從北橋接出來的獨占式總線，相比以前通過南橋—>北橋—>FSB—>CPU的共享式PCI總線，IO效率大大提高；同時，單條通道的單向帶寬達到2Gbps，現在做得多的可達16通道，雙向可達到64Gbps的吞吐量，從根本上解決了IO性能問題

2 現在x86多核平臺可以集成2個4核CPU，單核處理能力達到2Ghz是稀松平常的，整體處理能力可達2×4×2=32Gbps；同時，x86多核通過分布式方式，有效解決了單核CPU面臨的能耗問題和散熱問題

3 x86架構基于復雜指令集，在復雜數據處理方面具備得天獨厚的優勢，在PC上面已經有超過30年的應用數據處理經驗，在強調應用層數據處理能力的今天尤為合適

4 Intel技術實力強大，產品商用化程度高，成熟可靠。眾多軟件廠商已經在x86多核的開發上具備強大的實力和豐富的經驗，x86多核在安全產品上已經有廣泛應用

《網絡世界》：借助多核，銳捷防火墻在哪些方面獲得了顯著提升？

孫含元：通過實現了多核的有效調度，以及為每一個核提供了額外的協處理器，使多核平臺的集成可以明顯提高分析處理性能，大幅度提升了防火墻的性能。

除了突破性能瓶頸，銳捷網絡新一代防火墻還在功能上取得了很大的突破，詮釋了應用安全。

1 支持硬件模塊化和軟件模塊化，不僅穩定可靠，而且靈活易擴展，能很好地保護用戶投資。

2 支持高可用的SSL VPN解決方案，在PPTP、L2TP、IPSec VPN之外，還為用戶提供完整的VPN解決方案。

3 支持萬兆光模塊，配合銳捷萬兆交換機和路由器等基礎網絡平臺，幫助客戶構建順暢全萬兆安全網絡。

4 內置安全助手，可以主動掃描網絡活動主機，開放端口，操作系統版本和服務器版本，并添加至安全策略。

5 高可靠性的業務監控，不僅可以提供CPU、內存、用戶連接數等信息監控，還提供鏈路級、VPN隧道和應用業務（如HTTP等）層面的狀態檢測，能實現自動負載均衡和故障切換。

《網絡世界》：基于多核技術的安全產品還有哪些技術發展趨勢？

孫含元：主要有兩大發展趨勢：網絡快速發展決定了未來的基于多核技術的產品必須具備更高的性能、更高穩定性。 隨著國家大力提倡信息化發展，以及市場網絡需求的快速發展，未來幾年網絡應用和帶寬將繼續高速發展。傳統架構的產品由于存在不可調和的缺陷，市場空間會越來越小。支持更多的核、更多的協處理器以具備更高的性能和更高的穩定性是多核技術的安全產品發展的必然趨勢。

多業務的發展決定多核安全產品具備更加豐富的功能。傳統防火墻同時開啟防火墻、VPN、IPS、AV、P2P等功能時幾乎不可用，而對于客戶而言，多業務的發展必然導致對產品更多功能的需求。在多核架構下，不同任務可分布在不同核上并行處理，消除單核處理器面臨的處理瓶頸，同時開啟防火墻、VPN、IPS、AV、P2P等功能，網絡仍然順暢，并通過無限制，更靈活的方式使防火墻得到不斷的升級，滿足未來市場客戶需求。