依托FPGA開發高性能網絡安全處理平臺

通過FPGA來構建一個低成本、高性能、開放架構的數據平面引擎可以為網絡安全設備提供性能提高的動力。

隨著互聯網技術的飛速發展，性能成為制約網絡處理的一大瓶頸問題。FPGA作為一種高速可編程器件，為網絡安全流量處理提供了一條低成本、高性能的解決之道。

網絡安全的核心任務之一是對IP流量的解析、識別和處理，也就是在IP網絡通信中經常提到的“數據平面”。網絡通信數據平面具備如下特點：1.需要處理多種物理層接口，隨著安全的觸角向網絡核心延伸，網絡安全設備需要面對的網絡接口也在向高端延伸，從低端的100M/1000M以太網向高端的萬兆以太網甚至城域網級別的2.5GPOS（接口）、10GPOS乃至40GPOS接口延伸；2.數據平面處理流程在網絡層(IP)和會話層(TCP/UDP)相對標準化；3.數據平面需要具備分析處理應用層(L7)內容的能力，而應用層分析的算法，如內容匹配、特征識別等將需要巨大的計算能力。

應對五大技術挑戰

恒揚科技是一家專注于為網絡安全廠商提供高性能網絡通信數據平面基礎平臺的技術型公司。正是由于數據平面的上述特點，我們認識到，通過FPGA來構建一個低成本、高性能、開放架構的數據平面引擎可以為網絡安全設備提供性能提高的動力。要實現這樣一個引擎，需要應對如下技術挑戰：

1.需要具備多種接口上高速網絡報文的處理能力：安全解決方案正在和網絡通信融合，這種融合必然要求網絡安全應用不再拘泥于簡單的100M、1000M局域網接口，針對處理類似POS接口上的城域網、廣域網流量，處理正在成為應用主流的10G接口乃至40G接口，每一代新的FPGA都提供了更豐富的接口，性能也不斷提高。現在FPGA可提供大于1Gbps的LVDS（低壓差分信號）接口，高速SERDES（并串行與串并行轉換器）接口則可支持高達10Gbps的速率，再加上FPGA的可編程特性，使得設計者可以快速地響應新的接口標準，推出自己的產品。而FPGA內部資源的不斷增加，則允許設計者在不斷增加的網絡帶寬面前，仍然可以開發出實現多種安全處理的設備。

2.單板密度、功耗要求：一直以來，FPGA都在快速發展當中，密度更高，接口類型更豐富，性能更高。因此，FPGA可支持更多的功能，單板的密度也得以增加。在傳統的認知中，FPGA常常被掛上高功耗的標簽。其實，現在情況正在發生變化。舉例來說，FPGA廠家已經成為IC新生產工藝的應用先驅，在主流器件中，65nm和40nm工藝已經被廣泛應用。當從90nm工藝轉到65nm工藝時，FPGA的核心電壓從1.2V降到1.0V，動態功耗就下降了30%。同時，FPGA廠家在新一代的器件中都不斷地進行著結構上的優化。此外，我們結合多年FPGA應用設計的經驗，可以在架構設計、算法優化、設計優化上不斷調整性能和功耗的平衡，實現最優配置，從而進一步降低功耗。

3.高效處理基礎網絡業務：通過FPGA識別并管理網絡會話，可以極大地降低CPU識別跟蹤會話需要消耗的計算能力。在我們的芯片中，實現了網絡層和會話層協議分析和跟蹤算法，同時，通過對內存訪問算法和內存控制器的優化，我們的單顆芯片中最高可以實現10G線速(小包)的會話建立和跟蹤能力。

4.DPI（深度包檢測技術）能力：業界已經有很多廠家嘗試用FPGA芯片或者ASIC芯片實現一個完整的正則表達式搜索，但因為各種各樣的原因，其并沒有在網絡安全領域被大規模應用起來。我們用FPGA算法和TCAM（高速路由查找技術）器件互相配合，并結合流管理算法，可以實現超過4G的全流量字符串特征匹配，為DPI應用提供了一個低成本、輕量級的流量捕獲引擎。

5.以需求和成本為核心靈活進行方案選擇和遷移：根據接口、性能要求的不同，只有靈活選擇合適的芯片才能讓這個方案具備成本上的競爭優勢。我們通過對IP庫的建設，逐步形成了一套可以靈活裁減、擴充和移植的IPCore功能集合，而各種接口和性能規格的數據平面引擎總可以根據成本的需求，在成熟代碼庫的基礎上快速組合而成，有效地兼顧了需求、成本、研發周期和產品成熟度。

數據平面引擎助推應用

一個好的基于FPGA的數據平面引擎并不僅僅是一套IPCore的組合，更重要的是它必須是一個可以讓用戶直接應用起來的軟硬件實體。FPGA應用在網絡安全領域已經叫好很多年了，但一直沒有像X86一樣流行起來，一個主要的原因就是從技術到產品的進入“門檻”太高。如何將IPCore變成實體的硬件，如何將這樣一個硬件平臺和廠商既有的成熟軟件平臺緊密結合？只有回答了這個問題，FPGA在網絡安全領域的應用才可能真正實現應用規模的突破。

恒揚科技提出的“數據平面引擎”就是希望能夠為網絡安全應用的開發廠商提供一套直接可用的、開放的硬件平臺：一方面，用以FPGA技術為核心開發標準的網絡接口和處理卡來實現這個數據平面，如可以和服務器、工控機結合的PCI-E插卡，可以和cPCI、ATCA結合的工業標準插卡，網絡安全廠家可以非常方便地將它們和運行自己軟件的X86結合到一起，以完全相同的一套X86軟件實現從低端千兆到高端10G乃至核心40G的安全應用；另一方面，通過軟件應用開發包的方式把FPGA實現的業務功能開放給網絡安全應用開發廠商，應用廠商完全可以在不對現有X86軟件應用進行大修改的前提下方便地集成FPGA的功能，有效降低應用開發廠家的研發成本和研發風險。

回顧并放眼網絡安全應用領域，FPGA以其可編程、高性能的特性，正在成為網絡安全數據平面開發者的首要選擇之一。然而，只有將數據平面引擎實體化、標準化，使其成為像網卡一樣簡單、易集成、易應用的標準組件，FPGA和高性能硬件平臺才可能實現在這個領域的規模化應用。隨著網絡安全產業鏈中提供標準化中間件的廠商逐步成熟，高性能網絡安全應用也一定會加速發展。