AN-Y131104新架构助力华为USG6000

　　防火墙经过10余年的发展，到现在已经经历了X86、NP、ASIC、多核SOC等几种硬件架构，那么我们先来看看，这几种架构分别的优劣势有哪些吧。 X86架构，也称为通用CPU架构，一般硬件平台为工控机架构或者服务器架构，其采用通用的X86 CPU作为整个系统的核心，具有较好的灵活性和扩展性，其产品功能主要有软件实现，X86架构的优点在于推出产品快，更新换代跟随IT主流平台而更新，软件平台的可移植性、兼容性较好，可以满足一般用户在性能要求不太高、可靠性要求不太严格场景下的硬件平台需求。

　　其代表为早期思科的PIX系列防火墙

　　NP（Network Processor，网络处理器）是专门为网络设备处理网络流量而设计的处理器，在其体系结构内和指令集中对网络设备常用的包过滤、转发等算法和操作都进行了专门的优化，具有一定能力的可编程定制开发能力，可以高效地完成网络报文的常用处理，并对网络流量进行快速并发处理。其代表为联想网御系列ASIC/FPGA架构，通过专门设计的ASIC芯片或可编程逻辑FPGA器件进行硬件加速处理，这种ASIC/FPGA完全按照设计者的目的设计硬件电路，优化相应的功能模块，然后固化完成ASIC/FPGA。ASIC/FPGA的优势是性能高，转发性能与安全策略数量无关。而FPGA架构，相对于ASIC架构来说，其具有一定限度的扩展编程能力。其代表为juniper NS防火墙系列

　　那我们看看不同的架构不足的地方在哪里？

　　基于X86架构的防火墙，一般使用通用的软件架构，包括大量的开源和第三方软件，兼顾了全领域（娱乐，多媒体，办公）的通用性，却很少为网络报文处理进行特别的优化，导致无论是性能还是内存使用上，均不是最优的，较多的无关/辅助软件会浪费掉很多应该用与网络报文处理的内存。 基于NP架构的防火墙，NP芯片主要的设计方向是路由器类的网络设备，几乎没有任何针对安全设备的加速功能，所以就决定了这类架构的安全产品几乎不可能提供高级安全特性，比如入侵防御，病毒过滤等，而只能做通用防火墙。 基于ASIC/FPGA架构的防火墙，基础转发性能与安全处理性能的极不匹配，虽然ASIC/FPGA在基础转发下有很大的性能优势，但作为安全产品来讲，一旦开启了应用层安全功能后，ASIC/FPGA的高性能优势基本完全消失，安全业务的处理全部压在配合的CPU上，而造成性能的大幅下降。 

　　随着技术的发展和下一代防火墙对于应用的防护，新一代的架构技术孕育而生，那就是多核架构多核（Multicore）架构的推出是最新的高性能安全产品的解决方案，可以在一个多核处理器中同时支持多个独立业务线程的并发处理。多核架构在提供硬件平台高性能的同时，又可以方便地以通用编程语言来设计开发，提供灵活的业务扩展能力。而且，面向通信设计的多核处理器，在设计之处就考虑了用户的应用需求，在处理器内部集成了硬件加解密、压缩解压缩、正则匹配等硬件协处理器和L2-L7层网络应用加速器，非常适合安全类产品，如防火墙、VPN、防病毒、入侵防御等。从技术角度来说，多核架构的安全产品是相当完美的：高吞吐量、会话建立速度高、硬件支持多种高级安全功能、灵活性及扩展性好等。 

　　NG-FIREWALL硬件平台是华为公司全新一代高性能系列安全产品的硬件平台。 NG-FIREWALL硬件平台采用“多核MIPS”+“硬件协处理加速”+“高速SwitchFabric”的架构，通过高速总线实现多核CPU与业务处理模块，接口扩展模块直接的通信。 NG-FIREWALL硬件平台同时进行了冗余设计，提高硬件可靠性。增强了性能和功能的扩展，进一步实现了存储的扩展，满足网络安全设备对本地日志存储的需要。 

　　华为NG-FIREWALL硬件平台采用64位高性能多核MIPS平台，MIPS架构基于一种固定长度的定期编码指令集，其精简的指令集、指令与高速数据缓存分层的设计、并发的多级流水线、以及专门为网络报文吞吐所设计的高速接口及DMA能力，结合华为公司电信级的嵌入式实时操作系统，保证了NGFW平台处理的高性能。 

　　同时，在NG-FIREWALL硬件平台的高端机型，还可多扩展一块CPU处理板，即相当于实现1+1的CPU扩展能力，每颗CPU均为多核MIPS处理器，这样的弹性扩展能力可实现硬件处理能力的翻倍。 下一代防火墙采用全新架构的智能感知引擎（IAE, Intelligence Aware Engine）。传统威胁检测引擎根据逐个报文进行威胁特征匹配，这种方式容易造成攻击者逃避检测。IAE摒弃了此种方式，将报文根据会话进行重组，并进行协议解码和特征匹配，更加精准的检测各层协议中的威胁。

　　在检测过程中，基于多核CPU架构，IAE采用了一次解析，多业务并行处理的架构。其核心的应用解析和特征匹配处理由硬件加速模块高速处理，各个安全业务并行的跟踪处理结果并更新状态，当威胁特征的条件都符合时，立即根据安全策略触发响应动作，而当条件不符合时，IAE会自动调整跟踪状态，确保检测安全的流量高速转发。这种架构确保了多安全业务开启情况下，对整体性能影响最小。 在硬件层面，采用专用多核平台，多个CPU并行处理。同时，使用硬件加速技术，配合IAE进行应用解析和特征匹配，极大的提升检测效率。 

　　华为NG-FIREWALL硬件平台集成了IPSec、SSL加解密运算，压缩解压缩，模式匹配，以及硬盘RAID的硬件协处理器。使得本来应该由CPU软件来计算处理的特定、重复的耗费CPU性能的业务，如加解密、压缩解压缩、模式匹配等，由协处理器来完成，这样CPU就不需要参与计算，对CPU的消耗大大降低。 

　　华为NG-FIREWALL 硬件平台选用容量达480Gbps的交换芯片来作为多核CPU，业务处理模块，扩展接口模块之间的互联总线，高容量的交换总线为模块之间的提供的足够的带宽，保证了各模块之间的业务交换.华为NG-FIREWALL 支持300GB大容量，高速率的SAS硬盘，为用户提供实时记录日志和报表。 双硬盘支持RAID1，提供用户数据的可靠备份。 硬盘热插拔设计为用户扩容升级提供保证。

　　企业网络正向以移动宽带、大数据、社交化和云服务为核心的下一代网络演进。移动APP、Web2.0、社交网络让企业处于开放的网络环境，攻击者通过身份仿冒、网站挂马、恶意软件、僵尸网络等多种方式进行网络渗透，企业面临前所未有的安全风险，传统防火墙面对变革却无能为力。华为Secospace USG6600系列下一代防火墙应需而生，基于全新的设备架构，面向下一代网络环境，基于"ACTUAL"感知，实现安全管理自我优化，通过云技术识别未知威胁，高性能地为企业提供以应用层威胁防护为核心的下一代网络安全。