網御威五安全網關的技術創新

 　　當今10GE以太網絡已經成為大大小小的核心機房的標准配備，甚至40GE/100GE以太網也已漸成規模，大筆資金慷慨投入網絡建設的時候，與10GE網絡相匹配的網絡安全建設卻一直讓人耿耿於懷，因為安全設備多數並不能以10Gbps的速度完成防病毒、入侵防御、內容過濾等安全防護任務，用戶投資沒有發揮出其應有價值。這就好像我們開車，本來路挺寬，突然遇到前方變窄的警示，所有車堵在路口等著過的情形。

　　同時，目前的設備小包吞吐性能普遍不高，而網絡應用卻充斥著大量小包的應用，隨著用戶業務量的增加，設備已經嚴重超負荷運轉，如果再不采取應對策略，哪天也許會像菲律賓大樓一樣不堪重負而垮塌。

　　網御星雲做為業界領先廠商，多年來一直秉承技術創新宗旨，其“精五”、“強五”系列安全網關擁有廣泛的業界知名度，2013年網御星雲又推出 “威五”系列安全網關(以下簡稱：網御威五)，該產品憑借大量全新技術，達到驚人的每U高度40Gbps線速(簡稱PPU，每U性能)超高性能指標，並且具有全功能打開時的10Gbps全威脅檢測線速處理能力，最低網絡延遲3us。使用網御威五後可以迅速把一機櫃的數據處理壓縮至2U的體積內完成，一舉打破了安全和性能、性能和體積不能兼得的技術困局，在科學發展的道路上邁出了堅定的步伐。那麼，網御威五都有哪些創新技術呢?

　　1. 數據包層間重定向技術

　　網御在多年研究的基礎上，形成了對簡單、重復數據和復雜、多變數據的不同處理方法，並把系統資源在這兩個數據層次上進行合理調度，形成了今天所說的數據包層間重定向技術。這個技術包括三個核心思想：

　　數據包分層

　　網絡流量從其所使用的協議工作特性可以區分成只包含簡單、重復流量的數據和包含復雜、多變流量的數據，而後者的出現都是以前者為載體的。通過數據層次檢測把這兩類流量區別開，是後續能否對系統資源分而用之的關鍵。

　　快速處理簡單任務

　　依靠預先設置的對數據層次的甄別尺度，抽離出只包含簡單、重復流量的數據，交由協議加速引擎處理，對安全或不安全的數據依照策略設置決定相應處理，比如轉發或阻斷。仍然借用沙子的比喻，協議加速引擎就好像運送沙子的高速傳送帶，哪裡需要送到哪裡去，哪裡都不需要就丟掉。

　　化復雜任務為簡單任務

　　依靠數據層次檢測抽離出只包含簡單、重復流量的數據後，剩下的復雜、多變流量數據交由業務處理引擎分析，經和策略匹配決定處理方式後，把流量還原至協議加速引擎可以識別的簡單、重復流量，仍由協議加速引擎執行轉發或阻斷的操作。還是借用前面的比喻，業務處理引擎就像從沙子裡挑出黃金，那麼挑完黃金剩下的沙子當然還是扔給沙子傳送帶。

　　上面的協議加速引擎和業務處理引擎，分別按照其所承擔的任務特點專門進行設計，所使用的運算資源相對獨立，這兩個引擎和數據包層間重定向技術的交互關系見下圖所示。

　　2. 網御威五高效線速轉發的保障：協議加速引擎

　　網御威五具有一個協議加速引擎，包含協議處理加速模塊、管理模塊和接口模塊，以及數據通道和管理通道兩個共享類總線模塊，通過把占網絡流量大多數的、經常發生的簡單、重復流量，從主數據處理任務隊列剝離出來，交予協議加速引擎處理，可以釋放大量系統計算資源處理更加復雜的運算。

　　3. 網御威五業務處理引擎技術帶來超強全開性能

　　對復雜、多變流量數據的處理，實際遠比從沙子裡挑出黃金復雜，因為沙子裡往往有不止一種我們希望檢出的數據，比如還有鑽石和珍珠，這就需要對這些數據分別建立特征庫，並找出這些特征共有的屬性，然後把不具有這些屬性的數據先剔除出去。通常實際網絡環境我們需要檢出的復雜、多變流量數據是遠遠小於簡單、重復流量數據的，只要通過合適的數學模型計算出復雜、多變流量數據共有的屬性，把混合在其中的大多數簡單、重復流量數據預先檢出並進行快速轉發，能極大提升系統處理性能，這是業務處理引擎設計的核心思想。

　　通過多核多線程並行計算技術，系統有能力在一個時鐘周期裡並行處理多件任務，我們需要對特征匹配進行優化，讓盡可能多的相似任務在盡可能短的時鐘周期裡計算完成，比如如果需要計算尺寸，那麼所有計算尺寸的任務同時進行。

　　業務處理引擎的設計可用以下示意圖進行說明。

　　4. 網御威五多核多線程並行計算技術

　　網御威五利用64位高性能多核CPU的並行處理能力為應用層數據處理提供快速運算保障。通過流引擎和多核CPU調度算法，保證多核CPU的平均負載分擔，使性能和容量可以隨CPU核數的增加線性增長，最大限度開發多核CPU的執行效率，實現功能全開情況下設備的高吞吐量運行。

　　網御威五通過以上高效智能運算方法，實現了對系統資源的深度調配，突破了網關設備的性能瓶頸，設備在2U體積內即可以達到80Gbps的線速吞吐，應用層性能超過10Gbps。通過使用網御威五安全網關，終結了安全設備傻大黑粗“傻”性能時代，迎來了短小精悍“精”性能時代，可以說網御威五在提高網關設備性能上邁出了科學發展的腳步。