高性能网络业务加速能否成为云安全的拐点？

每一个企业级的人 都置顶了 中国软件网

中国软件网 为你带来最新鲜的行业干货

本文作者│魏开元

微信号│weikaiyuan1991

联系邮箱│wky@soft6.com

---

西二旗是自媒体大V笔下的常客，经常被曝出各种各样让人出乎意料的事情，这次也不意外。

19大期间，由于更严格的安全检查标准，下班高峰期的西二旗地铁站炸了锅，排队愣是进不去，甚至一度出现危险情况。

虽然平时下班的时候，西二旗地铁站也是那种很挤的尿性，可远远没到这种程度。

1

与西二旗地铁站的情况类似，网络安全的交付也面临着这样的问题。

从本地化部署到云部署以后，网络安全的交付面临着很多难题：

第一，高带宽带来的海量数据交互：尤其是在大型云计算数据中心，其出口带宽可以达到上百G甚至数百G，并且不论是南北向的流量还是东西向的流量，都处于一个相当高的水平，这要远远高于过去本地机房的出口带宽。

第二，面对SDN的技术改造：与一对一的应用交付不同，SDN拥有智能化的资源调度能力。也就是说，在SDN网络下，应用交付实际上是将传统的基于设备的应用改造为一个真正面向全网范围的应用。

所以，当安全设备在面临高并发的时候，就很难解决问题。例如面对海量的流量攻击中混入针对应用层的SSL加密流量入侵，WAF很多时候都束手无策。

2

再回到西二旗地铁站这个场景。这个事情如果反过来，安全检查的速度变快了，一个安检口可以同时接受两个人或者以上进行安全检查，是不是就可以大大缓解地铁口拥堵的现象呢？

可是这同时带来了好几个问题：第一，安检口能否支持两个人或者更多的人同时通过；第二，单独安检口的安检能力，能否支持两个或者更多的人同时完成安检，比如当安检机并排过过个包的时候，还能否有效检测出危险品。

针对第一个问题，安检口可以做大一点，可以同时容纳更多的人通过，并且配备更多的安检员支持更多的人同时进行安检；针对第二个问题，最直接的办法就是安检设备的功能做的更强大一些。

3

这也给了网络安全的在云环境或者虚拟化环境下的交付，带来了一些启示。首先设备底层要有足够的处理数据高并发的能力；第二，可以根据业务灵活的调度底层资源；第三，网络安全本身的能力要加强，可以在海量的数据中，找出非法的那些数据流。

对于安全厂商来说，怎么才能解决这些问题呢？

从专业能力的角度来看，安全厂商最擅长的应该是做第三个事情，这才是网络安全技术的核心。例如，今年RSA创新沙盒的冠军得主UnifyID在行为识别上取得了突破，检测准确率可达99.999%，再例如知道创宇去年推出的CC检测引擎。总体来看，这几年国内外在网络安全技术上不敢说有很大的突破，但的确在稳步提升。

但是，如何在底层可以面对资源调度和高并发的问题却不能得到很好的解决。

4

大一星晨推出的高性能网络业务加速平台T1 GateWare或许带来了一些解决办法。这款平台可以让应用可以更加专注价值本身，而把底层报文处理、必备的网络协议栈功能模块交给GateWare平台来做。据太一星晨方面宣称，用这个高性能的网络业务加速平台去完成网络流量的处理，能得一个高效的、易扩展的流量处理方案。

资料显示，T1 GateWare有以下几个属性：

• 第一，作为T1 Gateware的一个核心组件，智能分流器组件无论从系统架构还是业务架构上，都实现了CPU的处理性能随核数的线性增长；

• 第二，T1 GateWare的流水线加速组件则将数据处理过程分解，抽象成独立的功能节点，并且报文采用DPDK无锁队列技术，据说可以实现在通用X86平台防护墙的100G小包线速处理；

• 第三，硬件资源智能适配组件，则是T1 GateWare针对目前Intel全系列硬件平台以及网卡的一种底层数据吞吐调优技术。它可以让用户的网络应用无论在什么样的平台上，都可以用效率最高的方式实现网络流量的吞吐；

• 第四，T1 GateWare的虚拟化资源适配技术，则使网络应用能够顺利的向虚拟化NFV迁移，实现了自动化部署和NFV流量的加速。

5

那么都有什么用呢？

• 第一点，弹性易扩展。设备底层可以自由扩展CPU等资源，并且线性提升CPU对于数据报文的处理能力；

• 第二点，数据处理加速，避免出现因为检测造成网络堵塞的现象。

• 第三点，资源调度，针对不同平台都可以实现最优的网络吞吐调度。

• 第四点，一键迁移，是网络应用可以顺利的迁移到NFV虚拟化平台上，从而适应云环境。

另外，还有一点比较重要，网络操作系统+开放源代码+完整的开发套件全部在用户空间实现，也就是说用户可以轻松的在T1 GateWare平台上开发应用，并完成应用交付和业务加速，从而专注于网络安全核心价值的研发，例如检测技术、响应技术等等。

这么来看，不论是防火墙、UTM还是堡垒机、DLP等等这样的产品，都可以放在这款平台上做交付。

6

还有一个很有意思的地方。

太一星晨是由启明星辰股份有限公司投资的专注于应用交付领域的企业，与同属于集团公司的启明星辰、网御星云两个安全类子公司互相协作，为用户提供针对下一代TB级IP网络架构的高效、安全解决方案。

启明星辰集团最近两年的云计算转型动作非常多，不断向和腾讯云、联想云示好，这无疑显露出了启明星辰的野心，必须要在云安全方面插上一脚。

这次，太一星晨搞了这样一款产品，背后有没有什么样的推力还不敢说，但是对于安全厂商做好云时代的安全，确实是大有帮助的。

彩蛋