扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
据卫士通安全产品营销事业部副总经理张卓介绍,卫士通的ASIC架构UTM,以硬件方式实现千兆线速下数据包的全包检查和分流,其主要应用在网关查毒、邮件检查、传输文件内容检查、URL检查、IPS系统等。由于芯片中内置了路由表、VLAN表、TCP/UDP/ICMP状态包,在任意数量的规则下,在持续并发200万连接的情况下,中华卫士UTM产品可以达到所有包长的数据包全线速。通过外加的插卡模块,可以在千兆线速下完成病毒检测、P2P和IM 软件的流量控制管理、细粒度的访问控制、关键字过滤等功能,并支持用户自定义安全特性检查。
房立财表示,只有采用ASIC平台,才能实现高性能,有一部分内容(例如解压缩和特征匹配等)是非常适合让ASIC硬件处理的。凹凸科技将深层内容检测和智能分类都放入ASIC芯片中。当数据流经过UTM时,首先由一个ASIC芯片进行处理,做精细分流(利用专利技术,凹凸科技的ASIC芯片可以看到前128个字节中的任意内容,从而进行智能、精确的分类和分流)。经过分流的数据来到内容处理板,内容处理板上包括CPU和以ASIC加速器为核心的协处理器卡。
凹凸科技在平台的ASIC芯片中采用了交换架构,数据和管理平面都基于交换(Switch Fabric),ASIC直接支持交换接口。因为UTM的模块多,对命令通道的要求更严格,而传统的基于总线的方式由于带宽不够,冲突比较多,所以采用交换方式。
而中华卫士UTM的数据平面采用流水线和并行处理技术,在流水线操作中每个数据包会根据不同处理需求使用不同的模块。实际上,一个连接的存在是因为这个连接的数据包得到某一条规则的允许,否则也没有必要建立连接。因此在连接表中并不需要存放数据包的IP地址或端口资料,因为这些资料可以在规则里找到。经过上述分析,中华卫士UTM采用了Hash和片上RAM(片上RAM分片内RAM和片外RAM,运算量大、常用的应用放入片内,不常用的应用则放在片外。通过Hash链表判断是在片内查找还是在片外查找)等技术,具备高速查找的能力,使其能在较小的存储空间存储最大200万的并发连接。不管是检测一个连接还是两百万个连接的信息,数据包都能在预知的固定时间内得到处理。这也是中华卫士 UTM 在任何应用情况下都能保持千兆线速处理能力的一个重要因素。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。