ASIC芯片驱动综合安全(3)

　　据卫士通安全产品营销事业部副总经理张卓介绍，卫士通的ASIC架构UTM，以硬件方式实现千兆线速下数据包的全包检查和分流，其主要应用在网关查毒、邮件检查、传输文件内容检查、URL检查、IPS系统等。由于芯片中内置了路由表、VLAN表、TCP/UDP/ICMP状态包，在任意数量的规则下，在持续并发200万连接的情况下，中华卫士UTM产品可以达到所有包长的数据包全线速。通过外加的插卡模块，可以在千兆线速下完成病毒检测、P2P和IM 软件的流量控制管理、细粒度的访问控制、关键字过滤等功能，并支持用户自定义安全特性检查。

　　房立财表示，只有采用ASIC平台，才能实现高性能，有一部分内容(例如解压缩和特征匹配等)是非常适合让ASIC硬件处理的。凹凸科技将深层内容检测和智能分类都放入ASIC芯片中。当数据流经过UTM时，首先由一个ASIC芯片进行处理，做精细分流(利用专利技术，凹凸科技的ASIC芯片可以看到前128个字节中的任意内容，从而进行智能、精确的分类和分流)。经过分流的数据来到内容处理板，内容处理板上包括CPU和以ASIC加速器为核心的协处理器卡。

　　凹凸科技在平台的ASIC芯片中采用了交换架构，数据和管理平面都基于交换(Switch Fabric)，ASIC直接支持交换接口。因为UTM的模块多，对命令通道的要求更严格，而传统的基于总线的方式由于带宽不够，冲突比较多，所以采用交换方式。

　　而中华卫士UTM的数据平面采用流水线和并行处理技术，在流水线操作中每个数据包会根据不同处理需求使用不同的模块。实际上，一个连接的存在是因为这个连接的数据包得到某一条规则的允许，否则也没有必要建立连接。因此在连接表中并不需要存放数据包的IP地址或端口资料，因为这些资料可以在规则里找到。经过上述分析，中华卫士UTM采用了Hash和片上RAM(片上RAM分片内RAM和片外RAM，运算量大、常用的应用放入片内，不常用的应用则放在片外。通过Hash链表判断是在片内查找还是在片外查找)等技术，具备高速查找的能力，使其能在较小的存储空间存储最大200万的并发连接。不管是检测一个连接还是两百万个连接的信息，数据包都能在预知的固定时间内得到处理。这也是中华卫士 UTM 在任何应用情况下都能保持千兆线速处理能力的一个重要因素。